Home » Viren, Trojaner & Malware Forum » Rechner arbeitet Langsam ! » Themenansicht

Rechner arbeitet Langsam !
#0
22.12.2010, 18:20
r123s
Member

Beiträge: 262
#1 OTL logfile created on: 22.12.2010 18:16:01 - Run 2
OTL by OldTimer - Version 3.2.17.0 Folder = C:\Dokumente und Einstellungen\Admin\Desktop\tools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 87,00% Memory free
4,00 Gb Paging File | 4,00 Gb Available in Paging File | 95,00% Paging File free
Paging file location(s): C:\pagefile.sys 1512 3024 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 214,19 Gb Free Space | 91,98% Space Free | Partition Type: NTFS
Drive D: | 37,21 Gb Total Space | 32,16 Gb Free Space | 86,43% Space Free | Partition Type: NTFS
Drive E: | 34,88 Gb Total Space | 30,35 Gb Free Space | 87,02% Space Free | Partition Type: NTFS
Drive F: | 2,44 Gb Total Space | 2,44 Gb Free Space | 99,99% Space Free | Partition Type: FAT32

Computer Name: MAIN-1B84F08B18 | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Dokumente und Einstellungen\Admin\Desktop\tools\OTL.exe (OldTimer Tools)
PRC - C:\Programme\a-squared Free\a2service.exe (Emsi Software GmbH)
PRC - C:\Programme\Tall Emu\Online Armor\oacat.exe (Tall Emu)
PRC - C:\Programme\Tall Emu\Online Armor\oasrv.exe (Tall Emu)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (AVIRA GmbH)
PRC - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Dokumente und Einstellungen\Admin\Desktop\tools\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
MOD - C:\Programme\Tall Emu\Online Armor\oawatch.dll (Tall Emu)
MOD - C:\WINDOWS\system32\winsta.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\wsock32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\wtsapi32.dll (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (a2free) -- C:\PROGRAMME\A-SQUARED FREE\a2service.exe (Emsi Software GmbH)
SRV - (OAcat) -- C:\Programme\Tall Emu\Online Armor\OAcat.exe (Tall Emu)
SRV - (SvcOnlineArmor) -- C:\Programme\Tall Emu\Online Armor\oasrv.exe (Tall Emu)
SRV - (AntiVirService) -- C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (AVIRA GmbH)
SRV - (AntiVirScheduler) -- C:\Programme\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)
SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (PSI) -- C:\WINDOWS\system32\drivers\psi_mf.sys (Secunia)
DRV - (OAnet) -- C:\WINDOWS\system32\drivers\OAnet.sys (Tall Emu Pty Ltd)
DRV - (OAmon) -- C:\WINDOWS\system32\drivers\OAmon.sys (Tall Emu)
DRV - (OADevice) -- C:\WINDOWS\system32\drivers\OADriver.sys (Tall Emu)
DRV - (pavboot) -- C:\WINDOWS\system32\drivers\pavboot.sys (Panda Security, S.L.)
DRV - (AFS2K) -- C:\WINDOWS\System32\drivers\AFS2K.SYS (Oak Technology Inc.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (e1express) Intel(R) -- C:\WINDOWS\system32\drivers\e1e5132.sys (Intel Corporation)
DRV - (HECI) Intel(R) -- C:\WINDOWS\system32\drivers\HECI.sys (Intel Corporation)
DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.)
DRV - (avgio) -- C:\Programme\AntiVir PersonalEdition Classic\avgio.sys (H+BEDV Datentechnik GmbH)
DRV - (avgntflt) -- C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys (H+BEDV Datentechnik GmbH)
DRV - (sfng32) -- C:\WINDOWS\system32\drivers\sfng32.sys (Sonic Focus, Inc)
DRV - (ASPI) -- C:\WINDOWS\system32\drivers\ASPI32.SYS (Adaptec)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542"
FF - prefs.js..browser.search.order.1: "BearShare Web Search"
FF - prefs.js..browser.search.param.yahoo-fr: "moz3"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "moz3"
FF - prefs.js..browser.search.selectedEngine: "BearShare Web Search"
FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/"
FF - prefs.js..extensions.enabledItems: {ce18769b-c7fa-42d2-860d-17c4662c70ad}:2.7.2.0
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {AA994882-F391-4d2e-806F-8908DA4814ED}:2.2
FF - prefs.js..extensions.enabledItems: {E84D42CA-64EB-11DE-A65F-8C3656D89593}:3.1
FF - prefs.js..extensions.enabledItems: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065}:2.5.8.6
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546
FF - prefs.js..extensions.enabledItems: {1FD91A9C-410C-4090-BBCC-55D3450EF433}:2.0
FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q="


FF - HKLM\software\mozilla\Mozilla Firefox 3.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.18 07:26:57 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.18 07:26:57 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.08.28 07:32:27 | 000,000,000 | ---D | M]

[2010.12.10 12:56:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions
[2010.12.10 12:56:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\6n81zofd.default\extensions
[2010.11.10 17:39:42 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\6n81zofd.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.06.30 11:40:06 | 000,000,000 | ---D | M] (kikin plugin (Softonic Edition)) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\6n81zofd.default\extensions\{AA994882-F391-4d2e-806F-8908DA4814ED}
[2010.04.11 12:21:26 | 000,000,000 | ---D | M] (softonic-de3 Toolbar) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\6n81zofd.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}
[2010.09.21 17:22:45 | 000,000,000 | ---D | M] (Babylon-English Toolbar) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\6n81zofd.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad}
[2010.12.10 12:56:56 | 000,000,000 | ---D | M] (MediaBar) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\6n81zofd.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593}
[2010.09.14 13:41:12 | 000,002,506 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\6n81zofd.default\searchplugins\BearShareWebSearch.xml
[2010.03.16 10:42:56 | 000,000,927 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\6n81zofd.default\searchplugins\conduit.xml
[2010.12.15 18:51:37 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.05.25 10:39:57 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Programme\Mozilla Firefox\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2008.12.18 23:30:20 | 000,106,128 | ---- | M] ( ) -- C:\Programme\Mozilla Firefox\plugins\npstrlnk.dll
[2008.03.15 14:56:14 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.21 17:22:42 | 000,002,226 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\babylon.xml
[2010.09.14 13:41:12 | 000,002,506 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\BearShareWebSearch.xml
[2008.03.15 14:56:14 | 000,002,642 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2008.02.19 15:40:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2006.12.03 16:59:22 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2006.11.17 12:19:24 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.07.14 09:09:40 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {4F07DA45-8170-4859-9B5F-037EF2970034} - C:\Programme\Tall Emu\Online Armor\oaevent.dll (Tall Emu)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.02.16 11:15:42 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2005.11.14 19:40:48 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.12.21 17:24:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1A186
[2010.12.20 17:00:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\26399
[2010.12.13 15:10:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\damian-hh
[2010.12.10 12:56:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BearShare
[2010.12.10 12:55:43 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{E79EBD1D-6C43-4FAA-8F4C-0BCF5A258E82}
[2010.12.10 12:55:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\PackageAware
[2010.12.08 19:06:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\dell

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.12.22 18:16:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{EFEF8E6C-0BD5-4F24-BC04-E9CC0FC61AAC}.job
[2010.12.22 17:59:25 | 000,000,488 | ---- | M] () -- C:\hpfr5550.xml
[2010.12.22 17:43:56 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.12.22 17:43:56 | 000,000,362 | ---- | M] () -- C:\WINDOWS\tasks\Registry Reviver-Admin-Startup.job
[2010.12.22 17:43:49 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.12.22 17:26:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.12.21 17:33:11 | 000,008,419 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Bayern Plus.url
[2010.12.21 17:26:03 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.12.20 19:15:29 | 000,000,263 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Parallels Confixx.url
[2010.12.17 17:03:15 | 000,095,864 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.12.17 13:54:58 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.12.15 19:35:30 | 744,133,574 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Image.nrg
[2010.12.14 17:49:43 | 000,000,000 | ---- | M] () -- C:\testwma.raw
[2010.12.13 14:31:08 | 000,098,927 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\rodney.jpg
[2010.12.13 11:33:26 | 000,130,819 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\damian.jpg
[2010.12.10 12:56:11 | 000,000,825 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\BearShare.lnk
[2010.12.09 13:49:02 | 000,078,290 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\student.jpg
[2010.12.03 19:32:46 | 000,000,043 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\damian2.gif
[2010.12.03 19:32:46 | 000,000,043 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\damian.gif
[2010.11.28 13:49:57 | 000,357,157 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Opel_Astra.jpg
[2010.11.23 15:05:15 | 000,269,196 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\berliner-sparkasse.jpg

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.12.14 17:42:54 | 744,133,574 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Image.nrg
[2010.12.14 17:27:06 | 000,000,000 | ---- | C] () -- C:\testwma.raw
[2010.12.13 14:43:36 | 000,098,927 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\rodney.jpg
[2010.12.13 11:33:56 | 000,130,819 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\damian.jpg
[2010.12.10 12:56:11 | 000,000,825 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\BearShare.lnk
[2010.12.09 13:49:01 | 000,078,290 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\student.jpg
[2010.12.05 11:24:21 | 000,000,043 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\damian2.gif
[2010.12.05 11:23:57 | 000,000,043 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\damian.gif
[2010.11.28 13:51:26 | 000,357,157 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Opel_Astra.jpg
[2010.11.23 15:05:13 | 000,269,196 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\berliner-sparkasse.jpg
[2010.04.08 07:48:46 | 000,000,056 | ---- | C] () -- C:\WINDOWS\uilib.INI
[2010.02.14 12:51:14 | 000,076,407 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Smiley.ico
[2010.01.07 16:50:28 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2009.12.28 14:02:54 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND
[2009.08.16 09:26:39 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.02.28 17:42:24 | 000,001,176 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2009.02.17 10:14:10 | 000,000,849 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2009.02.16 13:46:29 | 000,000,173 | ---- | C] () -- C:\WINDOWS\KPCMS.INI
[2009.02.16 13:46:16 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT10.DLL
[2009.02.16 12:38:31 | 000,065,536 | ---- | C] () -- C:\WINDOWS\Dit.DLL
[2009.02.16 12:38:31 | 000,000,208 | ---- | C] () -- C:\WINDOWS\Dit.INI
[2009.02.16 11:07:39 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.09.17 23:55:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2004.08.04 13:00:00 | 000,000,087 | R-S- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\usernt.dat
[2003.11.18 09:03:28 | 000,200,704 | --S- | C] () -- C:\WINDOWS\System32\archlib.dll
[2003.03.09 21:31:04 | 000,561,152 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll

[color=#E56717]========== LOP Check ==========[/color]

[2010.12.10 13:50:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\bearsharemediabartb
[2010.07.10 08:31:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Beok
[2010.09.10 16:43:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ICQ
[2010.06.06 10:28:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\JonDo
[2010.06.06 10:09:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\kikin
[2010.12.21 17:00:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Lynoe
[2009.07.14 11:35:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\NCH Swift Sound
[2009.10.08 15:54:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OnlineArmor
[2010.09.20 10:59:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\PCFix
[2010.09.10 08:47:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\SuperMailer
[2009.04.15 19:14:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\T-Online
[2010.04.07 16:08:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Tenebril
[2009.04.06 08:25:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Thunderbird
[2009.09.02 19:27:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TuneUp Software
[2010.12.21 17:24:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1A186
[2010.12.20 17:00:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\26399
[2010.09.17 07:28:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2E138
[2010.12.22 09:47:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
[2010.12.10 12:56:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BearShare
[2009.02.16 17:43:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2009.10.23 12:16:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster
[2009.07.14 16:14:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
[2009.10.08 15:54:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OnlineArmor
[2009.04.17 18:07:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2009.09.02 19:27:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2010.08.28 07:33:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.12.10 12:56:47 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{E79EBD1D-6C43-4FAA-8F4C-0BCF5A258E82}
[2009.06.27 16:25:17 | 000,000,334 | ---- | M] () -- C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2200 series#1236153915.job
[2010.12.22 17:43:56 | 000,000,362 | ---- | M] () -- C:\WINDOWS\Tasks\Registry Reviver-Admin-Startup.job
[2010.12.22 18:16:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{EFEF8E6C-0BD5-4F24-BC04-E9CC0FC61AAC}.job

[color=#E56717]========== Purity Check ==========[/color]



< End of report >



--------------



GMER 1.0.15.15477 - http://www.gmer.net
Rootkit scan 2010-12-21 19:41:39
Windows 5.1.2600 Service Pack 3
Running: e87yr4bi.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\ffldqpoc.sys


---- System - GMER 1.0.15 ----

SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwAllocateVirtualMemory [0xB40FEE60]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwAssignProcessToJobObject [0xB40FF5C0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwConnectPort [0xB40FD610]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwCreateFile [0xB410C0D0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwCreateKey [0xB410A430]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwCreatePort [0xB40FD2C0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwCreateProcess [0xB40FA580]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwCreateProcessEx [0xB40FA960]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwCreateSection [0xB40FA060]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwCreateThread [0xB40FBA40]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwDebugActiveProcess [0xB40FC5A0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwDeleteFile [0xB410CB50]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwDeleteKey [0xB410A9E0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwDeleteValueKey [0xB410B330]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwDuplicateObject [0xB40FCFE0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwEnumerateKey [0xB410C070]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwEnumerateValueKey [0xB410C0A0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwLoadDriver [0xB40FE5D0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwLoadKey [0xB410B780]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwOpenFile [0xB410C760]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwOpenKey [0xB410AC20]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwOpenProcess [0xB40FB450]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwOpenSection [0xB40FA300]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwOpenThread [0xB40FBF00]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwProtectVirtualMemory [0xB40FF250]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwQueryDirectoryFile [0xB40FEA10]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwQueryKey [0xB410C010]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwQueryValueKey [0xB410C040]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwQueueApcThread [0xB40FF740]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwReplaceKey [0xB410BB20]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwRequestWaitReplyPort [0xB40FE180]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwRestoreKey [0xB410BD80]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwResumeThread [0xB40FCC90]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwSaveKey [0xB410BFF0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwSecureConnectPort [0xB40FD9D0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwSetContextThread [0xB40FC3C0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwSetInformationFile [0xB410CE10]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwSetSystemInformation [0xB40FC720]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwSetValueKey [0xB410AC40]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwShutdownSystem [0xB40FE4D0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwSuspendProcess [0xB40FCE40]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwSuspendThread [0xB40FCAC0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwSystemDebugControl [0xB40FC900]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwTerminateProcess [0xB40FB800]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwTerminateThread [0xB40FC1A0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwUnloadDriver [0xB40FE7F0]
SSDT \??\C:\WINDOWS\system32\drivers\OADriver.sys (OA Helper Driver/Tall Emu) ZwWriteVirtualMemory [0xB40FF400]

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2C9C 80504538 12 Bytes [C0, D2, 0F, B4, 80, A5, 0F, ...]
.text ntkrnlpa.exe!ZwCallbackReturn + 2E28 805046C4 4 Bytes JMP E5FEB40F
.text ntkrnlpa.exe!ZwCallbackReturn + 2FD8 80504874 12 Bytes [40, CE, 0F, B4, C0, CA, 0F, ...]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB739D3A0, 0x59FFE5, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\wdfmgr.exe[204] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\Java\jre6\bin\jqs.exe[272] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\WINDOWS\Explorer.EXE[276] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00FE0001
.text C:\WINDOWS\Explorer.EXE[276] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\Explorer.EXE[276] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\Explorer.EXE[276] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\WINDOWS\Explorer.EXE[276] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\WINDOWS\Explorer.EXE[276] iphlpapi.dll!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F100F5A
.text C:\WINDOWS\system32\csrss.exe[496] KERNEL32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\system32\winlogon.exe[552] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\system32\services.exe[604] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\system32\lsass.exe[616] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\WINDOWS\system32\nvsvc32.exe[784] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text ...
.text C:\PROGRAMME\A-SQUARED FREE\a2service.exe[1272] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 0045493D C:\PROGRAMME\A-SQUARED FREE\a2service.exe (a-squared Service/Emsi Software GmbH)
.text C:\Programme\Tall Emu\Online Armor\OAcat.exe[1356] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\Programme\Tall Emu\Online Armor\oasrv.exe[1380] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00B60001
.text C:\Programme\Tall Emu\Online Armor\oasrv.exe[1380] user32.dll!LoadStringW 7E369E36 6 Bytes JMP 5F0B001E
.text C:\Programme\Tall Emu\Online Armor\oasrv.exe[1380] user32.dll!LoadStringA 7E37C908 6 Bytes JMP 5F05001E
.text C:\WINDOWS\system32\spoolsv.exe[1556] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 716F003D
.text C:\Programme\AntiVir PersonalEdition Classic\sched.exe[1640] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\AntiVir PersonalEdition Classic\avguard.exe[1780] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\WINDOWS\system32\ctfmon.exe[1896] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00C50001
.text C:\WINDOWS\system32\ctfmon.exe[1896] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\ctfmon.exe[1896] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\ctfmon.exe[1896] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\WINDOWS\system32\ctfmon.exe[1896] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Dokumente und Einstellungen\Admin\Desktop\tools\e87yr4bi.exe[1944] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00CF0001
.text C:\Dokumente und Einstellungen\Admin\Desktop\tools\e87yr4bi.exe[1944] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Dokumente und Einstellungen\Admin\Desktop\tools\e87yr4bi.exe[1944] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Dokumente und Einstellungen\Admin\Desktop\tools\e87yr4bi.exe[1944] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Dokumente und Einstellungen\Admin\Desktop\tools\e87yr4bi.exe[1944] user32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Dokumente und Einstellungen\Admin\Desktop\tools\e87yr4bi.exe[1944] ole32.dll!CoCreateInstanceEx 774CF154 6 Bytes JMP 5F130F5A
.text C:\Dokumente und Einstellungen\Admin\Desktop\tools\e87yr4bi.exe[1944] ole32.dll!CoCreateInstance 774CF1AC 6 Bytes JMP 5F100F5A
.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2236] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\Internet Explorer\iexplore.exe[2380] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00D40001
.text C:\Programme\Internet Explorer\iexplore.exe[2380] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Internet Explorer\iexplore.exe[2380] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\Internet Explorer\iexplore.exe[2380] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\Internet Explorer\iexplore.exe[2380] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2380] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AE9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2380] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D145 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2380] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2380] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D4696 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2380] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41364FEF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2380] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364F21 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2380] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41364F8C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2380] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364DF2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2380] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 41364E54 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2380] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41365052 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2380] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Internet Explorer\iexplore.exe[2380] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364EB6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2380] ole32.dll!CoCreateInstanceEx 774CF154 6 Bytes JMP 5F130F5A
.text C:\Programme\Internet Explorer\iexplore.exe[2380] ole32.dll!CoCreateInstance 774CF1AC 6 Bytes JMP 5F100F5A
.text C:\Programme\Internet Explorer\iexplore.exe[2380] ole32.dll!OleLoadFromStream 774F981B 5 Bytes JMP 41365370 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2380] iphlpapi.dll!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F160F5A
.text C:\WINDOWS\system32\wscntfy.exe[2428] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00B40001
.text C:\WINDOWS\system32\wscntfy.exe[2428] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\WINDOWS\system32\wscntfy.exe[2428] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\WINDOWS\system32\wscntfy.exe[2428] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\WINDOWS\system32\wscntfy.exe[2428] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Internet Explorer\iexplore.exe[2452] ntdll.dll!NtClose 7C91CFEE 5 Bytes JMP 1003DF40 C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll (Data Manager/MusicLab, LLC)
.text C:\Programme\Internet Explorer\iexplore.exe[2452] ntdll.dll!NtCreateKey 7C91D0EE 5 Bytes JMP 1003DEC0 C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll (Data Manager/MusicLab, LLC)
.text C:\Programme\Internet Explorer\iexplore.exe[2452] ntdll.dll!NtOpenKey 7C91D5CE 5 Bytes JMP 1003DEF0 C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll (Data Manager/MusicLab, LLC)
.text C:\Programme\Internet Explorer\iexplore.exe[2452] ntdll.dll!NtQueryValueKey 7C91D96E 5 Bytes JMP 1003DE60 C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll (Data Manager/MusicLab, LLC)
.text C:\Programme\Internet Explorer\iexplore.exe[2452] ntdll.dll!NtSetValueKey 7C91DDCE 2 Bytes JMP 1003DE90 C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll (Data Manager/MusicLab, LLC)
.text C:\Programme\Internet Explorer\iexplore.exe[2452] ntdll.dll!NtSetValueKey + 3 7C91DDD1 2 Bytes [72, 93] {JB 0xffffffffffffff95}
.text C:\Programme\Internet Explorer\iexplore.exe[2452] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00E00001
.text C:\Programme\Internet Explorer\iexplore.exe[2452] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\Internet Explorer\iexplore.exe[2692] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes CALL 00D40001
.text C:\Programme\Internet Explorer\iexplore.exe[2692] kernel32.dll!CreateProcessW 7C802336 6 Bytes JMP 5F0A0F5A
.text C:\Programme\Internet Explorer\iexplore.exe[2692] kernel32.dll!CreateProcessA 7C80236B 6 Bytes JMP 5F040F5A
.text C:\Programme\Internet Explorer\iexplore.exe[2692] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D
.text C:\Programme\Internet Explorer\iexplore.exe[2692] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2692] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2692] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41364FEF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2692] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364F21 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2692] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41364F8C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2692] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364DF2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2692] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 41364E54 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2692] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41365052 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2692] USER32.dll!ExitWindowsEx 7E3AA275 6 Bytes JMP 5F0D0F5A
.text C:\Programme\Internet Explorer\iexplore.exe[2692] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364EB6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[2692] ole32.dll!CoCreateInstanceEx 774CF154 6 Bytes JMP 5F130F5A
.text C:\Programme\Internet Explorer\iexplore.exe[2692] ole32.dll!CoCreateInstance 774CF1AC 6 Bytes JMP 5F100F5A
.text C:\Programme\Internet Explorer\iexplore.exe[2692] iphlpapi.dll!IcmpSendEcho2 76D2B73C 6 Bytes JMP 5F160F5A
.text C:\WINDOWS\System32\alg.exe[2728] kernel32.dll!FreeLibrary + 15 7C80AC93 4 Bytes CALL 7170003D

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [B816B300] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [B816B360] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [B816B610] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [B816B650] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [B816B610] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [B816B360] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [B816B300] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [B816B300] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [B816B360] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [B816B650] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [B816B610] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [B816B610] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [B816B650] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [B816B300] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [B816B360] \??\C:\WINDOWS\system32\drivers\OAnet.sys (OA Helper Driver/Tall Emu Pty Ltd)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Programme\Internet Explorer\iexplore.exe[2380] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device \Driver\Tcpip \Device\Ip OAmon.sys (TDI Helper Driver/Tall Emu)
Device \Driver\Tcpip \Device\Tcp OAmon.sys (TDI Helper Driver/Tall Emu)
Device \Driver\Tcpip \Device\Udp OAmon.sys (TDI Helper Driver/Tall Emu)
Device \Driver\Tcpip \Device\RawIp OAmon.sys (TDI Helper Driver/Tall Emu)
Device \Driver\Tcpip \Device\IPMULTICAST OAmon.sys (TDI Helper Driver/Tall Emu)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sectors 156301233 (+254): rootkit-like behavior;

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Admin\Cookies\admin@serving-sys[2].txt 451 bytes
File C:\Dokumente und Einstellungen\Admin\Cookies\admin@specificclick[1].txt 0 bytes
File C:\Dokumente und Einstellungen\Admin\Cookies\admin@bs.serving-sys[1].txt 146 bytes
File C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YC0XKO33\6324_72x60[1].jpg 3022 bytes

---- EOF - GMER 1.0.15 ----
Seitenanfang Seitenende
23.12.2010, 18:23
Swisstreasure
Moderator

Beiträge: 5694
#2 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

BleepingComputer
ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.
Seitenanfang Seitenende
11.05.2011, 17:59
r123s
Member

Themenstarter

Beiträge: 262
#3 ComboFix 11-05-04.04 - Admin 11.05.2011 17:52:24.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3054.2459 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: /U
AV: Avira AntiVir PersonalEdition Classic *Enabled/Outdated* {00000000-0000-0000-0000-000000000000}
FW: Online Armor Firewall *Disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Admin\Anwendungsdaten\Help\coredb\storage
c:\dokumente und einstellungen\Admin\Anwendungsdaten\PCFix
c:\dokumente und einstellungen\Admin\Anwendungsdaten\PCFix\log.dat
c:\dokumente und einstellungen\Admin\Anwendungsdaten\PCFix\unresolvederrors.dat
c:\dokumente und einstellungen\Admin\WINDOWS
c:\windows\system32\MailBee.dll
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-04-11 bis 2011-05-11 ))))))))))))))))))))))))))))))
.
.
2011-05-11 06:34 . 2011-05-11 06:34 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2011-05-11 06:33 . 2011-03-30 17:50 31552 ----a-w- c:\windows\system32\TURegOpt.exe
2011-05-11 06:33 . 2011-03-30 17:45 29504 ----a-w- c:\windows\system32\uxtuneup.dll
2011-05-11 06:32 . 2011-05-11 06:33 -------- d-----w- c:\programme\TuneUp Utilities 2011
2011-05-11 06:32 . 2011-05-11 06:32 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
2011-05-05 17:23 . 2011-05-05 17:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\1F271
2011-05-05 17:20 . 2011-05-05 17:20 -------- d-----w- c:\windows\system32\wbem\Repository
2011-05-05 17:04 . 2011-05-05 17:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\1DCB
2011-05-05 10:12 . 2011-05-05 10:12 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\DVDVideoSoftIEHelpers
2011-05-05 10:12 . 2011-05-05 17:20 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2011-05-05 10:12 . 2011-05-05 10:12 -------- d-----w- c:\programme\DVDVideoSoft
2011-04-20 16:07 . 2011-04-20 16:07 -------- d-----w- c:\dokumente und einstellungen\Admin\4.0
2011-04-20 16:07 . 2011-04-20 16:07 -------- d-----w- c:\dokumente und einstellungen\Admin\.tfo4
2011-04-15 11:08 . 2011-04-15 11:08 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\TeamViewer
2011-04-15 11:08 . 2011-04-15 11:08 -------- d-----w- c:\dokumente und einstellungen\Admin\temp
2011-04-15 08:38 . 2011-04-15 11:12 -------- d-----w- c:\dokumente und einstellungen\Admin\.spamassassin
2011-04-15 08:38 . 2011-04-15 08:38 -------- d-----w- c:\dokumente und einstellungen\Admin\.razor
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-07 05:33 . 2009-02-16 10:13 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-08-04 12:00 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-04 12:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-22 23:05 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 23:05 . 2004-08-04 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 23:05 . 2004-08-04 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-02-22 11:41 . 2004-08-04 12:00 385024 ----a-w- c:\windows\system32\html.iec
2011-02-17 13:18 . 2004-08-04 12:00 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2004-08-04 12:00 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2004-08-04 12:00 290432 ----a-w- c:\windows\system32\atmfd.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-01 39408]
"Vidalia"="c:\programme\Vidalia Bundle\Vidalia\vidalia.exe" [2010-02-28 5344807]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"Google Quick Search Box"="c:\programme\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2011-04-08 126976]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "c:\progra~1\TALLEM~1\ONLINE~1\oaevent.dll" [2009-07-11 336584]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.exe.lnk
backup=c:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 2000 Series.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 2000 Series.lnk
backup=c:\windows\pss\hp psc 2000 Series.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk
backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\@OnlineArmor GUI]
2009-07-11 03:58 2121416 ----a-w- c:\programme\Tall Emu\Online Armor\oaui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2006-03-29 10:54 233512 ----a-w- c:\programme\AntiVir PersonalEdition Classic\avgnt.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataMngr]
2010-10-19 12:53 983480 ----a-w- c:\programme\BearShare Applications\MediaBar\DataMngr\datamngrUI.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
2002-08-28 12:43 73728 ----a-w- c:\windows\Dit.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Quick Search Box]
2011-04-08 07:53 126976 ----a-w- c:\programme\Google\Quick Search Box\GoogleQuickSearchBox.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelAudioStudio]
2006-06-07 16:11 9129984 ----a-w- c:\programme\Intel Audio Studio\IntelAudioStudio.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22 1695232 ----a-w- c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NapsterShell]
2008-12-18 22:30 323216 ----a-w- c:\programme\Napster\napster.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 15:40 155648 ----a-w- c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-07-09 14:24 13923432 ----a-w- c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-07-09 14:24 110696 ----a-w- c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-03-01 09:55 39408 ----a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
2009-02-28 07:17 185896 ----a-w- c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vidalia]
2010-02-28 03:45 5344807 ----a-w- c:\programme\Vidalia Bundle\Vidalia\vidalia.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" -atboottime
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\BearShare Applications\\BearShare\\BearShare.exe"=
"c:\\Programme\\Ipswitch\\WS_FTP Pro\\wsftpgui.exe"=
.
R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [08.10.2009 16:54 200784]
R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [08.10.2009 16:54 24656]
R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [08.10.2009 16:54 29776]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [09.04.2011 11:01 247096]
R2 OAcat;Online Armor Helper Service;c:\programme\Tall Emu\Online Armor\oacat.exe [08.10.2009 16:54 362184]
R2 SvcOnlineArmor;Online Armor;c:\programme\Tall Emu\Online Armor\oasrv.exe [08.10.2009 16:54 3142344]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [30.03.2011 19:48 1523008]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [10.02.2011 11:22 10064]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [07.02.2010 10:59 135664]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [14.07.2009 12:11 16512]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [07.07.2010 16:05 14904]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
2009-06-27 c:\windows\Tasks\FRU Task 2003-04-06 08:52ewlett-Packard2003-04-06 08:52p psc 2200 series5E771253C1676EBED677BF361FDFC537825E15B8236153915.job
- c:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-05 23:52]
.
2011-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-07 08:59]
.
2011-05-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-07 08:59]
.
2011-05-11 c:\windows\Tasks\User_Feed_Synchronization-{EFEF8E6C-0BD5-4F24-BC04-E9CC0FC61AAC}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
FF - ProfilePath - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\6n81zofd.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542
FF - prefs.js: browser.search.selectedEngine - BearShare Web Search
FF - prefs.js: browser.startup.homepage - hxxp://search.bearshare.com/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.9&q=
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - c:\programme\Mozilla Firefox\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: kikin plugin (Softonic Edition): {AA994882-F391-4d2e-806F-8908DA4814ED} - %profile%\extensions\{AA994882-F391-4d2e-806F-8908DA4814ED}
FF - Ext: softonic-de3 Toolbar: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - %profile%\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}
FF - Ext: MediaBar: {E84D42CA-64EB-11DE-A65F-8C3656D89593} - %profile%\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593}
FF - Ext: Babylon-English Toolbar: {ce18769b-c7fa-42d2-860d-17c4662c70ad} - %profile%\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - %profile%\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
SafeBoot-klmdb.sys
MSConfigStartUp-nwiz - nwiz.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-11 17:54
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-11 17:57:45
ComboFix-quarantined-files.txt 2011-05-11 15:57
.
Vor Suchlauf: 14 Verzeichnis(se), 235.422.117.888 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 235.653.099.520 Bytes frei
.
- - End Of File - - FD1748F003DF78242F190109AC6F9F9B
Seitenanfang Seitenende
11.05.2011, 19:29
Swisstreasure
Moderator

Beiträge: 5694
#4 STOP!!! Ich fragte Dich nur warum Du nicht geantwortet hast. Du sollst CF nicht ausführen!
Seitenanfang Seitenende
12.05.2011, 07:53
r123s
Member

Themenstarter

Beiträge: 262
#5 Ich hatte die mail nicht mehr gelesen und dachte das Problem wäre gelöst.
Bitte um weitere Vorgehensweise.
Seitenanfang Seitenende
12.05.2011, 18:22
Swisstreasure
Moderator

Beiträge: 5694
#6 Dann sag wo genau der Schuh noch drückt.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1