Rootkit RKIT/Bubnix gefunden, kann nicht gelöscht werden

#1 Hallo zusammen,

angefangen hat alles mit TR/Agent 564800. Entdeckt wurde er von AntiVir und in Quarantäne verbannt und gelöscht. Allerdings war er nach dem nächsten Booten wieder da. Dann habe ich Malwarebytes ausgeführt und alles schien gelöscht. Heute hat sich dann dieser Rootkit bemerkbar gemacht (wird jedesmal von AntiVir nach dem Booten in der Windows/Temp-Datei entdeckt) und kann auch von Malwarebytes nicht gelöscht werden.

Anbei sende ich die Logfiles, wäre prima, wenn mir jemand helfen könnte.

#2 Datei von Antivir:

Code

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 10. Oktober 2010  18:32

Es wird nach 2914708 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : Admin
Computername   : SERVER

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  20.04.2010 07:14:27
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  20.04.2010 07:14:27
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 16:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 09:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 22:12:29
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 22:12:31
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 16:15:32
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 20:22:22
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 20:24:49
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 16:53:46
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 11:13:54
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 12:18:55
VBASE008.VDF   : 7.10.11.133  3454464 Bytes  13.09.2010 09:24:36
VBASE009.VDF   : 7.10.11.134     2048 Bytes  13.09.2010 09:24:36
VBASE010.VDF   : 7.10.11.135     2048 Bytes  13.09.2010 09:24:37
VBASE011.VDF   : 7.10.11.136     2048 Bytes  13.09.2010 09:24:37
VBASE012.VDF   : 7.10.11.137     2048 Bytes  13.09.2010 09:24:37
VBASE013.VDF   : 7.10.11.165   172032 Bytes  15.09.2010 07:58:27
VBASE014.VDF   : 7.10.11.202   144384 Bytes  18.09.2010 16:56:06
VBASE015.VDF   : 7.10.11.231   129024 Bytes  21.09.2010 07:12:51
VBASE016.VDF   : 7.10.12.4     126464 Bytes  23.09.2010 08:36:33
VBASE017.VDF   : 7.10.12.38    146944 Bytes  27.09.2010 07:50:30
VBASE018.VDF   : 7.10.12.64    133120 Bytes  29.09.2010 08:12:26
VBASE019.VDF   : 7.10.12.99    134144 Bytes  01.10.2010 09:27:43
VBASE020.VDF   : 7.10.12.122   131584 Bytes  05.10.2010 09:14:19
VBASE021.VDF   : 7.10.12.148   119296 Bytes  07.10.2010 11:52:25
VBASE022.VDF   : 7.10.12.149     2048 Bytes  07.10.2010 11:52:25
VBASE023.VDF   : 7.10.12.150     2048 Bytes  07.10.2010 11:52:25
VBASE024.VDF   : 7.10.12.151     2048 Bytes  07.10.2010 11:52:25
VBASE025.VDF   : 7.10.12.152     2048 Bytes  07.10.2010 11:52:25
VBASE026.VDF   : 7.10.12.153     2048 Bytes  07.10.2010 11:52:25
VBASE027.VDF   : 7.10.12.154     2048 Bytes  07.10.2010 11:52:25
VBASE028.VDF   : 7.10.12.155     2048 Bytes  07.10.2010 11:52:25
VBASE029.VDF   : 7.10.12.156     2048 Bytes  07.10.2010 11:52:25
VBASE030.VDF   : 7.10.12.157     2048 Bytes  07.10.2010 11:52:25
VBASE031.VDF   : 7.10.12.167    75776 Bytes  08.10.2010 11:52:26
Engineversion  : 8.2.4.72  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  31.07.2010 09:41:43
AESCRIPT.DLL   : 8.1.3.45     1368443 Bytes  18.09.2010 16:56:12
AESCN.DLL      : 8.1.6.1       127347 Bytes  13.05.2010 11:07:48
AESBX.DLL      : 8.1.3.1       254324 Bytes  24.04.2010 08:38:04
AERDL.DLL      : 8.1.9.2       635252 Bytes  22.09.2010 07:12:53
AEPACK.DLL     : 8.2.3.7       471413 Bytes  18.09.2010 16:56:10
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  25.07.2010 12:18:56
AEHEUR.DLL     : 8.1.2.30     2941303 Bytes  04.10.2010 09:27:48
AEHELP.DLL     : 8.1.13.4      242038 Bytes  25.09.2010 14:37:19
AEGEN.DLL      : 8.1.3.23      401779 Bytes  04.10.2010 09:27:44
AEEMU.DLL      : 8.1.2.0       393588 Bytes  24.04.2010 08:38:03
AECORE.DLL     : 8.1.17.0      196982 Bytes  25.09.2010 14:37:19
AEBB.DLL       : 8.1.1.0        53618 Bytes  24.04.2010 08:38:03
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 09:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 09:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 14:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  20.04.2010 07:14:27
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  20.04.2010 07:14:27
AVARKT.DLL     : 10.0.0.14     227176 Bytes  20.04.2010 07:14:27
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 07:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 10:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 13:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 12:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 11:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  20.04.2010 07:14:27

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Windows Systemverzeichnis
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysdir.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: quarantäne
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Sonntag, 10. Oktober 2010  18:32

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JTLcoremtx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'JTL-wawi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRMFRSMG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrmfBAgS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApplicationUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '350' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\drivers\dhdtcqa.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.ZM
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47f17d99.qua' verschoben!
C:\WINDOWS\system32\drivers\rippsn.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.abd.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f525234.qua' verschoben!


Ende des Suchlaufs: Sonntag, 10. Oktober 2010  18:35
Benötigte Zeit: 02:46 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

    261 Verzeichnisse wurden überprüft
   6093 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
   6091 Dateien ohne Befall
     14 Archive wurden durchsucht
      0 Warnungen

#3 Datei Extras.Txt von OTL

Code

OTL Extras logfile created on: 10.10.2010 18:52:03 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Dokumente und Einstellungen\Admin\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.014,00 Mb Total Physical Memory | 465,00 Mb Available Physical Memory | 46,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 61,01 Gb Free Space | 81,87% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 931,28 Gb Total Space | 887,75 Gb Free Space | 95,33% Space Free | Partition Type: FAT32
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: SERVER
Current User Name: Admin
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[color=#E56717]========== System Restore Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
[color=#E56717]========== Firewall Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\usmt\migwiz.exe" = C:\WINDOWS\system32\usmt\migwiz.exe:*:Disabled:Assistent zum Übertragen von Dateien und Einstellungen -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\Programme\Brother\Brmfl04g\rms2csv.exe" = C:\Programme\Brother\Brmfl04g\rms2csv.exe:LocalSubNet:Enabled:Adressbuch konvertieren -- (Brother Industries, Ltd.)
"C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" = C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe:192.168.0.113/255.255.255.255:Enabled:sqlservr.exe -- (Microsoft Corporation)
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition (JTLWAWI)
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java(TM) 6 Update 21
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3CBA73A5-F9B8-4E6A-B96D-8585590F57F5}" = Microsoft SQL Server Management Studio Express
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5791B7D3-8B34-4218-9750-6A8E45D0AD32}" = pdfforge Toolbar v1.1.2
"{713E5AB1-2389-43A6-8313-CB4D3C44C4FA}" = Samsung USB Driver
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{7FB12670-0F93-4E1E-B2F5-4F339199A03A}" = Microsoft SQL Server Native Client
"{849A32C3-E75A-4791-9B11-E568BA3525A4}" = Microsoft SQL Server VSS Writer
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_PROPLUSR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_PROPLUSR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_PROPLUSR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_PROPLUSR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_PROPLUSR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_PROPLUSR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_PROPLUSR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_PROPLUSR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_PROPLUSR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_PROPLUSR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_PROPLUSR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_PROPLUSR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{909B62B0-8ACA-4061-A83B-09CAEF609619}" = MSXML 6.0 Parser
"{91120000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2007
"{91120000-0011-0000-0000-0000000FF1CE}_PROPLUSR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-0011-0000-0000-0000000FF1CE}_PROPLUSR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A17EABB6-D0C6-44E5-820C-72DC7F495064}" = PaperPort
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1.2 - Deutsch
"{BBAAAD82-6242-420F-86D4-BD72BB5E6C86}" = Tools für Microsoft SQL Server 2005 Express Edition
"{BCB313A5-1AD0-4829-9D6F-EB41C3CFCD4B}" = Phase 5 HTML-Editor
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D83BD5E2-5AF4-49F6-B5C1-484A9760E73D}" = Brother MFL-Pro Suite
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"Google Updater" = Google Updater
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"JTL-Wawi_is1" = JTL-Wawi
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"Nvu_is1" = Nvu 1.0
"PROPLUSR" = Microsoft Office Professional Plus 2007
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinGimp-2.0_is1" = GIMP 2.6.10
"WinRAR archiver" = WinRAR
"Xvid_is1" = Xvid 1.1.2 final uninstall
 
[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"FileZilla Client" = FileZilla Client 3.3.4.1
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 01.09.2010 12:10:35 | Computer Name = SERVER | Source = .NET Runtime 2.0 Error Reporting | ID = 1000
Description = Faulting application jtl-wawi.exe, version 0.9.9.689, stamp 4c52f2bb,
 faulting module jtl-wawi.exe, version 0.9.9.689, stamp 4c52f2bb, debug? 0, fault
 address 0x00002ca8.
 
Error - 03.09.2010 05:29:15 | Computer Name = SERVER | Source = .NET Runtime 2.0 Error Reporting | ID = 1000
Description = Faulting application jtl-wawi.exe, version 0.9.9.689, stamp 4c52f2bb,
 faulting module jtl-wawi.exe, version 0.9.9.689, stamp 4c52f2bb, debug? 0, fault
 address 0x00002ca8.
 
Error - 20.09.2010 04:11:09 | Computer Name = SERVER | Source = .NET Runtime 2.0 Error Reporting | ID = 1000
Description = Faulting application jtl-wawi.exe, version 0.9.9.689, stamp 4c52f2bb,
 faulting module jtl-wawi.exe, version 0.9.9.689, stamp 4c52f2bb, debug? 0, fault
 address 0x00002ca8.
 
Error - 22.09.2010 03:47:33 | Computer Name = SERVER | Source = .NET Runtime 2.0 Error Reporting | ID = 1000
Description = Faulting application jtl-wawi.exe, version 0.9.9.689, stamp 4c52f2bb,
 faulting module jtl-wawi.exe, version 0.9.9.689, stamp 4c52f2bb, debug? 0, fault
 address 0x00002ca8.
 
Error - 22.09.2010 04:01:32 | Computer Name = SERVER | Source = .NET Runtime 2.0 Error Reporting | ID = 1000
Description = Faulting application jtl-wawi.exe, version 0.9.9.689, stamp 4c52f2bb,
 faulting module jtl-wawi.exe, version 0.9.9.689, stamp 4c52f2bb, debug? 0, fault
 address 0x00002ca8.
 
Error - 22.09.2010 14:34:03 | Computer Name = SERVER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung JTL-wawi.exe, Version 0.9.9.689, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 04.10.2010 12:09:29 | Computer Name = SERVER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ~tmd1.tmp, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x0085152a.
 
Error - 05.10.2010 15:57:11 | Computer Name = SERVER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung services.exe, Version 5.1.2600.5755, fehlgeschlagenes
 Modul ntdll.dll, Version 5.1.2600.5755, Fehleradresse 0x00028c0b.
 
Error - 08.10.2010 14:36:55 | Computer Name = SERVER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung jtl-wawi.exe, Version 0.9.9.689, fehlgeschlagenes
 Modul evajimonobap.dll, Version 0.0.0.0, Fehleradresse 0x00020aab.
 
Error - 09.10.2010 11:57:33 | Computer Name = SERVER | Source = .NET Runtime 2.0 Error Reporting | ID = 1000
Description = Faulting application jtl-wawi.exe, version 0.9.9.689, stamp 4c52f2bb,
 faulting module jtl-wawi.exe, version 0.9.9.689, stamp 4c52f2bb, debug? 0, fault
 address 0x00002ca8.
 
[ System Events ]
Error - 10.10.2010 06:08:10 | Computer Name = SERVER | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 10.10.2010 06:08:10 | Computer Name = SERVER | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 10.10.2010 06:08:10 | Computer Name = SERVER | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 10.10.2010 06:08:10 | Computer Name = SERVER | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 10.10.2010 06:08:10 | Computer Name = SERVER | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 10.10.2010 06:08:10 | Computer Name = SERVER | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 10.10.2010 06:08:10 | Computer Name = SERVER | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 10.10.2010 06:08:10 | Computer Name = SERVER | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 10.10.2010 06:08:10 | Computer Name = SERVER | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 10.10.2010 06:08:10 | Computer Name = SERVER | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
 
< End of report >

#4 Datei OTL.Txt

Code

OTL logfile created on: 10.10.2010 18:52:03 - Run 1
OTL by OldTimer - Version 3.2.14.1     Folder = C:\Dokumente und Einstellungen\Admin\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.014,00 Mb Total Physical Memory | 465,00 Mb Available Physical Memory | 46,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 61,01 Gb Free Space | 81,87% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 931,28 Gb Total Space | 887,75 Gb Free Space | 95,33% Space Free | Partition Type: FAT32
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: SERVER
Current User Name: Admin
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Application Updater\ApplicationUpdater.exe (Spigot, Inc.)
PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\BrmfBAgS.exe (Brother Industries, Ltd.)
PRC - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.)
PRC - C:\WINDOWS\system32\BrmfRsmg.exe (Brother Industries, Ltd.)
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\evajimonobap.dll ()
MOD - C:\WINDOWS\system32\opengl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\glu32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\ddraw.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\dciman32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Application Updater) -- C:\Programme\Application Updater\ApplicationUpdater.exe (Spigot, Inc.)
SRV - (NMSAccessU) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()
SRV - (MSSQL$JTLWAWI) SQL Server (JTLWAWI) -- C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe (Microsoft Corporation)
SRV - (SQLWriter) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe (Microsoft Corporation)
SRV - (SQLBrowser) -- C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe (Microsoft Corporation)
SRV - (MSSQLServerADHelper) -- C:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe (Microsoft Corporation)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (brmfbags) -- C:\WINDOWS\System32\BrmfBAgS.exe (Brother Industries, Ltd.)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (mf) -- C:\WINDOWS\system32\drivers\mf.sys (Microsoft Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (BrSerWDM) -- C:\WINDOWS\system32\drivers\BrSerWdm.sys (Brother Industries Ltd.)
DRV - (BrParWdm) Brother WDM-Treiber (parallel) -- C:\WINDOWS\system32\drivers\BrParwdm.sys (Brother Industries Ltd.)
DRV - (brparimg) -- C:\WINDOWS\system32\drivers\BrParImg.sys (Brother Industries Ltd.)
DRV - (brfilt) -- C:\WINDOWS\system32\drivers\BrFilt.sys (Brother Industries Ltd.)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaulturl: "http://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=971163"
FF - prefs.js..browser.startup.homepage: "http://ebay.de/"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3
FF - prefs.js..extensions.enabledItems: {317B5128-0B0B-49b2-B2DB-1E7560E16C74}:2.5.9
FF - prefs.js..extensions.enabledItems: {8A991C63-3B5C-4F0C-A479-BF0263F89B1A}:1.9.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
 
 
FF - HKLM\software\mozilla\Firefox\extensions\\{8A991C63-3B5C-4F0C-A479-BF0263F89B1A}: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\{8A991C63-3B5C-4F0C-A479-BF0263F89B1A} [2010.10.04 18:11:08 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.10.04 19:37:16 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.10.09 23:23:21 | 000,000,000 | ---D | M]
 
[2009.07.17 11:58:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions
[2010.10.10 15:06:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\o4sdhvoo.default\extensions
[2009.12.07 19:11:43 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\o4sdhvoo.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.09.09 11:26:11 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\o4sdhvoo.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2009.12.02 00:14:50 | 000,000,000 | ---D | M] (SeoQuake) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\o4sdhvoo.default\extensions\{317B5128-0B0B-49b2-B2DB-1E7560E16C74}
[2010.10.10 15:06:48 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.10.09 23:23:23 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.06.25 09:56:51 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.06.25 09:56:51 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.06.25 09:56:51 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.06.25 09:56:51 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.06.25 09:56:51 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2003.04.02 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll (Google Inc.)
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - No CLSID value found.
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [Ojovavowiye] C:\WINDOWS\evajimonobap.DLL ()
O4 - HKLM..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe (Brother Industories, Ltd.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 195.50.140.182 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.01.15 17:02:57 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2010.10.10 18:50:10 | 000,576,512 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2010.10.10 12:27:15 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Admin\Recent
[2010.10.09 23:23:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.10.09 23:23:56 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.10.09 23:23:21 | 000,423,656 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.10.09 23:23:21 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.10.09 23:23:21 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.10.09 23:23:21 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.10.09 23:20:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\registry sicherung
[2010.10.09 23:10:02 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.10.04 20:53:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
[2010.10.04 20:53:04 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.04 20:53:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.04 20:53:01 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.04 20:53:01 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.04 19:37:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2010.10.04 19:37:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla
[2010.10.04 19:36:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2010.10.04 18:11:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\{8A991C63-3B5C-4F0C-A479-BF0263F89B1A}
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2010.10.10 18:54:14 | 000,840,192 | ---- | M] () -- C:\WINDOWS\System32\drivers\rippsn.sys
[2010.10.10 18:54:13 | 000,565,248 | ---- | M] () -- C:\WINDOWS\System32\drivers\dhdtcqa.sys
[2010.10.10 18:50:40 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Ppomiluloku.dat
[2010.10.10 18:50:11 | 000,576,512 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2010.10.10 17:31:22 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.10.10 12:22:05 | 000,000,865 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini
[2010.10.10 12:21:46 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.10.10 12:21:24 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.10 12:18:54 | 003,670,016 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\NTUSER.DAT
[2010.10.10 12:18:54 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Admin\ntuser.ini
[2010.10.10 10:21:59 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Pcari.bin
[2010.10.09 23:10:03 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\CCleaner.lnk
[2010.10.09 13:50:07 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.08 20:39:30 | 000,035,448 | ---- | M] () -- C:\jtl_ea_log_0.zip
[2010.10.06 21:06:43 | 001,152,892 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.10.06 21:06:43 | 000,509,350 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.10.06 21:06:43 | 000,482,174 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.10.06 21:06:43 | 000,104,654 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.10.06 21:06:43 | 000,085,824 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.10.04 20:53:07 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.09.21 20:41:56 | 000,004,791 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\.recently-used.xbel
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2010.10.10 12:09:00 | 000,840,192 | ---- | C] () -- C:\WINDOWS\System32\drivers\rippsn.sys
[2010.10.09 23:10:03 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\CCleaner.lnk
[2010.10.04 20:53:07 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.04 18:11:09 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Ppomiluloku.dat
[2010.10.04 18:11:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Pcari.bin
[2010.10.04 18:09:37 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\drivers\dhdtcqa.sys
[2010.10.04 18:09:18 | 000,011,551 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\hs_err_pid1720.log
[2010.09.21 20:41:56 | 000,004,791 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\.recently-used.xbel
[2010.07.12 22:28:56 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2010.07.05 10:16:32 | 000,000,040 | ---- | C] () -- C:\WINDOWS\opt_2460.ini
[2010.01.04 21:29:17 | 000,000,105 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.07.30 19:44:14 | 000,000,134 | ---- | C] () -- C:\WINDOWS\Brfaxrx.ini
[2009.07.30 19:44:14 | 000,000,032 | ---- | C] () -- C:\WINDOWS\BrmfXCh1.ini
[2009.07.30 19:27:59 | 000,000,051 | ---- | C] () -- C:\WINDOWS\brmx2001.ini
[2009.07.30 19:13:34 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2009.07.29 18:17:13 | 000,000,865 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini
[2009.07.29 18:13:02 | 000,000,205 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini
[2009.07.29 18:13:02 | 000,000,092 | ---- | C] () -- C:\WINDOWS\brpcfx.ini
[2009.07.29 18:13:02 | 000,000,052 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2009.07.29 18:12:42 | 000,000,052 | ---- | C] () -- C:\WINDOWS\System32\BrmfBAgP.ini
[2009.07.29 18:12:42 | 000,000,029 | ---- | C] () -- C:\WINDOWS\System32\BrmfBAgS.ini
[2009.07.29 18:12:34 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\BROSNMP.DLL
[2009.07.29 18:10:46 | 000,027,114 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2009.07.22 22:17:37 | 000,014,336 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.07.19 16:12:08 | 000,765,952 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009.07.19 16:12:08 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009.07.17 21:56:11 | 000,000,059 | ---- | C] () -- C:\WINDOWS\WINPHONE.INI
[2009.07.17 17:36:26 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.01.16 09:27:29 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009.01.15 17:11:31 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4847.dll
[2009.01.15 17:07:26 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2004.08.04 00:57:38 | 000,181,760 | ---- | C] () -- C:\WINDOWS\evajimonobap.dll
[2002.03.04 10:16:34 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\Jpeg32.dll
 
[color=#E56717]========== LOP Check ==========[/color]
 
[2009.07.26 13:01:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Canneverbe_Limited
[2010.08.31 23:05:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FileZilla
[2010.09.21 20:20:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\gtk-2.0
[2009.10.14 21:47:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Nvu
[2010.01.10 15:42:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\pdfforge
[2010.02.04 23:04:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Scan2PDF
[2009.07.30 19:27:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ScanSoft
[2010.01.10 15:42:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Search Settings
[2009.12.16 11:31:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TeamViewer
[2009.07.30 19:48:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Windows Search
[2010.10.08 20:35:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jtl-software
[2010.02.04 22:32:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\metier2000Apps
[2009.07.29 18:10:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
 
[color=#E56717]========== Purity Check ==========[/color]
 
 
< End of report >

... so, das war's erst einmal. Wäre prima, wenn mir jemand helfen könnte.

Viele Grüße

#5 Hi,

1. Malwarebytes
http://www.malwarebytes.org/affiliates/g2g/mbam-setup.exe
Malwarebytes bitte installieren, aktualisieren, einen Quick Scan durchführen, evt. Funde entfernen lassen und das Log posten.

(Bzw. die zwei letzten Logs bitte posten)

#6 Hallo,

hier der vorletzte Scan von Malewarebytes:

Code

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4741

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.10.2010 11:23:06
mbam-log-2010-10-10 (11-23-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 198023
Laufzeit: 29 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\wtqvkg.sys (Rootkit.Agent) -> Delete on reboot.

und hier der letzte von Malwarebytes (von soeben)

Code

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4787

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.10.2010 22:49:19
mbam-log-2010-10-10 (22-49-19).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 148181
Laufzeit: 9 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\rippsn.sys (Rootkit.Agent) -> Delete on reboot.

Vielen Dank.

#7 Ok,

1. Starte bitte OTL, kopiere unten in das Script-Feld rein:

Zitat

:OTL

MOD - C:\WINDOWS\evajimonobap.dll ()
IE - HKCU\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - No CLSID value found.
O4 - HKLM..\Run: [Ojovavowiye] C:\WINDOWS\evajimonobap.DLL ()
[2010.10.10 18:54:14 | 000,840,192 | ---- | M] () -- C:\WINDOWS\System32\drivers\rippsn.sys
[2010.10.10 18:54:13 | 000,565,248 | ---- | M] () -- C:\WINDOWS\System32\drivers\dhdtcqa.sys
[2010.10.10 18:50:40 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Ppomiluloku.dat
[2010.10.04 18:11:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Pcari.bin

:Commands
[purity]
[emptytemp]
[emptyflash]

und klicke auf Fix. Unter Umständen ist ein Neustart notwendig. Poste bitte das Fix Log.

2. RootRepeal
http://sites.google.com/site/rootrepeal/
Starte RootRepeal.
Beende alle anderen Programme.
Gehe unten auf den Reiter Report.
Klicke auf Scan.
Setze alle Häkchen.
Bestätige mit OK.
Falls gefragt, wähle Laufwerk C:
Bestätige mit OK.
Am Ende des Scans wird ein Log eingeblendet, poste es bitte.

#8 Hallo,

hier als erstes das Fix Log von OTL. Neustart war notwendig. Das System hat einen Neustart nach einem schwerwiegenden Fehler gemeldet.

Code

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Ojovavowiye deleted successfully.
C:\WINDOWS\evajimonobap.dll moved successfully.
File C:\WINDOWS\System32\drivers\rippsn.sys not found.
File move failed. C:\WINDOWS\system32\drivers\dhdtcqa.sys scheduled to be moved on reboot.
C:\WINDOWS\Ppomiluloku.dat moved successfully.
C:\WINDOWS\Pcari.bin moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Admin
->Temp folder emptied: 385614402 bytes
->Temporary Internet Files folder emptied: 46346 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 43708029 bytes
->Flash cache emptied: 3201 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->FireFox cache emptied: 3685446 bytes
 
User: NetworkService
->Temp folder emptied: 131072 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: User
->Temp folder emptied: 33643 bytes
->Temporary Internet Files folder emptied: 930581 bytes
->Java cache emptied: 25801287 bytes
->FireFox cache emptied: 27642583 bytes
->Flash cache emptied: 927 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 117139284 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 579,00 mb
 
 
[EMPTYFLASH]
 
User: Admin
->Flash cache emptied: 0 bytes
 
User: All Users
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: LocalService
 
User: NetworkService
 
User: User
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.14.1 log created on 10112010_001544

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\dhdtcqa.sys scheduled to be moved on reboot.
File\Folder C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temp\Perflib_Perfdata_454.dat not found!

Registry entries deleted on Reboot...

#9 Hier das Logfile von RootRepeal:

Code

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:        2010/10/11 00:24
Program Version:        Version 1.3.5.0
Windows Version:        Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xAA14B000    Size: 98304    File Visible: No    Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7B46000    Size: 8192    File Visible: No    Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA9AAC000    Size: 49152    File Visible: No    Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\WINDOWS\system32\drivers\dhdtcqa.sys
Status: Locked to the Windows API!

Path: c:\programme\microsoft sql server\mssql.1\mssql\log\log_498.trc
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: c:\programme\microsoft sql server\mssql.1\mssql\log\log_499.trc
Status: Allocation size mismatch (API: 4096, Raw: 0)

Path: c:\programme\microsoft sql server\mssql.1\mssql\log\log_502.trc
Status: Allocation size mismatch (API: 4096, Raw: 0)

SSDT
-------------------
#: 041    Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7bc27e6

#: 053    Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7bc27dc

#: 063    Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7bc27eb

#: 065    Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7bc27f5

#: 098    Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7bc27fa

#: 122    Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7bc27c8

#: 128    Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7bc27cd

#: 193    Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7bc2804

#: 204    Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7bc27ff

#: 247    Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7bc27f0

Stealth Objects
-------------------
Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE]
Process: System    Address: 0x865e2f60    Size: 160

Object: Hidden Code [Driver: Tcpip, IRP_MJ_INTERNAL_DEVICE_CONTROL]
Process: System    Address: 0x862451d8    Size: 3625

Hidden Services
-------------------
Service Name: dhdtcqa
Image Path: C:\WINDOWS\system32\drivers\dhdtcqa.sys

==EOF==

#10 1. Avenger
http://swandog46.geekstogo.com/avenger2/download.php
Entpacke Avenger auf den Desktop.
Starte Avenger.
Setze unten beide Häkchen.
Kopiere in das Skript-Feld rein:

Zitat

drivers to delete:
dhdtcqa

files to delete:
C:\WINDOWS\system32\drivers\dhdtcqa.sys

Klicke auf Execute
Neustart zulassen.
Nach dem Neustart sollte ein Log eingeblendet werden, poste es bitte.

#11 Hallo,

hier das Logfile von Avenger:

Code

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "dhdtcqa" deleted successfully.
File "C:\WINDOWS\system32\drivers\dhdtcqa.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

#12 Hallo,

hier das Logfile von Avenger:

Code

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "dhdtcqa" deleted successfully.
File "C:\WINDOWS\system32\drivers\dhdtcqa.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

#13 Verzweiflung! Avira hat noch was neues gefunden ....

Code

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 11. Oktober 2010  22:41

Es wird nach 2919464 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : Admin
Computername   : SERVER

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  20.04.2010 07:14:27
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  20.04.2010 07:14:27
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 16:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 09:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 22:12:29
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 22:12:31
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 16:15:32
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 20:22:22
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 20:24:49
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 16:53:46
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 11:13:54
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 12:18:55
VBASE008.VDF   : 7.10.11.133  3454464 Bytes  13.09.2010 09:24:36
VBASE009.VDF   : 7.10.11.134     2048 Bytes  13.09.2010 09:24:36
VBASE010.VDF   : 7.10.11.135     2048 Bytes  13.09.2010 09:24:37
VBASE011.VDF   : 7.10.11.136     2048 Bytes  13.09.2010 09:24:37
VBASE012.VDF   : 7.10.11.137     2048 Bytes  13.09.2010 09:24:37
VBASE013.VDF   : 7.10.11.165   172032 Bytes  15.09.2010 07:58:27
VBASE014.VDF   : 7.10.11.202   144384 Bytes  18.09.2010 16:56:06
VBASE015.VDF   : 7.10.11.231   129024 Bytes  21.09.2010 07:12:51
VBASE016.VDF   : 7.10.12.4     126464 Bytes  23.09.2010 08:36:33
VBASE017.VDF   : 7.10.12.38    146944 Bytes  27.09.2010 07:50:30
VBASE018.VDF   : 7.10.12.64    133120 Bytes  29.09.2010 08:12:26
VBASE019.VDF   : 7.10.12.99    134144 Bytes  01.10.2010 09:27:43
VBASE020.VDF   : 7.10.12.122   131584 Bytes  05.10.2010 09:14:19
VBASE021.VDF   : 7.10.12.148   119296 Bytes  07.10.2010 11:52:25
VBASE022.VDF   : 7.10.12.175   142848 Bytes  11.10.2010 20:33:07
VBASE023.VDF   : 7.10.12.176     2048 Bytes  11.10.2010 20:33:07
VBASE024.VDF   : 7.10.12.177     2048 Bytes  11.10.2010 20:33:07
VBASE025.VDF   : 7.10.12.178     2048 Bytes  11.10.2010 20:33:07
VBASE026.VDF   : 7.10.12.179     2048 Bytes  11.10.2010 20:33:07
VBASE027.VDF   : 7.10.12.180     2048 Bytes  11.10.2010 20:33:07
VBASE028.VDF   : 7.10.12.181     2048 Bytes  11.10.2010 20:33:07
VBASE029.VDF   : 7.10.12.182     2048 Bytes  11.10.2010 20:33:07
VBASE030.VDF   : 7.10.12.183     2048 Bytes  11.10.2010 20:33:07
VBASE031.VDF   : 7.10.12.184     2048 Bytes  11.10.2010 20:33:07
Engineversion  : 8.2.4.78  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  31.07.2010 09:41:43
AESCRIPT.DLL   : 8.1.3.45     1368443 Bytes  18.09.2010 16:56:12
AESCN.DLL      : 8.1.6.1       127347 Bytes  13.05.2010 11:07:48
AESBX.DLL      : 8.1.3.1       254324 Bytes  24.04.2010 08:38:04
AERDL.DLL      : 8.1.9.2       635252 Bytes  22.09.2010 07:12:53
AEPACK.DLL     : 8.2.3.11      471416 Bytes  11.10.2010 20:33:11
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  25.07.2010 12:18:56
AEHEUR.DLL     : 8.1.2.33     2949496 Bytes  11.10.2010 20:33:10
AEHELP.DLL     : 8.1.14.0      246134 Bytes  11.10.2010 20:33:08
AEGEN.DLL      : 8.1.3.23      401779 Bytes  04.10.2010 09:27:44
AEEMU.DLL      : 8.1.2.0       393588 Bytes  24.04.2010 08:38:03
AECORE.DLL     : 8.1.17.0      196982 Bytes  25.09.2010 14:37:19
AEBB.DLL       : 8.1.1.0        53618 Bytes  24.04.2010 08:38:03
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 09:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 09:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 14:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  20.04.2010 07:14:27
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  20.04.2010 07:14:27
AVARKT.DLL     : 10.0.0.14     227176 Bytes  20.04.2010 07:14:27
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 07:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 10:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 13:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 12:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 11:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  20.04.2010 07:14:27

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Windows Systemverzeichnis
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysdir.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: quarantäne
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Montag, 11. Oktober 2010  22:41

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BRMFRSMG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrmfBAgS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApplicationUpdater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\WINDOWS\Temp\71205a628ee8
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.abd.1
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\55281199efbe87cc\ImagePath> wurde erfolgreich entfernt.
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet002\Services\55281199efbe87cc\ImagePath> wurde erfolgreich entfernt.
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\System\ControlSet003\Services\55281199efbe87cc\ImagePath> wurde erfolgreich entfernt.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '460ed291.qua' verschoben!

Die Registry wurde durchsucht ( '3' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\drivers\msljgsyt.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Bubnix.abd.1
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f63ceef.qua' verschoben!


Ende des Suchlaufs: Montag, 11. Oktober 2010  22:43
Benötigte Zeit: 02:33 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

    261 Verzeichnisse wurden überprüft
   5744 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
   5742 Dateien ohne Befall
     14 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise

#14 Lass bitte RootRepeal erneut laufen und poste das Log.

#15 Hallo gangren,

ich habe gestern noch Malwarebytes drüberlaufen lassen und dies schien erfolgreich gewesen zu sein.

Hier der Log von Rootrepeal:

Code

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time:        2010/10/12 19:16
Program Version:        Version 1.3.5.0
Windows Version:        Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xA9477000    Size: 98304    File Visible: No    Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7B56000    Size: 8192    File Visible: No    Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA8A31000    Size: 49152    File Visible: No    Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: c:\programme\microsoft sql server\mssql.1\mssql\log\log_508.trc
Status: Allocation size mismatch (API: 4096, Raw: 0)

SSDT
-------------------
#: 041    Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7c21676

#: 053    Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7c2166c

#: 063    Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7c2167b

#: 065    Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7c21685

#: 098    Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7c2168a

#: 122    Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7c21658

#: 128    Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7c2165d

#: 193    Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7c21694

#: 204    Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7c2168f

#: 247    Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7c21680

==EOF==