TR/Obfuscated.29996C entfernen?

#0
06.01.2011, 12:24
...neu hier

Beiträge: 9
#1 Hi,

AntiVir meldet den TR/Obfuscated.29996C aber dauerhaft wird er von Antivir nicht entfernt.
Malwarebytes meldet im Gegensatz zu AntiVir noch weitere Probleme.

Hier meine Logdateien:

Hijackthis:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:46:43, on 06.01.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Application Updater\ApplicationUpdater.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\MioNet\MioNetManager.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\MioNet\jvm\bin\MioNet.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDFME\WDFME.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\PROGRA~1\WINDOW~4\Datamngr\DATAMN~1.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Software4u\iPhone Explorer\Software4u.IPELauncher.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssend2\svcnost.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MioNet\jvm\bin\MioNet.exe
C:\WINDOWS\system32\notepad.exe
I:\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WINDOW~4\ToolBar\SearchquDx.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll
O3 - Toolbar: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~1\WINDOW~4\ToolBar\SearchquDx.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SearchSettings] "C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [MioNet] C:\Programme\MioNet\MioNetLauncher.exe /p
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WINDOW~4\Datamngr\DATAMN~1.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RegistryBooster] "C:\Programme\Uniblue\RegistryBooster\launcher.exe" delay 20000
O4 - HKCU\..\Run: [iPhone Explorer Launcher] "C:\Programme\Software4u\iPhone Explorer\Software4u.IPELauncher.exe" /run
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [odbcmapLite] rundll32.exe "C:\Dokumente und Einstellungen\xy\Lokale Einstellungen\Anwendungsdaten\mfcMousedlg\odbcmapLite.dll",i18HelpARM Applecfgdb
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [mssend] "C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssend2\svcnost.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WDDMStatus.lnk = C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: c:\progra~1\window~4\datamngr\datamngr.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MioNet - Unknown owner - C:\Programme\MioNet\MioNetManager.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: WDDMService - WDC - C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
O23 - Service: WD File Management Engine (WDFME) - Unknown owner - C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDFME\WDFME.exe
O23 - Service: WD File Management Shadow Engine (WDSC) - Unknown owner - C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSC.exe

--
End of file - 9617 bytes

und das Log von Malwarebytes Anti-Malware:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5468

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

06.01.2011 11:57:41
mbam-log-2011-01-06 (11-57-28).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 136855
Laufzeit: 4 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> 1592 -> No action taken.

Infizierte Speichermodule:
c:\dokumente und einstellungen\xy\anwendungsdaten\xssend2\svcnost.exe (Spyware.Passwords) -> No action taken.
c:\dokumente und einstellungen\xy\lokale einstellungen\anwendungsdaten\mfcmousedlg\odbcmaplite.dll (Trojan.Agent) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAMME\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mssend (Spyware.Passwords) -> Value: mssend -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\odbcmapLite (Trojan.Agent) -> Value: odbcmapLite -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> No action taken.
c:\dokumente und einstellungen\xy\anwendungsdaten\xssend2\svcnost.exe (Spyware.Passwords) -> No action taken.
c:\programme\pdfforge toolbar\IE\4.1\pdfforgetoolbarie.dll (PUP.Dealio) -> No action taken.
c:\dokumente und einstellungen\xy\lokale einstellungen\anwendungsdaten\mfcmousedlg\odbcmaplite.dll (Trojan.Agent) -> No action taken.


Bin über jeden Tipp der weiterhilft dankbar!

VG 5mxpro
Seitenanfang Seitenende
06.01.2011, 17:02
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
Seitenanfang Seitenende
06.01.2011, 21:35
...neu hier

Themenstarter

Beiträge: 9
#3 Hi,

also nachdem ich mittels Hijackthis einiges habe löschen lassen, sieht das System für mich wieder sauber aus, aber ein versteckter Eintrag in der Registry wird noch von AntiVir gemeldet und ich habe die gewünschten Schritte durchgeführt.

Hier die Logs:
Antivir:

Code



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 6. Januar 2011  16:29

Es wird nach 2330942 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : xy
Computername   : MICROSTAR

Versionsinformationen:
BUILD.DAT      : 10.0.0.609     31824 Bytes  13.12.2010 09:29:00
AVSCAN.EXE     : 10.0.3.5      435368 Bytes  10.12.2010 15:35:18
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  30.03.2010 10:42:16
LUKE.DLL       : 10.0.3.2      104296 Bytes  10.12.2010 15:35:18
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 08:15:48
VBASE002.VDF   : 7.11.0.1        2048 Bytes  14.12.2010 08:15:48
VBASE003.VDF   : 7.11.0.2        2048 Bytes  14.12.2010 08:15:48
VBASE004.VDF   : 7.11.0.3        2048 Bytes  14.12.2010 08:15:48
VBASE005.VDF   : 7.11.0.4        2048 Bytes  14.12.2010 08:15:49
VBASE006.VDF   : 7.11.0.5        2048 Bytes  14.12.2010 08:15:49
VBASE007.VDF   : 7.11.0.6        2048 Bytes  14.12.2010 08:15:49
VBASE008.VDF   : 7.11.0.7        2048 Bytes  14.12.2010 08:15:49
VBASE009.VDF   : 7.11.0.8        2048 Bytes  14.12.2010 08:15:49
VBASE010.VDF   : 7.11.0.9        2048 Bytes  14.12.2010 08:15:49
VBASE011.VDF   : 7.11.0.10       2048 Bytes  14.12.2010 08:15:49
VBASE012.VDF   : 7.11.0.11       2048 Bytes  14.12.2010 08:15:49
VBASE013.VDF   : 7.11.0.52     128000 Bytes  16.12.2010 07:24:36
VBASE014.VDF   : 7.11.0.91     226816 Bytes  20.12.2010 08:31:50
VBASE015.VDF   : 7.11.0.122    136192 Bytes  21.12.2010 11:38:24
VBASE016.VDF   : 7.11.0.156    122880 Bytes  24.12.2010 11:38:24
VBASE017.VDF   : 7.11.0.185    146944 Bytes  27.12.2010 10:56:05
VBASE018.VDF   : 7.11.0.228    132608 Bytes  30.12.2010 17:02:22
VBASE019.VDF   : 7.11.1.5      148480 Bytes  03.01.2011 10:47:56
VBASE020.VDF   : 7.11.1.6        2048 Bytes  03.01.2011 10:47:56
VBASE021.VDF   : 7.11.1.7        2048 Bytes  03.01.2011 10:47:56
VBASE022.VDF   : 7.11.1.8        2048 Bytes  03.01.2011 10:47:56
VBASE023.VDF   : 7.11.1.9        2048 Bytes  03.01.2011 10:47:56
VBASE024.VDF   : 7.11.1.10       2048 Bytes  03.01.2011 10:47:57
VBASE025.VDF   : 7.11.1.11       2048 Bytes  03.01.2011 10:47:57
VBASE026.VDF   : 7.11.1.12       2048 Bytes  03.01.2011 10:47:57
VBASE027.VDF   : 7.11.1.13       2048 Bytes  03.01.2011 10:47:57
VBASE028.VDF   : 7.11.1.14       2048 Bytes  03.01.2011 10:47:57
VBASE029.VDF   : 7.11.1.15       2048 Bytes  03.01.2011 10:47:57
VBASE030.VDF   : 7.11.1.16       2048 Bytes  03.01.2011 10:47:57
VBASE031.VDF   : 7.11.1.34     137216 Bytes  05.01.2011 10:47:57
Engineversion  : 8.2.4.134
AEVDF.DLL      : 8.1.2.1       106868 Bytes  29.09.2010 17:16:45
AESCRIPT.DLL   : 8.1.3.51     1286524 Bytes  30.12.2010 17:02:45
AESCN.DLL      : 8.1.7.2       127349 Bytes  24.11.2010 08:14:56
AESBX.DLL      : 8.1.3.2       254324 Bytes  24.11.2010 08:14:57
AERDL.DLL      : 8.1.9.2       635252 Bytes  29.09.2010 17:16:44
AEPACK.DLL     : 8.2.4.7       512375 Bytes  30.12.2010 17:02:41
AEOFFICE.DLL   : 8.1.1.10      201084 Bytes  24.11.2010 08:14:56
AEHEUR.DLL     : 8.1.2.60     3158392 Bytes  30.12.2010 17:02:39
AEHELP.DLL     : 8.1.16.0      246136 Bytes  03.12.2010 07:48:04
AEGEN.DLL      : 8.1.5.0       397685 Bytes  03.12.2010 07:48:04
AEEMU.DLL      : 8.1.3.0       393589 Bytes  24.11.2010 08:14:54
AECORE.DLL     : 8.1.19.0      196984 Bytes  03.12.2010 07:48:03
AEBB.DLL       : 8.1.1.0        53618 Bytes  29.09.2010 17:16:40
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.2       53096 Bytes  05.11.2010 19:18:49
AVSCPLR.DLL    : 10.0.3.2       84328 Bytes  10.12.2010 15:35:18
AVARKT.DLL     : 10.0.22.6     231784 Bytes  10.12.2010 15:35:17
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.58.0      98152 Bytes  05.11.2010 19:18:48

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 6. Januar 2011  16:29

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'MioNet.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDSC.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDDMStatus.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'Software4u.IPELauncher.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'RunDll32.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'DATAMN~1.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDFME.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchSettings.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDDMService.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reader_sl.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlangui.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'MioNet.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'MioNetManager.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'WlanNetService.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1059' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'


Ende des Suchlaufs: Donnerstag, 6. Januar 2011  17:06
Benötigte Zeit: 36:44 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   6702 Verzeichnisse wurden überprüft
289878 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
289878 Dateien ohne Befall
   1912 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
309098 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden



OTL.txt :

Code


OTL logfile created on: 06.01.2011 18:37:19 - Run 2
OTL by OldTimer - Version 3.2.20.1     Folder = C:\Dokumente und Einstellungen\xy\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 73,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 931,50 Gb Total Space | 121,82 Gb Free Space | 13,08% Space Free | Partition Type: NTFS
Drive I: | 7,45 Gb Total Space | 7,38 Gb Free Space | 99,02% Space Free | Partition Type: FAT32

Computer Name: MICROSTAR | User Name: xy | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - [2011.01.06 18:26:58 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xy\Desktop\OTL.exe
PRC - [2010.12.10 16:35:17 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.11.05 20:18:50 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.11.05 20:18:49 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.11.04 14:02:10 | 000,985,488 | ---- | M] (Discordia, LTD) -- C:\Programme\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe
PRC - [2010.10.22 15:47:26 | 000,524,288 | ---- | M] (Spigot, Inc.) -- C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
PRC - [2010.10.16 00:40:40 | 000,037,664 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2010.10.05 15:28:12 | 001,060,352 | ---- | M] () -- C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDFME\WDFME.exe
PRC - [2010.10.05 15:27:52 | 000,484,352 | ---- | M] () -- C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSC.exe
PRC - [2010.10.05 15:25:20 | 005,200,384 | ---- | M] (Western Digital Technologies, Inc.) -- C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
PRC - [2010.10.05 15:24:38 | 000,237,056 | ---- | M] (WDC) -- C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
PRC - [2010.09.22 14:28:00 | 000,047,104 | ---- | M] (Marx Softwareentwicklung - www.software4u.de) -- C:\Programme\Software4u\iPhone Explorer\Software4u.IPELauncher.exe
PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.05.07 01:01:00 | 001,904,640 | ---- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanGUI.exe
PRC - [2009.05.07 01:01:00 | 000,368,640 | ---- | M] (AVM Berlin) -- C:\Programme\avmwlanstick\WLanNetService.exe
PRC - [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.09.20 15:35:40 | 001,410,344 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
PRC - [2007.09.20 15:35:38 | 000,382,248 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
PRC - [2007.09.20 15:35:10 | 000,202,024 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - [2011.01.06 18:26:58 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xy\Desktop\OTL.exe
MOD - [2010.08.23 17:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)
SRV - [2010.12.10 16:35:17 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.05 20:18:50 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.10.16 00:40:40 | 000,037,664 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2010.10.05 15:28:12 | 001,060,352 | ---- | M] () [Auto | Running] -- C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDFME\WDFME.exe -- (WDFME)
SRV - [2010.10.05 15:27:52 | 000,484,352 | ---- | M] () [Auto | Running] -- C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSC.exe -- (WDSC)
SRV - [2010.10.05 15:24:38 | 000,237,056 | ---- | M] (WDC) [Auto | Running] -- C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe -- (WDDMService)
SRV - [2010.02.09 17:17:54 | 000,139,264 | R--- | M] () [Auto | Stopped] -- C:\Programme\MioNet\MioNetManager.exe -- (MioNet)
SRV - [2009.05.07 01:01:00 | 000,368,640 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service)
SRV - [2007.09.20 15:35:38 | 000,382,248 | ---- | M] (Nero AG) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2003.07.28 11:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - [2010.12.21 09:31:51 | 000,135,096 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.12.08 17:48:35 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2010.11.24 09:14:57 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 11:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.11 09:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.05.07 01:01:00 | 000,265,088 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2009.02.13 12:02:52 | 000,011,520 | ---- | M] (Western Digital Technologies) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\wdcsam.sys -- (WDC_SAM)
DRV - [2008.04.13 23:15:14 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\USBAUDIO.sys -- (usbaudio) USB-Audiotreiber (WDM)
DRV - [2008.04.13 22:05:40 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2008.04.13 21:06:06 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)
DRV - [2005.06.03 13:41:00 | 001,133,056 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005.05.12 14:39:56 | 001,287,296 | ---- | M] (C-Media Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cmudax.sys -- (cmudax)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {e4a8a97b-f2ed-450b-b12d-ee082ba24781}:0.8.20100408.6
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.1
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {195A3098-0BD5-4e90-AE22-BA1C540AFD1E}:2.9.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {1FD91A9C-410C-4090-BBCC-55D3450EF433}:2.0
FF - prefs.js..extensions.enabledItems: {7FF99715-3016-4381-84CE-E4E4C9673020}:1.0
FF - prefs.js..keyword.URL: "http://www.searchqu.com/web?src=ffb&systemid=403&q="

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.14 09:01:28 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.14 09:01:28 | 000,000,000 | ---D | M]

[2010.12.16 14:38:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Mozilla\Extensions
[2010.12.30 17:55:41 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Mozilla\Firefox\Profiles\ia4f6j6x.default\extensions
[2010.11.29 23:41:58 | 000,000,000 | ---D | M] ("Garmin Communicator") -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Mozilla\Firefox\Profiles\ia4f6j6x.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}
[2010.10.27 09:00:20 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Mozilla\Firefox\Profiles\ia4f6j6x.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.12.16 14:38:33 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Mozilla\Firefox\Profiles\ia4f6j6x.default\extensions\{7FF99715-3016-4381-84CE-E4E4C9673020}
[2010.10.15 09:23:41 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Mozilla\Firefox\Profiles\ia4f6j6x.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
[2010.10.28 09:41:06 | 000,005,529 | ---- | M] () -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Mozilla\Firefox\Profiles\ia4f6j6x.default\searchplugins\SearchquWebSearch.xml
[2010.12.30 17:55:41 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.11.02 09:47:47 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.12.08 18:01:43 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.10.26 14:50:57 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM
[2010.11.02 09:47:39 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.10.26 14:50:58 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAMME\PDFFORGE TOOLBAR\FF
[2010.12.16 14:37:23 | 000,000,000 | ---D | M] (DataMngr) -- C:\PROGRAMME\WINDOWS SEARCHQU TOOLBAR\DATAMNGR\FIREFOXEXTENSION
[2010.09.15 04:50:38 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.07.12 17:33:56 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npwachk.dll
[2010.09.14 22:32:39 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.14 22:32:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.14 22:32:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.10.28 09:41:06 | 000,005,529 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\SearchquWebSearch.xml
[2010.09.14 22:32:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.14 22:32:39 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2003.04.02 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\Programme\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll ()
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\Programme\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll ()
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [Cmaudio]  File not found
O4 - HKLM..\Run: [DATAMNGR] C:\Programme\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe (Discordia, LTD)
O4 - HKLM..\Run: [MioNet] C:\Programme\MioNet\MioNetLauncher.exe ()
O4 - HKLM..\Run: [NBKeyScan] C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe (Nero AG)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [SearchSettings] C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKCU..\Run: [iPhone Explorer Launcher] C:\Programme\Software4u\iPhone Explorer\Software4u.IPELauncher.exe (Marx Softwareentwicklung - www.software4u.de)
O4 - HKCU..\Run: [RegistryBooster] C:\Programme\Uniblue\RegistryBooster\launcher.exe File not found
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WDDMStatus.lnk = C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe (Western Digital Technologies, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (c:\progra~1\window~4\datamngr\datamngr.dll) - c:\Programme\Windows Searchqu Toolbar\Datamngr\datamngr.dll (Discordia, LTD)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.09.29 11:34:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{99ac3003-e5a4-11df-9462-00040ec6c338}\Shell - "" = AutoRun
O33 - MountPoints2\{99ac3003-e5a4-11df-9462-00040ec6c338}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{99ac3003-e5a4-11df-9462-00040ec6c338}\Shell\AutoRun\command - "" = K:\WD SmartWare.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found

Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: aux1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)

CREATERESTOREPOINT
Error starting restore point: System Restore is disabled.
Error closing restore point: System Restore is disabled.

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2011.01.06 18:26:57 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xy\Desktop\OTL.exe
[2010.12.29 17:02:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy
[2010.12.29 17:02:19 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2010.12.29 17:02:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2010.12.29 16:52:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Malwarebytes
[2010.12.29 16:52:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2010.12.29 16:52:11 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.29 16:52:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.12.29 16:52:06 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.29 16:52:05 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.12.29 14:52:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.12.29 14:35:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssend2
[2010.12.28 15:25:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssendrlezttavyxjyuxhvf2nktx23w1fqgtp
[2010.12.28 15:24:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssendgihgaqwfohbiksctbhncyg2wgeb33bi
[2010.12.28 10:32:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\3ygpjo1dbziboapoeugcaptesswvqud2
[2010.12.27 18:36:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\Minidump
[2010.12.16 15:09:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Eigene Dateien\AnyDVDHD
[2010.12.16 14:38:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\searchqutb
[2010.12.16 14:37:23 | 000,000,000 | ---D | C] -- C:\Programme\Windows Searchqu Toolbar
[2010.12.16 14:37:06 | 000,000,000 | ---D | C] -- C:\Programme\icons
[2010.12.16 14:37:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Lokale Einstellungen\Anwendungsdaten\mfcMousedlg
[2010.12.16 12:52:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\eMule
[2010.12.16 12:52:08 | 000,000,000 | ---D | C] -- C:\Programme\eMule
[2010.12.10 16:32:37 | 000,000,000 | ---D | C] -- C:\Programme\MSXML 4.0
[2010.12.10 16:26:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\MioNet
[2010.12.10 16:26:35 | 000,000,000 | ---D | C] -- C:\Program Files
[2010.12.10 16:26:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\MioNet
[2010.12.10 16:26:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Lokale Einstellungen\Anwendungsdaten\MioNet
[2010.12.10 16:26:17 | 000,000,000 | ---D | C] -- C:\Programme\MioNet
[2010.12.09 22:18:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Lokale Einstellungen\Anwendungsdaten\Nero
[2010.12.09 22:18:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Lokale Einstellungen\Anwendungsdaten\Ahead
[2010.12.09 20:57:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Nero
[2010.12.09 20:50:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Nero 8
[2010.12.09 20:47:14 | 000,000,000 | ---D | C] -- C:\Programme\Nero
[2010.12.09 20:47:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Nero
[2010.12.09 20:47:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
[2010.12.08 18:18:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2010.12.08 18:10:11 | 000,000,000 | ---D | C] -- C:\Programme\SlySoft
[2010.12.08 18:04:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\DAEMON Tools Images
[2010.12.08 18:01:52 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.12.08 17:48:29 | 000,000,000 | ---D | C] -- C:\Programme\DAEMON Tools Lite
[2010.12.08 17:47:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\DAEMON Tools Lite
[2010.12.08 17:47:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\xy\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\xy\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2011.01.06 18:26:58 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xy\Desktop\OTL.exe
[2011.01.06 16:28:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.01.06 12:29:06 | 000,000,080 | -HS- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2011.01.06 11:58:30 | 000,000,016 | ---- | M] () -- C:\WINDOWS\System\cmicnfg.ini
[2011.01.05 10:58:21 | 3767,121,919 | ---- | M] () -- C:\Dokumente und Einstellungen\xy\Eigene Dateien\NOCOUNTRY_OLDMEN_GR.iso
[2011.01.05 10:32:13 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011.01.04 21:19:03 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011.01.03 15:48:04 | 000,000,112 | ---- | M] () -- C:\Dokumente und Einstellungen\xy\default.pls
[2011.01.03 09:48:21 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.12.29 17:02:28 | 000,000,905 | ---- | M] () -- C:\Dokumente und Einstellungen\xy\Desktop\Spybot - Search & Destroy.lnk
[2010.12.29 16:52:12 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.25 12:50:35 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\xy\Eigene Dateien\Präsentation1.ppt
[2010.12.25 12:49:17 | 000,039,936 | ---- | M] () -- C:\Dokumente und Einstellungen\xy\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.12.21 09:31:51 | 000,135,096 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.12.17 09:56:00 | 000,122,136 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.12.17 09:52:00 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.12.16 12:52:15 | 000,000,624 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\eMule.lnk
[2010.12.10 16:26:31 | 000,001,740 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MioNet starten.lnk
[2010.12.09 20:50:16 | 000,002,346 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Nero StartSmart.lnk
[2010.12.09 20:50:16 | 000,002,226 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Nero Home.lnk
[2010.12.08 17:48:35 | 000,691,696 | ---- | M] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2010.12.08 17:48:35 | 000,001,577 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DAEMON Tools Lite.lnk
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\Dokumente und Einstellungen\xy\Lokale Einstellungen\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\xy\Lokale Einstellungen\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2011.01.06 11:58:30 | 000,000,016 | ---- | C] () -- C:\WINDOWS\System\cmicnfg.ini
[2011.01.05 10:41:08 | 3767,121,919 | ---- | C] () -- C:\Dokumente und Einstellungen\xy\Eigene Dateien\NOCOUNTRY_OLDMEN_GR.iso
[2010.12.29 17:02:28 | 000,000,905 | ---- | C] () -- C:\Dokumente und Einstellungen\xy\Desktop\Spybot - Search & Destroy.lnk
[2010.12.29 16:52:12 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.12.28 11:19:29 | 000,000,112 | ---- | C] () -- C:\Dokumente und Einstellungen\xy\default.pls
[2010.12.25 12:50:35 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\xy\Eigene Dateien\Präsentation1.ppt
[2010.12.16 12:52:15 | 000,000,624 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\eMule.lnk
[2010.12.10 16:26:31 | 000,001,740 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MioNet starten.lnk
[2010.12.10 15:49:09 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010.12.09 20:50:16 | 000,002,346 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Nero StartSmart.lnk
[2010.12.09 20:50:16 | 000,002,226 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Nero Home.lnk
[2010.12.08 18:13:36 | 000,000,080 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2010.12.08 17:48:35 | 000,691,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2010.12.08 17:48:35 | 000,001,577 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DAEMON Tools Lite.lnk
[2010.11.07 23:54:44 | 000,039,936 | ---- | C] () -- C:\Dokumente und Einstellungen\xy\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.05 20:14:39 | 000,147,728 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010.10.26 14:49:57 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010.10.13 10:55:05 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010.09.29 12:32:14 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2003.02.20 16:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2003.02.18 18:26:28 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll

[color=#E56717]========== LOP Check ==========[/color]

[2010.12.08 17:47:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2010.11.29 13:55:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GARMIN
[2010.12.08 18:18:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2010.11.05 16:56:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Western Digital
[2010.10.13 16:23:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.12.29 14:51:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\3ygpjo1dbziboapoeugcaptesswvqud2
[2010.12.08 18:00:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\DAEMON Tools Lite
[2010.11.29 13:55:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\GARMIN
[2010.12.10 16:31:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\MioNet
[2010.11.07 23:05:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\MioNetApplet
[2010.11.01 15:57:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Mp3tag
[2010.10.27 09:00:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\pdfforge
[2010.10.26 14:51:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Search Settings
[2010.12.16 14:38:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\searchqutb
[2010.10.18 09:55:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Software4u
[2010.09.29 18:30:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Uniblue
[2011.01.06 11:51:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssend2
[2010.12.30 20:45:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssendgihgaqwfohbiksctbhncyg2wgeb33bi
[2010.12.30 20:45:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssendrlezttavyxjyuxhvf2nktx23w1fqgtp

[color=#E56717]========== Purity Check ==========[/color]



[color=#E56717]========== Custom Scans ==========[/color]


[color=#A23BEC]< %SYSTEMDRIVE%\*.* >[/color]
[2010.09.29 11:34:56 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2010.09.29 16:41:45 | 000,000,211 | RHS- | M] () -- C:\boot.ini
[2003.04.02 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2010.09.29 11:34:56 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2010.09.29 11:34:56 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2010.09.29 11:34:56 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2010.09.29 16:40:02 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2010.09.29 17:11:42 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2011.01.06 16:27:57 | 2145,386,496 | -HS- | M] () -- C:\pagefile.sys

[color=#A23BEC]< %systemroot%\system32\*.wt >[/color]

[color=#A23BEC]< %systemroot%\system32\*.ruy >[/color]

[color=#A23BEC]< %systemroot%\Fonts\*.com >[/color]
[2006.04.18 14:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont
[2006.06.29 13:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont
[2006.04.18 14:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont
[2006.06.29 13:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont

[color=#A23BEC]< %systemroot%\Fonts\*.dll >[/color]

[color=#A23BEC]< %systemroot%\Fonts\*.ini >[/color]
[2010.09.29 11:34:44 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini

[color=#A23BEC]< %systemroot%\Fonts\*.ini2 >[/color]

[color=#A23BEC]< %systemroot%\system32\spool\prtprocs\w32x86\*.* >[/color]
[2008.07.06 13:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
[2003.06.18 16:31:48 | 000,018,944 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll
[2008.07.06 11:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe

[color=#A23BEC]< %systemroot%\REPAIR\*.bak1 >[/color]

[color=#A23BEC]< %systemroot%\REPAIR\*.ini >[/color]

[color=#A23BEC]< %systemroot%\system32\*.jpg >[/color]

[color=#A23BEC]< %systemroot%\*.scr >[/color]

[color=#A23BEC]< %systemroot%\*._sy >[/color]

[color=#A23BEC]< %APPDATA%\Adobe\Update\*.* >[/color]

[color=#A23BEC]< %ALLUSERSPROFILE%\Favorites\*.* >[/color]

[color=#A23BEC]< %APPDATA%\Microsoft\*.* >[/color]

[color=#A23BEC]< %PROGRAMFILES%\*.* >[/color]

[color=#A23BEC]< %APPDATA%\Update\*.* >[/color]

[color=#A23BEC]< %systemroot%\*. /mp /s >[/color]

[color=#A23BEC]< %systemroot%\system32\*.dll /lockedfiles >[/color]
[2008.04.14 06:52:10 | 001,267,200 | ---- | M] (Microsoft Corporation)[b] Unable to obtain MD5[/b] -- C:\WINDOWS\system32\comsvcs.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

[color=#A23BEC]< %systemroot%\Tasks\*.job /lockedfiles >[/color]

[color=#A23BEC]< %systemroot%\System32\config\*.sav >[/color]
[2010.09.29 13:30:15 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2010.09.29 13:30:15 | 000,606,208 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2010.09.29 13:30:15 | 000,442,368 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav

[color=#A23BEC]< %systemroot%\system32\user32.dll /md5 >[/color]
[2008.04.14 06:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

[color=#A23BEC]< %systemroot%\system32\ws2_32.dll /md5 >[/color]
[2008.04.14 06:52:34 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

[color=#A23BEC]< %systemroot%\system32\ws2help.dll /md5 >[/color]
[2008.04.14 06:52:34 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]


[color=#A23BEC]< MD5 for: EXPLORER.EXE  >[/color]
[2003.04.02 13:00:00 | 001,007,104 | ---- | M] () MD5=22B0A56E6C5847292437078B484EC61B -- C:\RECYCLER\S-1-5-21-329068152-261478967-725345543-1004\Df2\explorer.exe
[2004.08.03 23:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe

[color=#A23BEC]< MD5 for: WINLOGON.EXE  >[/color]
[2004.08.03 23:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2003.04.02 13:00:00 | 000,521,728 | ---- | M] () MD5=616896B708286DA98D6A099293F181D7 -- C:\RECYCLER\S-1-5-21-329068152-261478967-725345543-1004\Df2\system32\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >[/color]

[color=#A23BEC]< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >[/color]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-01-06 11:30:25

< End of report >


Extras.txt :

Code


OTL Extras logfile created on: 06.01.2011 18:29:07 - Run 1
OTL by OldTimer - Version 3.2.20.1     Folder = C:\Dokumente und Einstellungen\xy\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 931,50 Gb Total Space | 121,82 Gb Free Space | 13,08% Space Free | Partition Type: NTFS
Drive I: | 7,45 Gb Total Space | 7,38 Gb Free Space | 99,02% Space Free | Partition Type: FAT32
Drive Z: | 1851,41 Gb Total Space | 1514,76 Gb Free Space | 81,82% Space Free | Partition Type: NTFS

Computer Name: MICROSTAR | User Name: xy | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"1700:TCP" = 1700:TCP:*:Enabled:MioNet Remote Drive Access 0
"1701:TCP" = 1701:TCP:*:Enabled:MioNet Remote Drive Access 1
"1702:TCP" = 1702:TCP:*:Enabled:MioNet Remote Drive Access 2
"1703:TCP" = 1703:TCP:*:Enabled:MioNet Remote Drive Access 3
"1704:TCP" = 1704:TCP:*:Enabled:MioNet Remote Drive Access 4
"1705:TCP" = 1705:TCP:*:Enabled:MioNet Remote Drive Access 5
"1706:TCP" = 1706:TCP:*:Enabled:MioNet Remote Drive Access 6
"1707:TCP" = 1707:TCP:*:Enabled:MioNet Remote Drive Access 7
"1708:TCP" = 1708:TCP:*:Enabled:MioNet Remote Drive Access 8
"1709:TCP" = 1709:TCP:*:Enabled:MioNet Remote Drive Access 9
"1641:TCP" = 1641:TCP:*:Enabled:MioNet Remote Drive Verification
"1647:TCP" = 1647:TCP:*:Enabled:MioNet Storage Device Configuration
"5432:UDP" = 5432:UDP:*:Enabled:MioNet Storage Device Discovery
"51389:TCP" = 51389:TCP:*:Enabled:eMule
"52392:UDP" = 52392:UDP:*:Enabled:eMule

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Mozilla Firefox\plugin-container.exe" = C:\Programme\Mozilla Firefox\plugin-container.exe:*:Enabled:Plugin Container for Firefox -- (Mozilla Corporation)
"C:\Programme\Java\jre6\bin\java.exe" = C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\Programme\MioNet\jvm\bin\MioNet.exe" = C:\Programme\MioNet\jvm\bin\MioNet.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\MioNet\MioNetManager.exe" = C:\Programme\MioNet\MioNetManager.exe:*:Enabled:MioNetManager -- ()
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- (http://www.emule-project.net)
"" = :*:Enabled:ldrsoft
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 22
"{308B6AEA-DE50-4666-996D-0FA461719D6B}" = Apple Mobile Device Support
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5080900B-7E07-4926-ACD2-CB083E3B66E2}" = WD SmartWare
"{53AF3638-DDB4-4755-B3DC-259981689DB7}" = MioNet
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{641FE800-650B-4E99-A304-9D50E7235BAF}" = Topo Deutschland v2
"{65F9E1F3-A2C1-4AA9-9F33-A3AEB0255F0E}" = Garmin USB Drivers
"{67B9AF41-C0B9-4960-84D9-A61D23DE85D8}" = Garmin Trip and Waypoint Manager v4
"{8C2690CF-5B74-4F93-8139-7B5644CD6A3B}" = MobileMe Control Panel
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.1 - Deutsch
"{AFBAB9A0-DDE8-49AE-8C17-A01B61BEE64B}" = Garmin MapSource
"{B1BFDF6B-3C03-46fe-B5D7-BABB0063D8E0}" = pdfforge Toolbar v4.1
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D17111CB-C992-42A9-9D56-C19395102AAA}" = Garmin WebUpdater
"{DFA4CA5A-D073-4964-B8F5-778612851031}" = Nero 8
"{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{FAE36873-1941-4076-A9A5-48812B5EA0B7}" = iTunes
"{FF1C31AE-0CDC-40CE-AB85-406F8B70D643}" = Bonjour
"49CF605F02C7954F4E139D18828DE298CD59217C" = Windows Driver Package - Garmin (grmnusb) GARMIN Devices  (06/03/2009 2.3.0.0)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"C-Media Audio Driver" = C-Media High Definition Audio Driver
"eMule" = eMule
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"FE5AE7DC-7B01-4263-A94C-B4526C276549_is1" = iPhone Explorer
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mp3tag" = Mp3tag v2.46a
"Searchqu MediaBar" = Windows Searchqu Toolbar
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Winamp Detect" = Winamp Erkennungs-Plug-in

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 15.11.2010 13:36:51 | Computer Name = MICROSTAR | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung wddmstatus.exe, Version 3.1.0.13, fehlgeschlagenes
Modul kernel32.dll, Version 5.1.2600.5781, Fehleradresse 0x00012afb.

Error - 16.11.2010 03:20:17 | Computer Name = MICROSTAR | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung wddmstatus.exe, Version 3.1.0.13, fehlgeschlagenes
Modul kernel32.dll, Version 5.1.2600.5781, Fehleradresse 0x00012afb.

Error - 20.11.2010 03:54:57 | Computer Name = MICROSTAR | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung wddmstatus.exe, Version 3.1.0.13, fehlgeschlagenes
Modul kernel32.dll, Version 5.1.2600.5781, Fehleradresse 0x00012afb.

[ System Events ]
Error - 06.01.2011 06:51:17 | Computer Name = MICROSTAR | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek USB Flash Memory USB Device nicht laden.

Error - 06.01.2011 06:57:14 | Computer Name = MICROSTAR | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek USB Flash Memory USB Device nicht laden.

Error - 06.01.2011 06:57:20 | Computer Name = MICROSTAR | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek USB Flash Memory USB Device nicht laden.

Error - 06.01.2011 10:38:13 | Computer Name = MICROSTAR | Source = Service Control Manager | ID = 7034
Description = Dienst "Application Updater" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.

Error - 06.01.2011 10:50:16 | Computer Name = MICROSTAR | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek USB Flash Memory USB Device nicht laden.

Error - 06.01.2011 10:50:20 | Computer Name = MICROSTAR | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek USB Flash Memory USB Device nicht laden.

Error - 06.01.2011 10:51:56 | Computer Name = MICROSTAR | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek USB Flash Memory USB Device nicht laden.

Error - 06.01.2011 10:52:00 | Computer Name = MICROSTAR | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek USB Flash Memory USB Device nicht laden.

Error - 06.01.2011 13:29:47 | Computer Name = MICROSTAR | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.

Error - 06.01.2011 13:29:47 | Computer Name = MICROSTAR | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
beendet:   %%2


< End of report >


GMER-Log:

Code


GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-06 21:34:10
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-10 WDC_WD1001FALS-40U9B0 rev.20.04F20
Running: 4fsfjgr9.exe; Driver: C:\DOKUME~1\xy\LOKALE~1\Temp\uwlyypob.sys


---- System - GMER 1.0.15 ----

SSDT            B96D4C16                                                                                                            ZwCreateKey
SSDT            B96D4C0C                                                                                                            ZwCreateThread
SSDT            B96D4C1B                                                                                                            ZwDeleteKey
SSDT            B96D4C25                                                                                                            ZwDeleteValueKey
SSDT            spst.sys                                                                                                            ZwEnumerateKey [0xF74FCDA4]
SSDT            spst.sys                                                                                                            ZwEnumerateValueKey [0xF74FD132]
SSDT            B96D4C2A                                                                                                            ZwLoadKey
SSDT            spst.sys                                                                                                            ZwOpenKey [0xF74E40C0]
SSDT            B96D4BF8                                                                                                            ZwOpenProcess
SSDT            B96D4BFD                                                                                                            ZwOpenThread
SSDT            spst.sys                                                                                                            ZwQueryKey [0xF74FD20A]
SSDT            spst.sys                                                                                                            ZwQueryValueKey [0xF74FD08A]
SSDT            B96D4C34                                                                                                            ZwReplaceKey
SSDT            B96D4C2F                                                                                                            ZwRestoreKey
SSDT            B96D4C20                                                                                                            ZwSetValueKey

INT 0x62        ?                                                                                                                   89C13BF8
INT 0x63        ?                                                                                                                   89927BF8
INT 0x73        ?                                                                                                                   89C13BF8
INT 0x73        ?                                                                                                                   89C13BF8
INT 0x73        ?                                                                                                                   89927BF8
INT 0x83        ?                                                                                                                   89927BF8
INT 0xB4        ?                                                                                                                   89927BF8

---- Kernel code sections - GMER 1.0.15 ----

?               spst.sys                                                                                                            Das System kann die angegebene Datei nicht finden. !
.text           USBPORT.SYS!DllUnload                                                                                               B97BF8AC 5 Bytes  JMP 899271D8
.text           aqncptjg.SYS                                                                                                        B9737386 35 Bytes  [00, 00, 00, 00, 00, 00, 20, ...]
.text           aqncptjg.SYS                                                                                                        B97373AA 24 Bytes  [00, 00, 00, 00, 00, 00, 00, ...]
.text           aqncptjg.SYS                                                                                                        B97373C4 3 Bytes  [00, 80, 02]
.text           aqncptjg.SYS                                                                                                        B97373C9 1 Byte  [30]
.text           aqncptjg.SYS                                                                                                        B97373C9 11 Bytes  [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text           ...                                                                                                                

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                                  89BA52D8
IAT             pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                                [F750FDDC] spst.sys
IAT             pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                                   [F750FE30] spst.sys
IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                  [F74E5042] spst.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                          [F74E513E] spst.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                 [F74E50C0] spst.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                         [F74E5800] spst.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                 [F74E56D6] spst.sys
IAT             \SystemRoot\System32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                                899272D8
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!RtlInitUnicodeString]                                        8800001C
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!swprintf]                                                    001CBA86
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeSetEvent]                                                  C61AEB00
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoCreateSymbolicLink]                                        001C8986
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoGetConfigurationInformation]                               86C61200
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoDeleteSymbolicLink]                                        00001C8B
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!MmFreeMappingAddress]                                        96868801
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoFreeErrorLogEntry]                                         8800001C
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoDisconnectInterrupt]                                       001CB286
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!MmUnmapIoSpace]                                              88968B00
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!ObReferenceObjectByPointer]                                  8900001C
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IofCompleteRequest]                                          001CA496
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!RtlCompareUnicodeString]                                     C6168B00
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IofCallDriver]                                               001CC186
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!MmAllocateMappingAddress]                                    428A0A00
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry]                                     C286880C
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoConnectInterrupt]                                          8B00001C
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoDetachDevice]                                              24A48DFA
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeWaitForSingleObject]                                       00000000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeInitializeEvent]                                           4B8BDF8B
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeCancelTimer]                                               8D3F0304
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString]                                CB033043
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!RtlInitAnsiString]                                           0673C13B
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest]                               C13B0003
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoQueueWorkItem]                                             8366FA72
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!MmMapIoSpace]                                                75000E7B
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations]                                 0B7D80E3
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoReportDetectedDevice]                                      307B8D00
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoReportResourceForDetection]                                00AA840F
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize]                                 83660000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!NlsMbCodePageTag]                                            6A000E7A
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!PoRequestPowerIrp]                                           C6647400
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue]                                    001CC386
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection]                            4F8B0200
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!sprintf]                                                     968D5140
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache]                                00001C98
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!ObfDereferenceObject]                                        22F6E852
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference]                                478B0000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoInvalidateDeviceState]                                     50016A40
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!ZwClose]                                                     1CB48E8D
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!ObReferenceObjectByHandle]                                   E8510000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!ZwCreateDirectoryObject]                                     000022E4
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest]                                6A18538B
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!PoStartNextPowerIrp]                                         868D5200
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoCreateDevice]                                              00001CA0
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!RtlCopyUnicodeString]                                        22D2E850
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension]                             4B8B0000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!RtlQueryRegistryValues]                                      51016A18
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!ZwOpenKey]                                                   1CBC968D
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!RtlFreeUnicodeString]                                        E8520000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoStartTimer]                                                000022C0
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeInitializeTimer]                                           8A05478A
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoInitializeTimer]                                           001CC38E
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeInitializeDpc]                                             30C48300
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeInitializeSpinLock]                                        1CC58688
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoInitializeIrp]                                             80E90000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!ZwCreateKey]                                                 C6000000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString]                              001CC386
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString]                                   438B0100
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!ZwSetValueKey]                                               8E8D5018
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeInsertQueueDpc]                                            00001C98
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel]                                2292E851
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoStartPacket]                                               538B0000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel]                              52016A18
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest]                               1CB4868D
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoFreeMdl]                                                   E8500000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!MmUnlockPages]                                               00002280
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoWriteErrorLogEntry]                                        8A05478A
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue]                                    001CC38E
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping]                         18C48300
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!MmUnmapReservedMapping]                                      1CC58688
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeSynchronizeExecution]                                      43EB0000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoStartNextPacket]                                           320C538A
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeBugCheckEx]                                                88F93BC0
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeRemoveDeviceQueue]                                         001CC396
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeSetTimer]                                                  F6317300
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!_allmul]                                                     74070647
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!MmProbeAndLockPages]                                         75C0841A
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!_except_handler3]                                            05578A0B
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!PoSetPowerState]                                             968801B0
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey]                                     00001CC5
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!RtlWriteRegistryValue]                                       57B60F66
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!RtlDeleteRegistryValue]                                      533B6604
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!_aulldiv]                                                    03087408
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!strstr]                                                      72F93B3F
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!_strupr]                                                     8A09EBDA
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeQuerySystemTime]                                           86880547
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoWMIRegistrationControl]                                    00001CC5
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!KeTickCount]                                                 88084B8A
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                 001CC68E
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoDeleteDevice]                                              40578B00
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!ExAllocatePoolWithTag]                                       8D52006A
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoAllocateWorkItem]                                          001CC886
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoAllocateIrp]                                               11E85000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoAllocateMdl]                                               8B000022
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool]                                   001CC08E
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!MmLockPagableDataSection]                                    C4968B00
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoGetDriverObjectExtension]                                  8900001C
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!MmUnlockPagableImageSection]                                 001CCC8E
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!ExFreePoolWithTag]                                           D0968900
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoFreeIrp]                                                   8B00001C
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!IoFreeWorkItem]                                              016A4047
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!InitSafeBootMode]                                            D4C68150
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!RtlCompareMemory]                                            5600001C
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!PoCallDriver]                                                0021E7E8
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!memmove]                                                     18C48300
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[ntoskrnl.exe!MmHighestUserAddress]                                        5D5B5E5F
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[HAL.dll!KfAcquireSpinLock]                                                18C4830E
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[HAL.dll!READ_PORT_UCHAR]                                                  1C959E88
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[HAL.dll!KeGetCurrentIrql]                                                 9E880000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[HAL.dll!KfRaiseIrql]                                                      00001CB1
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[HAL.dll!KfLowerIrql]                                                      0E798366
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[HAL.dll!HalGetInterruptVector]                                            74AAB000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[HAL.dll!HalTranslateBusAddress]                                           8986C636
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[HAL.dll!KeStallExecutionProcessor]                                        1A00001C
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[HAL.dll!KfReleaseSpinLock]                                                1C8B86C6
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                          C6020000
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[HAL.dll!READ_PORT_USHORT]                                                 001C9686
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                         86C60200
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[HAL.dll!WRITE_PORT_UCHAR]                                                 00001CB2
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[WMILIB.SYS!WmiSystemControl]                                              8800001C
IAT             \SystemRoot\System32\Drivers\aqncptjg.SYS[WMILIB.SYS!WmiCompleteRequest]                                            001CB99E
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                                   [F79343FC] \SystemRoot\System32\Drivers\NDISRD.SYS (NDISRD helper driver/NT Kernel Resources)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                                    [F7934458] \SystemRoot\System32\Drivers\NDISRD.SYS (NDISRD helper driver/NT Kernel Resources)
IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                                               [F7934684] \SystemRoot\System32\Drivers\NDISRD.SYS (NDISRD helper driver/NT Kernel Resources)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                                            [F79346B2] \SystemRoot\System32\Drivers\NDISRD.SYS (NDISRD helper driver/NT Kernel Resources)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                                              [F7934684] \SystemRoot\System32\Drivers\NDISRD.SYS (NDISRD helper driver/NT Kernel Resources)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                                   [F7934458] \SystemRoot\System32\Drivers\NDISRD.SYS (NDISRD helper driver/NT Kernel Resources)
IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                                                  [F79343FC] \SystemRoot\System32\Drivers\NDISRD.SYS (NDISRD helper driver/NT Kernel Resources)
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                                                 [F79343FC] \SystemRoot\System32\Drivers\NDISRD.SYS (NDISRD helper driver/NT Kernel Resources)
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                                                  [F7934458] \SystemRoot\System32\Drivers\NDISRD.SYS (NDISRD helper driver/NT Kernel Resources)
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                                           [F79346B2] \SystemRoot\System32\Drivers\NDISRD.SYS (NDISRD helper driver/NT Kernel Resources)
IAT             \SystemRoot\System32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                                             [F7934684] \SystemRoot\System32\Drivers\NDISRD.SYS (NDISRD helper driver/NT Kernel Resources)

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                              89C121F8
Device          \FileSystem\Fastfat \FatCdrom                                                                                       88DCF1F8
Device          \Driver\NetBT \Device\NetBT_Tcpip_{44D65E9D-BDF4-4D6A-8734-C9C753A55B61}                                            896B8500
Device          \Driver\PCI_PNP4526 \Device\00000041                                                                                spst.sys
Device          \Driver\PCI_PNP4526 \Device\00000041                                                                                spst.sys
Device          \Driver\usbuhci \Device\USBPDO-0                                                                                    899E11F8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                    899E11F8
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                    899E11F8
Device          \Driver\usbuhci \Device\USBPDO-3                                                                                    899E11F8
Device          \Driver\usbehci \Device\USBPDO-4                                                                                    899CA1F8
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                              89BA31F8
Device          \Driver\usbstor \Device\00000071                                                                                    89812500
Device          \Driver\sptd \Device\1118530776                                                                                     spst.sys
Device          \Driver\usbstor \Device\00000072                                                                                    89812500
Device          \Driver\Cdrom \Device\CdRom0                                                                                        898F01F8
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                  [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                         [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                  [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdePort2                                                                                  [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-10                                                                        [F7859B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device          \Driver\usbstor \Device\00000073                                                                                    89812500
Device          \Driver\Cdrom \Device\CdRom1                                                                                        898F01F8
Device          \Driver\usbstor \Device\00000074                                                                                    89812500
Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                             896B8500
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                    896B8500
Device          \Driver\usbstor \Device\0000006c                                                                                    89812500
Device          \Driver\usbuhci \Device\USBFDO-0                                                                                    899E11F8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                    899E11F8
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                    899E11F8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                   896CE500
Device          \Driver\usbuhci \Device\USBFDO-3                                                                                    899E11F8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                         896CE500
Device          \Driver\Ftdisk \Device\FtControl                                                                                    89BA31F8
Device          \Driver\usbehci \Device\USBFDO-4                                                                                    899CA1F8
Device          \Driver\aqncptjg \Device\Scsi\aqncptjg1Port3Path0Target0Lun0                                                        898A11F8
Device          \Driver\aqncptjg \Device\Scsi\aqncptjg1                                                                             898A11F8
Device          \FileSystem\Fastfat \Fat                                                                                            88DCF1F8

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                              896D0500

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                  771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                  285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                  1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                 0x00 0x00 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x56 0xB4 0x58 0x81 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                          
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0x04 0x74 0x10 0x97 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x46 0xBC 0xB4 0x73 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Programme\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0                                     0x00 0x00 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x56 0xB4 0x58 0x81 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)      
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0x04 0x74 0x10 0x97 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x46 0xBC 0xB4 0x73 ...

---- EOF - GMER 1.0.15 ----



Alles gesäubert, oder sind noch Reste da?

VG
5mxpro
Seitenanfang Seitenende
06.01.2011, 22:49
Moderator

Beiträge: 5694
#4 Schritt 1

Teatimer abstellen

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt 2

Programme deinstallieren

Da einige Programme und Anti-Spy-Programme uns u. U. bei der Bereinigung behindern (z. B. durch ständig laufende Hintergrundwächter), unnötig oder schädlich sind oder einfach nicht mehr gebraucht werden, bitte ich darum, die folgenden Programme über Systemsteuerung => Software komplett zu deinstallieren.

Code

pdfforge Toolbar v4.1
"Searchqu MediaBar" = Windows Searchqu Toolbar

elche davon Du wieder installieren kannst/sollest.
Berichte mir, falls sich ein Programm nicht deinstallieren lässt.

Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
PRC - [2010.11.04 14:02:10 | 000,985,488 | ---- | M] (Discordia, LTD) -- C:\Programme\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe
PRC - [2010.10.22 15:47:26 | 000,524,288 | ---- | M] (Spigot, Inc.) -- C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
[2010.10.26 14:50:57 | 000,000,000 | ---D | M] (Widgi Toolbar Platform) -- C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM
[2010.10.26 14:50:58 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAMME\PDFFORGE TOOLBAR\FF
FF - prefs.js..keyword.URL: "http://www.searchqu.com/web?src=ffb&systemid=403&q="
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.1
[2010.12.16 14:38:33 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Mozilla\Firefox\Profiles\ia4f6j6x.default\extensions\{7FF99715-3016-4381-84CE-E4E4C9673020}
[2010.10.28 09:41:06 | 000,005,529 | ---- | M] () -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Mozilla\Firefox\Profiles\ia4f6j6x.default\searchplugins\SearchquWebSearch.xml
[2010.12.16 14:37:23 | 000,000,000 | ---D | M] (DataMngr) -- C:\PROGRAMME\WINDOWS SEARCHQU TOOLBAR\DATAMNGR\FIREFOXEXTENSION
[2010.10.28 09:41:06 | 000,005,529 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\SearchquWebSearch.xml
O2 - BHO: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\Programme\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll ()
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\Programme\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll ()
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Cmaudio]  File not found
O4 - HKLM..\Run: [SearchSettings] C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\Run: [DATAMNGR] C:\Programme\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe (Discordia, LTD)
O20 - AppInit_DLLs: (c:\progra~1\window~4\datamngr\datamngr.dll) - c:\Programme\Windows Searchqu Toolbar\Datamngr\datamngr.dll (Discordia, LTD)
O33 - MountPoints2\{99ac3003-e5a4-11df-9462-00040ec6c338}\Shell - "" = AutoRun
O33 - MountPoints2\{99ac3003-e5a4-11df-9462-00040ec6c338}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{99ac3003-e5a4-11df-9462-00040ec6c338}\Shell\AutoRun\command - "" = K:\WD SmartWare.exe -- File not found
[2010.10.27 09:00:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\pdfforge
[2010.10.26 14:51:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Search Settings
[2011.01.06 11:51:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssend2
[2010.12.30 20:45:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssendgihgaqwfohbiksctbhncyg2wgeb33bi
[2010.12.30 20:45:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssendrlezttavyxjyuxhvf2nktx23w1fqgtp
[2010.12.29 14:51:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\3ygpjo1dbziboapoeugcaptesswvqud2
[2010.12.16 14:38:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xy\Anwendungsdaten\searchqutb
[2010.12.16 14:37:23 | 000,000,000 | ---D | C] -- C:\Programme\Windows Searchqu Toolbar
:Commands
[purity]
[emptytemp]
• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den [COLOR=red]Fix[/COLOR] Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte
während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking
und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.


Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
• Button drücken.Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User: müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde

• Klicke Finish.• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.
Seitenanfang Seitenende
08.01.2011, 10:18
...neu hier

Themenstarter

Beiträge: 9
#5 Ok, nachdem der Scan per ESET recht lange gedauert hat, hier die Logs:

das OTL-Log:

Code


All processes killed
========== OTL ==========
No active process named datamngrUI.exe was found!
No active process named SearchSettings.exe was found!
Folder C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM\ not found.
Folder C:\PROGRAMME\PDFFORGE TOOLBAR\FF\ not found.
Prefs.js: "http://www.searchqu.com/web?src=ffb&systemid=403&q=" removed from keyword.URL
Prefs.js: pdfforge@mybrowserbar.com:4.1 removed from extensions.enabledItems
Folder C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Mozilla\Firefox\Profiles\ia4f6j6x.default\extensions\{7FF99715-3016-4381-84CE-E4E4C9673020}\ not found.
C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Mozilla\Firefox\Profiles\ia4f6j6x.default\searchplugins\SearchquWebSearch.xml moved successfully.
Folder C:\PROGRAMME\WINDOWS SEARCHQU TOOLBAR\DATAMNGR\FIREFOXEXTENSION\ not found.
C:\Programme\Mozilla Firefox\searchplugins\SearchquWebSearch.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7FF99715-3016-4381-84CE-E4E4C9673020}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}\ deleted successfully.
File C:\Programme\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{7FF99715-3016-4381-84CE-E4E4C9673020} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7FF99715-3016-4381-84CE-E4E4C9673020}\ not found.
File C:\Programme\Windows Searchqu Toolbar\ToolBar\SearchquDx.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
File C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Programme\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:c:\progra~1\window~4\datamngr\datamngr.dll deleted successfully.
File c:\Programme\Windows Searchqu Toolbar\Datamngr\datamngr.dll not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{99ac3003-e5a4-11df-9462-00040ec6c338}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99ac3003-e5a4-11df-9462-00040ec6c338}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{99ac3003-e5a4-11df-9462-00040ec6c338}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99ac3003-e5a4-11df-9462-00040ec6c338}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{99ac3003-e5a4-11df-9462-00040ec6c338}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99ac3003-e5a4-11df-9462-00040ec6c338}\ not found.
File K:\WD SmartWare.exe not found.
Folder C:\Dokumente und Einstellungen\xy\Anwendungsdaten\pdfforge\ not found.
Folder C:\Dokumente und Einstellungen\xy\Anwendungsdaten\Search Settings\ not found.
C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssend2 folder moved successfully.
C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssendgihgaqwfohbiksctbhncyg2wgeb33bi folder moved successfully.
C:\Dokumente und Einstellungen\xy\Anwendungsdaten\xssendrlezttavyxjyuxhvf2nktx23w1fqgtp folder moved successfully.
C:\Dokumente und Einstellungen\xy\Anwendungsdaten\3ygpjo1dbziboapoeugcaptesswvqud2 folder moved successfully.
Folder C:\Dokumente und Einstellungen\xy\Anwendungsdaten\searchqutb\ not found.
C:\Programme\Windows Searchqu Toolbar\Datamngr folder moved successfully.
C:\Programme\Windows Searchqu Toolbar folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33184 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: xy
->Temp folder emptied: 4168766 bytes
->Temporary Internet Files folder emptied: 200726846 bytes
->Java cache emptied: 1705870 bytes
->FireFox cache emptied: 54306207 bytes
->Flash cache emptied: 11350 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1158475 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 613680 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 251,00 mb


OTL by OldTimer - Version 3.2.20.1 log created on 01072011_093853

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...



und das Log vom ESET-Scanner:

Code


ESETSmartInstaller@High as downloader log:
Can not open internetESETSmartInstaller@High as downloader log:
Can not open internetCan not open internetESETSmartInstaller@High as downloader log:
Can not open internet# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6419
# api_version=3.0.2
# EOSSerial=bd58ba1910f25f43aab9582249edb6a9
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-01-08 01:50:49
# local_time=2011-01-08 02:50:49 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775125 100 93 604542 30927160 75806 0
# compatibility_mode=8192 67108863 100 0 3822 3822 0 0
# scanned=58350
# found=6
# cleaned=6
# scan_time=61147
C:\Backup_neu\Eigene Dateien\Eigene Bilder\jokes\Start.exe    probably a variant of Win32/Agent.FHUJTXH trojan (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
C:\Dokumente und Einstellungen\xy\Eigene Dateien\Downloads\MR_MRS_SMITH.iso    multiple threats (deleted - quarantined)    00000000000000000000000000000000    C
C:\Dokumente und Einstellungen\xy\Eigene Dateien\Downloads\registrybooster.exe    Win32/RegistryBooster application (deleted - quarantined)    00000000000000000000000000000000    C
C:\Download\agsetup183se.exe    a variant of Win32/Adware.ADON application (deleted - quarantined)    00000000000000000000000000000000    C
C:\Programme\Uniblue\RegistryBooster\registrybooster.exe    Win32/RegistryBooster application (cleaned by deleting - quarantined)    00000000000000000000000000000000    C
K:\MR_MRS_SMITH.iso    multiple threats (deleted - quarantined)    00000000000000000000000000000000    C



wie sagt der Fachmann dazu?

VG
5mxpro
Seitenanfang Seitenende
08.01.2011, 15:41
Moderator

Beiträge: 5694
#6 Wie läufts? ;)
Seitenanfang Seitenende
10.01.2011, 14:21
...neu hier

Beiträge: 3
#7 Also ich habe jetzt schon einiges ausprobiert aber ich bekomme diesen fiesen Trojaner einfach nicht vom Rechner! TR/Obfuscated.29996C
Habe Antivir und er findet ihn und schiebt ihn in Quarantäne aber mehr nicht..löschen lässt er sich nicht vom Rechner und Spybot hilft mir dabei auch nicht.. hat jemand einen Tip???
Seitenanfang Seitenende
10.01.2011, 19:53
Moderator

Beiträge: 5694
#8 Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

BleepingComputer
ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.
Seitenanfang Seitenende
11.01.2011, 12:46
...neu hier

Beiträge: 3
#9 Danke für die Info.Habe ich alles befolgt.Aber ist es denn sicher wenn ich hier meinen Inhalt poste? Sind ja persönliche Daten meines Computers!?
Seitenanfang Seitenende
11.01.2011, 13:32
...neu hier

Beiträge: 3
#10 Das ist das Ende des Log´s...wie es ausschaut hat Combofix nichts gefunden! Der Trojaner ist aber immer noch auf meinem Rechner! ;)

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-11 12:39
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
Zeit der Fertigstellung: 2011-01-11 12:40:56
ComboFix-quarantined-files.txt 2011-01-11 11:40

Vor Suchlauf: 6 Verzeichnis(se), 74.067.554.304 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 74.001.547.264 Bytes frei

- - End Of File - - EC37CF03BA9C2432E7F47DE2A6810A27
Seitenanfang Seitenende
11.01.2011, 19:30
Moderator

Beiträge: 5694
#11 Ich will das ganze Log sehen.
Seitenanfang Seitenende
12.01.2011, 02:16
Member

Beiträge: 13
#12 Hallo Swisstreasure,
bitte um Entschuldigung, daß ich mich mit der Bedienung von Protecus nicht auskenne. Ich habe soeben erst bei "den letzten Beitrag von Swisstreasure anzeigen" entdeckt, wie ich Sie finden kann.
Bisher habe ich nur im Forum geschaut, wer etwa gleiche Sorgen hat wie ich und habe versucht, mir mit den gegebenen Ratschlägen der Moderatoren zu helfen. Wo werde ich Ihren Rat finden? Im Forum waren nur meine beiden Log´s (MBR-Check & ComboFix) aber danach kein Eintrag von Swisstreasure.

mfG Reeeni


Hier bitte das ComboFix-Log:

ComboFix 11-01-08.03 - Reinhard 09.01.2011 5:16.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2047.1574 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Reinhard\Eigene Dateien\Downloads\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\PriceGong\Data\z.xml
c:\dokumente und einstellungen\Reinhard\Favoriten\Translator.url
c:\programme\pdfforge Toolbar\SearchSettings.dll
c:\programme\pdfforge Toolbar\WiDGitoolbarie.dll
C:\system.txt
M:\Autorun.inf
N:\autorun.inf
O:\Autorun.inf
P:\autorun.inf
Q:\autorun.inf
Q:\install.exe

.
((((((((((((((((((((((( Dateien erstellt von 2010-12-09 bis 2011-01-09 ))))))))))))))))))))))))))))))
.

2011-01-09 01:41 . 2011-01-09 02:47 -------- d-----w- c:\programme\ZHPDiag
2011-01-06 03:18 . 2011-01-08 04:58 -------- d-----w- c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\vlc
2011-01-05 00:25 . 2011-01-05 00:25 -------- d-----w- c:\programme\Ceedo
2010-12-24 02:45 . 2010-12-24 02:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-12-20 01:29 . 2010-12-20 01:29 -------- d-----w- c:\programme\Microsoft.NET
2010-12-15 04:12 . 2001-08-18 12:00 6656 -c--a-w- c:\windows\system32\dllcache\c_is2022.dll
2010-12-15 04:12 . 2001-08-18 12:00 6656 ----a-w- c:\windows\system32\c_is2022.dll
2010-12-15 03:09 . 2010-12-15 03:11 -------- dc-h--w- c:\windows\ie8
2010-12-14 01:02 . 2010-12-15 02:49 -------- d-----w- c:\dokumente und einstellungen\Reinhard\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
2010-12-13 17:12 . 2010-12-13 17:12 -------- d-----w- c:\windows\system32\URTTEMP
2010-12-11 02:22 . 2010-12-11 02:22 -------- d-----w- c:\windows\system32\wbem\Repository

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-08 05:00 . 2009-04-05 21:52 60416 -c--a-w- c:\windows\ALCFDRTM.VER
2010-12-03 02:10 . 2010-12-03 02:10 25992 ----a-w- c:\windows\system32\pgdfgsvc.exe
2010-11-29 16:38 . 2010-11-29 16:38 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38 69632 ----a-w- c:\windows\system32\QuickTime.qts
2010-11-19 20:15 . 2001-08-18 12:00 361600 ----a-w- c:\windows\system32\drivers\TCPIP.SYS
2010-11-19 20:15 . 2010-11-19 20:15 361600 ----a-w- c:\windows\system32\drivers\TCPIP.SYS.ORIGINAL
2010-11-18 18:12 . 2009-04-05 13:56 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-14 19:02 . 2010-11-14 19:02 0 -c--a-w- c:\windows\system32\ConduitEngine.tmp
2010-11-06 00:21 . 2001-08-18 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2001-08-18 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2001-08-18 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-11-03 12:25 . 2009-04-05 14:10 385024 ------w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2001-08-18 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2001-08-18 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2001-08-18 12:00 1853440 ----a-w- c:\windows\system32\win32k.sys
2010-01-21 04:17 . 2010-01-21 04:16 164388208 -c--a-w- c:\programme\OOo_3.1.1_Win32Intel_install_wJRE_de.exe
2004-07-27 10:40 . 2004-07-27 10:40 2293 -c--a-w- c:\programme\install.bat
2010-03-13 01:23 . 2009-05-28 10:17 119808 -c--a-w- c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
.

------- Sigcheck -------

[-] 2010-11-19 . D24EA301E2B36C4E975FD216CA85D8E7 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\TCPIP.SYS
[-] 2010-11-19 . D24EA301E2B36C4E975FD216CA85D8E7 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\TCPIP.SYS
[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\TCPIP.SYS
[-] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys
[-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\programme\Softonic_Deutsch\tbSof2.dll" [2010-10-18 3908192]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"= "c:\programme\MyAshampoo\tbMyA2.dll" [2010-10-18 3908192]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD2.dll" [2010-10-18 3908192]

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-10-18 10:26 3908192 ----a-w- c:\programme\ConduitEngine\ConduitEngine.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]
2010-10-18 10:26 3908192 ----a-w- c:\programme\DVDVideoSoftTB\tbDVD2.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
2010-10-18 10:26 3908192 ----a-w- c:\programme\Softonic_Deutsch\tbSof2.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]
2010-10-18 10:26 3908192 ----a-w- c:\programme\MyAshampoo\tbMyA2.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-09-28 21:44 1400712 ----a-w- c:\programme\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\programme\Softonic_Deutsch\tbSof2.dll" [2010-10-18 3908192]
"{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}"= "c:\programme\MyAshampoo\tbMyA2.dll" [2010-10-18 3908192]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"= "c:\programme\DVDVideoSoftTB\tbDVD2.dll" [2010-10-18 3908192]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{8DBB6D8E-E4A6-4E3B-9753-AF78B226441C}"= "c:\programme\Softonic_Deutsch\tbSof2.dll" [2010-10-18 3908192]
"{A1E75A0E-4397-4BA8-BB50-E19FB66890F4}"= "c:\programme\MyAshampoo\tbMyA2.dll" [2010-10-18 3908192]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"= "c:\programme\DVDVideoSoftTB\tbDVD2.dll" [2010-10-18 3908192]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

[HKEY_CLASSES_ROOT\clsid\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}]

[HKEY_CLASSES_ROOT\clsid\{872b5b88-9db5-4310-bdd0-ac189557e5f5}]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-04-24 39408]
"Software Informer"="c:\programme\Software Informer\softinfo.exe" [2009-09-17 1933381]
"SmartRAM"="c:\programme\IObit\Advanced SystemCare 3\Sup_SmartRAM.exe" [2010-07-21 198864]
"Advanced SystemCare 3"="c:\programme\IObit\Advanced SystemCare 3\AWC.exe" [2010-12-16 2402512]
"UIWatcher"="c:\programme\Ashampoo\Ashampoo UnInstaller 3\UIWatcher.exe" [2010-02-09 3509080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnlockerAssistant"="c:\programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"Spy Protector"="c:\programme\Security Task Manager\SpyProtector.exe" [2007-03-05 114248]
"SimpleScreenshot"="c:\progra~1\SSS\SIMPLESCREENSHOT.EXE" [2009-04-07 962048]
"nwiz"="nwiz.exe" [2003-07-28 323584]
"NvMediaCenter"="NvMCTray.dll" [2003-07-28 49152]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-07-28 4841472]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2010-03-13 30192]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"PAC207_Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2008-09-05 1794048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
forteManager.lnk - c:\programme\LG Soft India\forteManager\bin\Monitor.exe [2010-12-2 1687552]
LaunchU3.exe.lnk - c:\windows\Installer\{D8E363A7-88B7-446D-B2C0-E26CE4DC8E54}\_294823.exe [2009-10-28 22486]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"E07DXLRD_83214734"="c:\program files\Encarta 2007 - Enzyklopaedie DVD\EDICT.EXE" -m
"ctfmon.exe"=c:\windows\system32\ctfmon.exe
"UIWatcher"=c:\programme\Ashampoo\Ashampoo UnInstaller 3\UIWatcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SearchSettings"=c:\programme\pdfforge Toolbar\SearchSettings.exe
"Agent"=c:\programme\Medion\PowerCinema\My_TV\Agent.exe
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe"
"HPDJ Taskbar Utility"=c:\windows\system32\spool\drivers\w32x86\3\hpztsb08.exe
"SoundMan"=SOUNDMAN.EXE
"Monitor"=c:\windows\PixArt\PAC207\Monitor.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Zattoo\\zattood.exe"=
"c:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"l:\\Ceedo\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
"l:\\My Documents\\Downloads\\Software\\µTorrent Potable\\uTorrentPortable\\App\\utorrent\\UTORRENT.EXE"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 oreans32;oreans32;c:\windows\system32\drivers\oreans32.sys [05.01.2010 01:59 33824]
R2 PCToolsSSDMonitorSvc;PC Tools Startup and Shutdown Monitor service;c:\programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe [04.03.2010 00:26 632792]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [30.09.2010 16:01 1051968]
R3 hcw95bda;Hauppauge MOD7700 Tuner Driver;c:\windows\system32\drivers\hcw95bda.sys [07.04.2009 04:40 467456]
R3 hcw95rc;Hauppauge MOD7700 IR Driver;c:\windows\system32\drivers\hcw95rc.sys [07.04.2009 04:40 15488]
R3 LGDDCDevice;LGDDCDevice;c:\programme\LG Soft India\forteManager\bin\I2CDriver.sys [02.12.2010 01:32 14336]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [05.04.2009 16:45 24704]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 07:24 10064]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [28.05.2009 11:16 30192]
S2 gupdate1c9c4d2f620a7a2;Google Update Service (gupdate1c9c4d2f620a7a2);c:\programme\Google\Update\GoogleUpdate.exe [24.04.2009 12:50 133104]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [21.11.2009 16:34 4352]
S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [15.09.2010 01:04 13192]
S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [15.09.2010 01:04 8456]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [21.11.2009 16:34 265088]
S3 HauppaugeTVServer;HauppaugeTVServer;c:\progra~1\WinTV\HCWTVS~1.EXE [07.04.2009 04:43 815104]
S3 LGII2CDevice;LGII2CDevice;c:\programme\LG Soft India\forteManager\bin\PII2CDriver.sys [02.12.2010 01:32 18432]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 13:49 227232]
S3 PAC207;PC Camera;c:\windows\system32\drivers\PFC027.SYS [25.10.2007 18:31 616064]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [05.08.2010 13:08 100560]
S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys --> c:\windows\system32\DRIVERS\VBoxNetFlt.sys [?]
S3 VBoxUSB;VirtualBox USB;c:\windows\system32\drivers\VBoxUSB.sys [29.10.2010 00:40 31888]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-05-18 15:54 451872 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners

2011-01-08 c:\windows\Tasks\AWC AutoCare.job
- c:\programme\IObit\Advanced SystemCare 3\AutoCare.exe [2010-09-02 13:10]

2011-01-09 c:\windows\Tasks\AWC AutoSweep.job
- c:\programme\IObit\Advanced SystemCare 3\AutoSweep.exe [2010-09-02 13:11]

2011-01-09 c:\windows\Tasks\AWC Update.job
- c:\programme\IObit\Advanced SystemCare 3\IObitUpdate.exe [2010-09-02 14:24]

2011-01-09 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-24 11:49]

2011-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-24 11:50]

2011-01-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-24 11:50]

2011-01-08 c:\windows\Tasks\RegistryBooster.job
- c:\programme\Uniblue\RegistryBooster\rbmonitor.exe [2010-10-21 06:25]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: Free YouTube Download - c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubedownload.htm
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: {1922252D-846A-4261-8B3E-577D9E28D86A} - hxxp://files.ceedoready.com/AppStore/SmartPlayer/napplay.cab
FF - ProfilePath - c:\dokumente und einstellungen\Reinhard\Anwendungsdaten\Mozilla\Firefox\Profiles\xocfnrql.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - chrome://google-toolbar/content/new-tab.html
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: COMPUTERBILD-Abzockschutz: {d49175b3-3fd8-43b8-b28e-da5d47f3c398} - %profile%\extensions\{d49175b3-3fd8-43b8-b28e-da5d47f3c398}
FF - Ext: CookieSafe: {9D23D0AA-D8F5-11DA-B3FC-0928ABF316DD} - %profile%\extensions\{9D23D0AA-D8F5-11DA-B3FC-0928ABF316DD}
FF - Ext: ToolbarButtons: {03B08592-E5B4-45ff-A0BE-C1D975458688} - %profile%\extensions\{03B08592-E5B4-45ff-A0BE-C1D975458688}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Unhide Passwords: {2e17e2b2-b8d4-4a67-8d7b-fafa6cc9d1d0} - %profile%\extensions\{2e17e2b2-b8d4-4a67-8d7b-fafa6cc9d1d0}
FF - Ext: Cooliris: piclens@cooliris.com - %profile%\extensions\piclens@cooliris.com
FF - Ext: ImTranslator: {9AA46F4F-4DC7-4c06-97AF-5035170634FE} - %profile%\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}
FF - Ext: CheckIt: checkit@lovinglinux.megabyet.net - %profile%\extensions\checkit@lovinglinux.megabyet.net
FF - Ext: Subtile: {88ce39f5-1e54-477c-809d-93d411720f0c} - %profile%\extensions\{88ce39f5-1e54-477c-809d-93d411720f0c}
FF - user.js: browser.cache.memory.capacity - 65536
FF - user.js: browser.chrome.favicons - false
FF - user.js: browser.display.show_image_placeholders - true
FF - user.js: browser.turbo.enabled - true
FF - user.js: browser.urlbar.autocomplete.enabled - true
FF - user.js: browser.urlbar.autofill - true
FF - user.js: content.interrupt.parsing - true
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.notify.backoffcount - 5
FF - user.js: content.notify.interval - 600000
FF - user.js: content.notify.ontimer - true
FF - user.js: content.switch.threshold - 600000
FF - user.js: network.http.max-connections - 48
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: network.http.max-persistent-connections-per-proxy - 16
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: network.http.pipelining - true
FF - user.js: network.http.pipelining.firstrequest - true
FF - user.js: network.http.pipelining.maxrequests - 8
FF - user.js: network.http.proxy.pipelining - true
FF - user.js: network.http.request.max-start-delay - 0
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: plugin.expose_full_path - true
FF - user.js: ui.submenuDelay - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

URLSearchHooks-{A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-09 05:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,76,01,12,01,d1,e4,1e,47,b0,b1,06,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,76,01,12,01,d1,e4,1e,47,b0,b1,06,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1688)
c:\progra~1\WINDOW~3\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\avmwlanstick\WlanNetService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Maxtor\Sync\SyncServices.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RunDLL32.exe
c:\windows\system32\dwwin.exe
c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
c:\windows\system32\wscntfy.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\U3\U3Launcher\LaunchU3.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-09 05:30:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-01-09 04:30

Vor Suchlauf: 20 Verzeichnis(se), 13.559.635.968 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 13.430.784.000 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 19580AD31243BC01EF0989CB88571E81
_________________________________________________________________
Aus Protecus von
Swiss treasure => Schweizerischer Schatz
Seitenanfang Seitenende
13.01.2011, 09:17
...neu hier

Themenstarter

Beiträge: 9
#13 Hi,

noch mal zurück zu meinem Ausgangsproblem...
Ist das jetzt beseitigt, oder war die Aufforderung zum ComboFix-Scan auch an mich gerichtet?

VG
5mxpro
Seitenanfang Seitenende
13.01.2011, 10:27
Moderator

Beiträge: 5694
#14 Sorry ich habe nicht gesehen dass in diesem Thread mehrere User schreiben!!

@Trojaneropfer:
Bitte einen eigenen Thread erstellen und dort posten. Nicht mehr hier rein schreiben.

@Reeeni:
Auch für Dich. Bitte nicht einfach in einen fremden Thread schreiben und Programme einfach ausführen. Also eigenen Thread erstellen und die Logs dort posten.

@5mxpro:
Bitte scanne mit Combofix und poste das Log hier.
Seitenanfang Seitenende
13.01.2011, 10:32
...neu hier

Themenstarter

Beiträge: 9
#15 Während des Combofix-Scan die Internet-Verbindung und die Firewall deaktivieren?

VG
5mxpro
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: