Home » Viren, Trojaner & Malware Forum » gmer meldet Rootkit-Befall » Themenansicht

gmer meldet Rootkit-Befall
#0
11.08.2013, 07:58
JLPicard
Member

Beiträge: 73
#1 Hallo,

mein wöchentlicher Avira-Check hat zweimal Virenbefall in der Systemwiederherstellung gefunden:

Code

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 9. August 2013  21:36


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira Free Antivirus

Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : XP...

Versionsinformationen:
BUILD.DAT      : 13.0.0.3885    54851 Bytes  01.08.2013 08:55:00
AVSCAN.EXE     : 13.6.0.1722   634936 Bytes  26.06.2013 10:47:02
AVSCANRC.DLL   : 13.6.0.1550    62520 Bytes  26.06.2013 10:47:03
LUKE.DLL       : 13.6.0.1550    65080 Bytes  26.06.2013 10:47:18
AVSCPLR.DLL    : 13.6.0.1712    92216 Bytes  26.06.2013 10:47:03
AVREG.DLL      : 13.6.0.1550   247864 Bytes  26.06.2013 10:47:02
avlode.dll     : 13.6.2.1704   449592 Bytes  26.06.2013 10:47:01
avlode.rdf     : 13.0.1.22      26240 Bytes  20.07.2013 22:09:50
VBASE000.VDF   : 7.11.70.0   66736640 Bytes  04.04.2013 22:33:39
VBASE001.VDF   : 7.11.74.226  2201600 Bytes  30.04.2013 21:53:28
VBASE002.VDF   : 7.11.80.60   2751488 Bytes  28.05.2013 17:32:45
VBASE003.VDF   : 7.11.85.214  2162688 Bytes  21.06.2013 14:38:40
VBASE004.VDF   : 7.11.91.176  3903488 Bytes  23.07.2013 15:06:47
VBASE005.VDF   : 7.11.91.177     2048 Bytes  23.07.2013 15:06:47
VBASE006.VDF   : 7.11.91.178     2048 Bytes  23.07.2013 15:06:47
VBASE007.VDF   : 7.11.91.179     2048 Bytes  23.07.2013 15:06:47
VBASE008.VDF   : 7.11.91.180     2048 Bytes  23.07.2013 15:06:48
VBASE009.VDF   : 7.11.91.181     2048 Bytes  23.07.2013 15:06:48
VBASE010.VDF   : 7.11.91.182     2048 Bytes  23.07.2013 15:06:48
VBASE011.VDF   : 7.11.91.183     2048 Bytes  23.07.2013 15:06:48
VBASE012.VDF   : 7.11.91.184     2048 Bytes  23.07.2013 15:06:48
VBASE013.VDF   : 7.11.92.32    156160 Bytes  24.07.2013 13:26:44
VBASE014.VDF   : 7.11.92.147   168960 Bytes  25.07.2013 15:25:10
VBASE015.VDF   : 7.11.93.93    419328 Bytes  28.07.2013 13:45:42
VBASE016.VDF   : 7.11.93.170  1403392 Bytes  29.07.2013 13:28:17
VBASE017.VDF   : 7.11.94.31    222208 Bytes  31.07.2013 16:23:22
VBASE018.VDF   : 7.11.94.141   273408 Bytes  03.08.2013 13:57:27
VBASE019.VDF   : 7.11.94.203   200192 Bytes  04.08.2013 11:25:56
VBASE020.VDF   : 7.11.95.8    1925632 Bytes  05.08.2013 14:10:24
VBASE021.VDF   : 7.11.95.81    203776 Bytes  06.08.2013 15:25:36
VBASE022.VDF   : 7.11.95.175   148480 Bytes  07.08.2013 04:50:27
VBASE023.VDF   : 7.11.95.248  1224192 Bytes  09.08.2013 13:24:05
VBASE024.VDF   : 7.11.95.249     2048 Bytes  09.08.2013 13:24:05
VBASE025.VDF   : 7.11.95.250     2048 Bytes  09.08.2013 13:24:05
VBASE026.VDF   : 7.11.95.251     2048 Bytes  09.08.2013 13:24:06
VBASE027.VDF   : 7.11.95.252     2048 Bytes  09.08.2013 13:24:06
VBASE028.VDF   : 7.11.95.253     2048 Bytes  09.08.2013 13:24:06
VBASE029.VDF   : 7.11.95.254     2048 Bytes  09.08.2013 13:24:06
VBASE030.VDF   : 7.11.95.255     2048 Bytes  09.08.2013 13:24:06
VBASE031.VDF   : 7.11.96.10     91136 Bytes  09.08.2013 19:36:07
Engineversion  : 8.2.12.104
AEVDF.DLL      : 8.1.3.4       102774 Bytes  13.06.2013 15:51:49
AESCRIPT.DLL   : 8.1.4.140     504190 Bytes  08.08.2013 15:16:28
AESCN.DLL      : 8.1.10.4      131446 Bytes  26.03.2013 18:23:16
AESBX.DLL      : 8.2.16.20    1241464 Bytes  08.08.2013 15:16:29
AERDL.DLL      : 8.2.0.128     688504 Bytes  13.06.2013 15:51:49
AEPACK.DLL     : 8.3.2.24      749945 Bytes  20.06.2013 12:40:03
AEOFFICE.DLL   : 8.1.2.76      205181 Bytes  08.08.2013 15:16:27
AEHEUR.DLL     : 8.1.4.538    6099322 Bytes  08.08.2013 15:16:27
AEHELP.DLL     : 8.1.27.4      266617 Bytes  27.06.2013 15:39:24
AEGEN.DLL      : 8.1.7.12      442743 Bytes  08.08.2013 15:16:23
AEEXP.DLL      : 8.4.1.46      287095 Bytes  08.08.2013 15:16:29
AEEMU.DLL      : 8.1.3.2       393587 Bytes  14.07.2012 19:25:53
AECORE.DLL     : 8.1.31.6      201081 Bytes  27.06.2013 15:39:23
AEBB.DLL       : 8.1.1.4        53619 Bytes  05.11.2012 16:58:32
AVWINLL.DLL    : 13.6.0.1550    23608 Bytes  26.06.2013 10:46:55
AVPREF.DLL     : 13.6.0.1550    48184 Bytes  26.06.2013 10:47:01
AVREP.DLL      : 13.6.0.1550   175672 Bytes  26.06.2013 10:47:02
AVARKT.DLL     : 13.6.0.1626   258104 Bytes  26.06.2013 10:46:57
AVEVTLOG.DLL   : 13.6.0.1550   164920 Bytes  26.06.2013 10:47:00
SQLITE3.DLL    : 3.7.0.1       397704 Bytes  19.05.2013 20:28:43
AVSMTP.DLL     : 13.6.0.1550    59960 Bytes  26.06.2013 10:47:03
NETNT.DLL      : 13.6.0.1550    13368 Bytes  26.06.2013 10:47:18
RCIMAGE.DLL    : 13.4.0.360   4780832 Bytes  19.05.2013 20:27:35
RCTEXT.DLL     : 13.6.0.1624    67128 Bytes  26.06.2013 10:46:55

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Auszulassende Dateien.................: f:\_SPC, F:\Computer\Software\novir, G:\_c\TFT_AdjustTest.exe, TFT_AdjustTest.exe, 

Beginn des Suchlaufs: Freitag, 9. August 2013  21:36

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPQTOA~1.EXE' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'PTServs.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpTna.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSDrt.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'WMPNetwk.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSDsrvc.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceManager.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSSrvc.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'IFXSPMGT.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'ModemListener.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_S4I0K2.EXE' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDFPrintBackend.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPWuSchd2.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'Scheduler.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'QlbCtrl.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'HP Wireless Assistant.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'DLACTRLW.EXE' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'PTHOSTTR.EXE' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'AccelerometerSt.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCardSvr.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'IFXTCS.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '175' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '7453' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Laufwerk_C>
Beginne mit der Suche in 'D:\' <HP_RECOVERY>
Beginne mit der Suche in 'F:\' <Volume>
Das Verzeichnis 'F:\Computer\Software\novir\' wurde von der Suche ausgenommen!
F:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP609\A0173592.exe
  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
F:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP609\A0173593.exe
  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
Das Verzeichnis 'F:\_SPC\' wurde von der Suche ausgenommen!
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.

Beginne mit der Desinfektion:
F:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP609\A0173593.exe
  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51884efa.qua' verschoben!
F:\System Volume Information\_restore{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP609\A0173592.exe
  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491f615d.qua' verschoben!


Ende des Suchlaufs: Samstag, 10. August 2013  09:23
Benötigte Zeit:  4:17:09 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  19694 Verzeichnisse wurden überprüft
 1195450 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1195448 Dateien ohne Befall
  12251 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
 166207 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
Der anschließende Aufruf von Gmer brachte folgendes Log:

Code

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2013-08-10 16:21:46
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HM250HI rev.2AC101C4
Running: 7e300443.exe; Driver: C:\DOKUME~1\ingo\LOKALE~1\Temp\kgrcraob.sys


---- System - GMER 1.0.15 ----

SSDT            F7BCE88E                                                                                                                            ZwCreateKey
SSDT            F7BCE884                                                                                                                            ZwCreateThread
SSDT            F7BCE893                                                                                                                            ZwDeleteKey
SSDT            F7BCE89D                                                                                                                            ZwDeleteValueKey
SSDT            F7BCE8A2                                                                                                                            ZwLoadKey
SSDT            F7BCE870                                                                                                                            ZwOpenProcess
SSDT            F7BCE875                                                                                                                            ZwOpenThread
SSDT            F7BCE8AC                                                                                                                            ZwReplaceKey
SSDT            F7BCE8A7                                                                                                                            ZwRestoreKey
SSDT            F7BCE898                                                                                                                            ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwCallbackReturn + 2D2C                                                                                                80504614 4 Bytes  [8E, E8, BC, F7]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2D5C                                                                                                80504644 4 Bytes  CALL F1433E05 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2D84                                                                                                8050466C 4 Bytes  CALL D2B73E2D 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2D8C                                                                                                80504674 4 Bytes  [9D, E8, BC, F7]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2E10                                                                                                805046F8 4 Bytes  CALL E0EB3EB9 
.text           ...                                                                                                                                 
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                                            section is writeable [0xF62D1360, 0x305AC7, 0xE8000020]
init            C:\WINDOWS\system32\drivers\tifm21.sys                                                                                              entry point in "init" section [0xF60EDEBF]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\SMINST\Scheduler.exe[1424] USER32.dll!GetSysColor                                                                        7E368E78 5 Bytes  JMP 00418ED0 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1424] USER32.dll!GetSysColorBrush                                                                   7E368EAB 5 Bytes  JMP 00418F40 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1424] USER32.dll!SetScrollInfo                                                                      7E369056 7 Bytes  JMP 00418DC0 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1424] USER32.dll!GetScrollInfo                                                                      7E37DFE2 7 Bytes  JMP 00418D10 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1424] USER32.dll!ShowScrollBar                                                                      7E37F2F2 5 Bytes  JMP 00418E90 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1424] USER32.dll!GetScrollPos                                                                       7E37F704 5 Bytes  JMP 00418D50 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1424] USER32.dll!SetScrollPos                                                                       7E37F750 5 Bytes  JMP 00418E00 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1424] USER32.dll!GetScrollRange                                                                     7E37F787 5 Bytes  JMP 00418D80 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1424] USER32.dll!SetScrollRange                                                                     7E37F99B 5 Bytes  JMP 00418E40 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1424] USER32.dll!EnableScrollBar                                                                    7E3B8005 7 Bytes  JMP 00418CD0 C:\WINDOWS\SMINST\Scheduler.exe

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                             SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                             eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                                              DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                                                                   [AUTO] BITS                                                                                <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}                     
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}@haelmmmjppehpjch    0x6B 0x61 0x70 0x61 ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}@galkgodejipehe      0x61 0x63 0x6D 0x6E ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}@iaolgnjfhagdagdhmg  0x6B 0x61 0x61 0x61 ...

---- EOF - GMER 1.0.15 ----

.. Fortsetzung folgt
Seitenanfang Seitenende
11.08.2013, 08:11
JLPicard
Member

Themenstarter

Beiträge: 73
#2 Der Aufruf von OTL brachte folgendes Resultat:

Code

OTL logfile created on: 11.08.2013 06:59:50 - Run 1
OTL by OldTimer - Version 3.2.59.1     Folder = F:\retter\av
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,36 Gb Available Physical Memory | 67,90% Memory free
5,83 Gb Paging File | 5,28 Gb Available in Paging File | 90,55% Paging File free
Paging file location(s): C:\pagefile.sys 4096 4096 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 124,15 Gb Total Space | 5,01 Gb Free Space | 4,04% Space Free | Partition Type: NTFS
Drive D: | 3,84 Gb Total Space | 0,19 Gb Free Space | 5,02% Space Free | Partition Type: FAT32
Drive F: | 104,89 Gb Total Space | 0,73 Gb Free Space | 0,70% Space Free | Partition Type: NTFS
 
Computer Name: XP... | User Name: ingo | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: On | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - [2013.06.26 12:47:19 | 000,084,024 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2013.06.26 12:47:03 | 000,076,856 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2013.06.26 12:47:00 | 000,345,144 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2013.06.26 12:47:00 | 000,108,088 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2013.04.19 21:47:32 | 000,181,664 | ---- | M] (Oracle Corporation) -- C:\Programme\Java\jre7\bin\jqs.exe
PRC - [2013.04.04 23:06:36 | 000,958,576 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
PRC - [2013.03.12 07:32:58 | 000,506,744 | ---- | M] (Oracle Corporation) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
PRC - [2013.03.12 07:32:50 | 000,253,816 | ---- | M] (Oracle Corporation) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2013.01.11 16:00:28 | 000,114,040 | ---- | M] () -- C:\Programme\T-Mobile\InternetManager_A\Background\ModemListener.exe
PRC - [2013.01.11 15:27:42 | 000,051,576 | ---- | M] () -- C:\Programme\T-Mobile\InternetManager_A\BackgroundService\ServiceManager.exe
PRC - [2012.09.03 06:43:08 | 000,598,528 | ---- | M] (OldTimer Tools) -- F:\retter\av\OTL.exe
PRC - [2012.07.26 14:16:14 | 000,092,632 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
PRC - [2011.03.21 23:10:00 | 001,230,704 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2006.02.15 17:16:02 | 000,581,693 | ---- | M] (Broadcom Corporation.) -- C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
PRC - [2006.02.15 16:43:16 | 000,892,928 | ---- | M] () -- C:\WINDOWS\SMINST\Scheduler.exe
PRC - [2006.02.14 12:56:08 | 000,122,880 | ---- | M] (Hewlett-Packard Development Company, L.P.) -- C:\Programme\HPQ\HP ProtectTools Security Manager\pthosttr.exe
PRC - [2006.02.06 23:51:18 | 000,126,976 | ---- | M] (Hewlett-Packard Development Company, L.P.) -- C:\Programme\HPQ\HP ProtectTools Security Manager\PTServs.exe
PRC - [2006.01.20 12:20:00 | 000,073,728 | ---- | M] (Hewlett-Packard Company) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
PRC - [2006.01.16 23:01:46 | 000,053,248 | ---- | M] (Hewlett-Packard Corporation) -- C:\WINDOWS\system32\accelerometerST.exe
PRC - [2006.01.10 14:23:16 | 000,136,736 | ---- | M] (Infineon Technologies AG) -- C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
PRC - [2005.12.23 13:44:26 | 000,491,606 | ---- | M] () -- C:\Programme\HPQ\Shared\HpqToaster.exe
PRC - [2005.08.31 06:20:00 | 000,122,940 | ---- | M] (Sonic Solutions) -- C:\WINDOWS\system32\DLA\DLACTRLW.EXE
PRC - [2005.08.19 16:22:10 | 000,397,312 | ---- | M] (Infineon Technologies AG) -- C:\Programme\ProtectTools\Embedded Security Software\SpTNA.exe
PRC - [2005.07.03 22:52:18 | 000,071,080 | ---- | M] () -- C:\Programme\PDFDrucker\PDFPrintBackend.exe
PRC - [2003.09.12 03:00:00 | 000,099,840 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0K2.EXE
PRC - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
 
 
[color=#E56717]========== Modules (No Company Name) ==========[/color]
 
MOD - [2013.05.19 22:28:43 | 000,397,704 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2013.01.11 16:00:28 | 000,114,040 | ---- | M] () -- C:\Programme\T-Mobile\InternetManager_A\Background\ModemListener.exe
MOD - [2013.01.11 15:27:42 | 000,051,576 | ---- | M] () -- C:\Programme\T-Mobile\InternetManager_A\BackgroundService\ServiceManager.exe
MOD - [2011.03.21 23:10:36 | 000,096,112 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll
MOD - [2011.03.21 23:10:00 | 001,230,704 | ---- | M] () -- C:\Programme\DivX\DivX Update\DivXUpdate.exe
MOD - [2006.02.15 17:17:26 | 000,053,248 | ---- | M] () -- C:\Programme\WIDCOMM\Bluetooth Software\BTKeyInd.dll
MOD - [2006.02.15 16:43:16 | 000,892,928 | ---- | M] () -- C:\WINDOWS\SMINST\Scheduler.exe
MOD - [2005.12.23 13:44:26 | 000,491,606 | ---- | M] () -- C:\Programme\HPQ\Shared\HpqToaster.exe
MOD - [2005.07.03 22:52:18 | 000,071,080 | ---- | M] () -- C:\Programme\PDFDrucker\PDFPrintBackend.exe
MOD - [2004.06.01 11:39:56 | 000,094,274 | R--- | M] () -- C:\WINDOWS\system32\HPBHEALR.DLL
 
 
[color=#E56717]========== Services (SafeList) ==========[/color]
 
SRV - File not found [On_Demand | Stopped] -- %ProgramFiles%\Windows Defender\mpsvc.dll -- (WinDefend)
SRV - [2013.07.21 01:04:45 | 000,257,416 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.07.03 15:36:58 | 000,117,144 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013.06.26 12:47:19 | 000,084,024 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.06.26 12:47:00 | 000,108,088 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013.04.19 21:47:32 | 000,181,664 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2013.01.11 15:27:42 | 000,051,576 | ---- | M] () [Auto | Running] -- C:\Programme\T-Mobile\InternetManager_A\BackgroundService\ServiceManager.exe -- (Modem Device Helper)
SRV - [2012.07.26 14:16:14 | 000,092,632 | ---- | M] (TomTom) [Auto | Running] -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- (TomTomHOMEService)
SRV - [2010.06.23 22:55:53 | 001,352,832 | ---- | M] (Lavasoft) [On_Demand | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
SRV - [2006.01.20 12:20:00 | 000,073,728 | ---- | M] (Hewlett-Packard Company) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\ingo\LOKALE~1\Temp\kgrcraob.sys -- (kgrcraob)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2013.05.19 22:28:57 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2013.05.19 22:28:57 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2013.05.19 22:28:57 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2013.05.19 22:28:57 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2012.08.31 12:10:24 | 000,134,144 | ---- | M] (TCT International Mobile Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\AlcatelOTDCWwan.sys -- (AlcatelOTDCWwan)
DRV - [2012.08.31 12:10:24 | 000,107,904 | ---- | M] (TCT International Mobile Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\jrdusbser.sys -- (jrdusbser)
DRV - [2012.08.31 12:10:24 | 000,018,816 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\AlcatelUsb.sys -- (ALCATELUSB)
DRV - [2011.10.14 17:13:26 | 000,061,312 | ---- | M] (Silicon Laboratories) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\silabser.sys -- (silabser)
DRV - [2011.10.14 17:13:26 | 000,047,176 | ---- | M] (Silicon Laboratories) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\silabenm.sys -- (silabenm)
DRV - [2010.10.22 16:35:45 | 000,005,152 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\io.sys -- (io.sys)
DRV - [2010.08.31 12:43:36 | 000,195,968 | ---- | M] (Jungo) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\windrvr6.sys -- (WinDriver6)
DRV - [2010.06.23 22:56:00 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\drivers\Lbd.sys -- (Lbd)
DRV - [2010.01.11 15:10:06 | 000,008,960 | ---- | M] (HI-LO System Research Co.,LTD.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ALL100.sys -- (ALL100)
DRV - [2008.04.13 20:46:07 | 000,025,344 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sonydcam.sys -- (sonydcam)
DRV - [2007.11.20 19:35:48 | 000,049,792 | ---- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ser2pl.sys -- (Ser2pl)
DRV - [2007.05.31 18:25:08 | 000,091,904 | R--- | M] (The Imaging Source Europe GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\tisdcam_4010.sys -- (TISDCam)
DRV - [2007.03.20 11:33:26 | 000,028,672 | ---- | M] (http://libusb-win32.sourceforge.net) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\libusb0.sys -- (libusb0)
DRV - [2007.01.25 17:45:02 | 000,006,784 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\whfltr2k.sys -- (whfltr2k)
DRV - [2006.02.15 16:59:52 | 000,401,664 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio)
DRV - [2006.02.15 16:56:58 | 001,342,570 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)
DRV - [2006.02.15 16:54:46 | 000,030,363 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver)
DRV - [2006.02.15 16:54:10 | 000,057,096 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)
DRV - [2006.02.15 16:51:22 | 000,148,168 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS)
DRV - [2006.01.10 02:00:04 | 000,022,016 | ---- | M] (Hewlett-Packard Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Accelerometer.sys -- (Accelerometer)
DRV - [2006.01.10 02:00:04 | 000,017,920 | ---- | M] (Hewlett-Packard Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\hpdskflt.sys -- (hpdskflt)
DRV - [2006.01.04 02:00:10 | 001,035,008 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)
DRV - [2006.01.04 02:00:10 | 000,718,464 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2006.01.04 02:00:10 | 000,201,600 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL)
DRV - [2005.12.19 10:21:00 | 001,428,096 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w39n51.sys -- (w39n51)
DRV - [2005.10.26 11:01:02 | 000,142,720 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2005.10.25 20:10:44 | 000,035,488 | ---- | M] (Infineon Technologies AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\psd.sys -- (PersonalSecureDrive)
DRV - [2005.09.20 11:30:56 | 000,162,432 | ---- | M] (Texas Instruments) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tifm21.sys -- (tifm21)
DRV - [2005.09.19 14:24:20 | 000,005,760 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EabUsb.sys -- (eabusb)
DRV - [2005.09.19 14:24:10 | 000,009,344 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\CPQBttn.sys -- (HBtnKey)
DRV - [2005.09.19 14:23:52 | 000,007,808 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\eabfiltr.sys -- (eabfiltr)
DRV - [2005.08.31 06:20:00 | 000,094,332 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2005.08.31 06:20:00 | 000,087,036 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2005.08.31 06:20:00 | 000,086,524 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2005.08.31 06:20:00 | 000,025,628 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2005.08.31 06:20:00 | 000,014,684 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2005.08.31 06:20:00 | 000,006,364 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2005.08.31 06:20:00 | 000,002,496 | ---- | M] (Sonic Solutions) [File_System | Auto | Running] -- C:\WINDOWS\system32\DLA\DLADResN.SYS -- (DLADResN)
DRV - [2005.08.25 13:16:52 | 000,005,628 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2005.08.25 13:16:16 | 000,022,684 | ---- | M] (Sonic Solutions) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\DLARTL_N.SYS -- (DLARTL_N)
DRV - [2005.06.10 15:26:00 | 000,035,968 | ---- | M] (Infineon Technologies AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ifxtpm.sys -- (IFXTPM)
DRV - [2005.05.31 12:46:26 | 000,087,936 | R--- | M] (Texas Instruments) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gtipci21.sys -- (GTIPCI21)
DRV - [2005.03.30 11:12:38 | 000,014,544 | ---- | M] (EnTech Taiwan) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\TVicPort.sys -- (TVicPort)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = websweeper.atb-potsdam.de:8080
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.search.useDBForOrder: true
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_8_800_94.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.21.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.21.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.450: C:\Programme\Real Alternative\browser\plugins\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: C:\Programme\Real Alternative\browser\plugins\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.4: C:\Programme\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 22.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.07.03 15:36:35 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 22.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.07.03 15:36:39 | 000,000,000 | ---D | M]
 
[2012.07.31 16:25:05 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Extensions
[2010.07.02 21:51:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com
[2013.08.09 01:19:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\zpzpr0xk.default\extensions
[2013.07.21 01:02:26 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\zpzpr0xk.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2013.04.29 20:22:31 | 000,000,000 | ---D | M] (Ant Video Downloader) -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\zpzpr0xk.default\extensions\anttoolbar@ant.com
[2013.07.02 22:35:24 | 000,001,655 | ---- | M] () -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Mozilla\Firefox\Profiles\zpzpr0xk.default\searchplugins\ixquick-https---deutsch.xml
[2013.07.03 15:36:36 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.07.03 15:36:36 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}
[2013.07.03 15:36:36 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}
[2013.07.03 15:36:34 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\browser\extensions
[2013.07.03 15:37:02 | 000,000,000 | ---D | M] (Default) -- C:\Programme\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
[2013.08.09 01:19:04 | 000,534,178 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\INGO\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\ZPZPR0XK.DEFAULT\EXTENSIONS\{73A6FE31-595D-460B-A920-FCC0F8843232}.XPI
[2013.01.16 21:53:09 | 000,043,066 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\INGO\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\ZPZPR0XK.DEFAULT\EXTENSIONS\INFO@CONVERT2MP3.NET.XPI
[2011.04.16 21:41:17 | 000,000,143 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\foxsearch.src
 
O1 HOSTS File: ([2012.07.24 22:57:18 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\accelerometerST.exe (Hewlett-Packard Corporation)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\Cpqset.exe ()
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions)
O4 - HKLM..\Run: [EPSON Stylus Photo RX500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0K2.EXE (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [IATSKY] C:\Programme\Stereo UKW Prüfgenerator 2\iatsky.exe File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [PDFPrint] C:\Programme\PDFDrucker\PDFPrintBackend.exe ()
O4 - HKLM..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE (Hewlett-Packard Development Company, L.P.)
O4 - HKLM..\Run: [Recguard] C:\WINDOWS\SMINST\Recguard.exe ()
O4 - HKLM..\Run: [Reminder] C:\WINDOWS\CREATOR\Remind_XP.exe ()
O4 - HKLM..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Oracle Corporation)
O4 - HKLM..\Run: [T-Mobile ModemListener] C:\Programme\T-Mobile\InternetManager_A\Background\ModemListener.exe ()
O4 - HKLM..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe (InterVideo Inc.)
O4 - HKLM..\Run: [WheelMouse] C:\Advanced Wheel Mouse\wh_exec.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe (InterVideo Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Steuer-Sparbuch heute.lnk = C:\Programme\WISO\Steuersoftware 2012\mshaktuell.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O15 - HKCU\..Trusted Domains: adobe.com ([get] http in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: microsoft.com ([www.update] http in Vertrauenswürdige Sites)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {37A8A17B-2DDC-4600-BBC6-538C10AED8C0} http://htmlupload.silverwire.de/upload/JavaActiveX/ImageUploader4.cab (Silverwire Image Uploader Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1343156956625 (WUWebControl Class)
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab (GMNRev Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 10.21.2)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 10.21.2)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3E9FD294-F47C-4AA6-A48C-3BE8902D554B}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\IfxWlxEN: DllName - (IfxWlxEN.dll) - C:\WINDOWS\System32\IfxWlxEN.dll (Infineon Technologies AG)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\ingo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\ingo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.10.29 21:38:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (lsdelete)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2013.08.08 23:28:05 | 000,000,000 | ---D | C] -- C:\_IF1bis
[2013.07.30 21:39:56 | 000,000,000 | ---D | C] -- C:\_11
[2013.07.24 20:27:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\MRT
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2013.08.11 06:32:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.08.11 06:13:12 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013.08.11 00:45:52 | 000,001,832 | -H-- | M] () -- C:\Dokumente und Einstellungen\ingo\Eigene Dateien\Default.rdp
[2013.08.11 00:43:23 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{4F4FE764-9E67-4F5B-8046-22F0CF264932}.job
[2013.08.11 00:13:02 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013.08.10 09:32:16 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.08.10 09:32:11 | 000,271,120 | ---- | M] () -- C:\WINDOWS\System32\nvModes.001
[2013.08.10 09:31:19 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.08.10 09:31:14 | 2146,881,536 | -HS- | M] () -- C:\hiberfil.sys
[2013.08.08 23:52:52 | 000,133,067 | -H-- | M] () -- C:\treeinfo.wc
[2013.08.08 20:23:40 | 000,271,120 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat
[2013.08.07 23:13:51 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2013.08.05 22:56:46 | 000,000,766 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2013.08.05 22:48:46 | 000,531,640 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.08.05 22:48:46 | 000,506,014 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.08.05 22:48:46 | 000,107,074 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.08.05 22:48:46 | 000,089,478 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.07.24 23:13:18 | 000,000,213 | ---- | M] () -- C:\WINDOWS\PCWGXDRV.INI
[2013.07.23 23:04:48 | 001,056,551 | ---- | M] () -- C:\verlegerichtlinie_well.pdf
[2013.07.21 00:57:46 | 000,278,944 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013.07.21 00:46:37 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2012.02.15 20:23:47 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.12.10 22:10:32 | 000,000,890 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\.recently-used.xbel
[2011.12.01 20:23:42 | 000,038,409 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Microsoft Excel.ADR
[2011.10.21 15:16:55 | 000,147,968 | R--- | C] () -- C:\WINDOWS\System32\DeBayerTransform.dll
[2011.10.21 15:16:55 | 000,005,632 | R--- | C] () -- C:\WINDOWS\System32\drvcoinst1.dll
[2011.05.27 23:34:54 | 001,663,653 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-448539723-1177238915-725345543-1005-0.dat
[2011.05.27 23:34:54 | 000,275,654 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2011.04.12 22:08:15 | 000,000,103 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\.gtk-bookmarks
[2010.01.27 00:37:44 | 000,145,408 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.08 01:42:42 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\ingo\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
 
[color=#E56717]========== LOP Check ==========[/color]
 
[2012.09.24 21:04:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
[2012.10.25 06:50:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CwGet
[2010.05.21 20:34:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRITZ!
[2009.11.23 20:17:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Infineon
[2011.06.27 15:14:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Panasonic
[2010.07.02 21:52:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
[2010.10.04 23:10:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2013.03.02 01:21:51 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{2CF4AA6B-4753-44CE-AEB2-C1FD0A9B367A}
[2010.05.24 11:12:58 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
[2011.04.12 21:48:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\.config
[2011.05.27 22:43:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Atmel
[2010.10.26 18:33:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Buhl Data Service
[2010.01.08 00:01:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\CadSoft
[2010.10.04 23:16:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\EPSON
[2010.01.07 00:20:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Foxit Software
[2010.05.21 20:34:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\FRITZ!
[2010.01.09 16:13:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\GetRightToGo
[2009.12.05 02:24:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\GHISLER
[2010.09.17 10:44:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\GrabPro
[2011.11.06 00:59:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\gtk-2.0
[2011.04.16 22:54:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Gutscheinmieze
[2011.10.21 15:26:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\IC Capture.AS 2.0
[2012.01.23 21:14:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\ICQ
[2009.12.05 00:54:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Infineon
[2013.03.28 00:07:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\InternetManager_A
[2010.01.04 19:04:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\InterVideo
[2010.01.08 00:28:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Leadertech
[2011.05.26 22:06:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\MCS Electronics
[2010.09.17 22:14:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Orbit
[2011.11.06 01:03:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\PapDesigner
[2010.09.17 10:44:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\ProgSense
[2010.02.01 00:43:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\SampleView
[2010.09.28 23:31:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Scilab
[2012.01.23 09:06:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\TeamViewer
[2010.07.02 21:51:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\TomTom
[2011.07.14 00:35:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\VisualAssist
[2012.01.23 21:38:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Desktop Search
[2012.01.23 21:30:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ingo\Anwendungsdaten\Windows Search
[2013.08.11 00:43:23 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{4F4FE764-9E67-4F5B-8046-22F0CF264932}.job
 
[color=#E56717]========== Purity Check ==========[/color]
 
 
 
[color=#E56717]========== Alternate Data Streams ==========[/color]
 
@Alternate Data Stream - 6560 bytes -> C:\MazdaRadioAdapt.jpg:Q30lsldxJoudresxAaaqpcawXc

< End of report >

Aufgefallen ist mir:
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\ingo\LOKALE~1\Temp\kgrcraob.sys -- (kgrcraob)

Am angegebenen Ort befindet sich das File kgrcraob.sys nicht (mehr).

Malwarebytes fand nichts.

Was soll ich als nächstes tun?

Gruß

Ingo.
Seitenanfang Seitenende
11.08.2013, 11:19
Swisstreasure
Moderator

Beiträge: 5694
#3

Zitat

DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\ingo\LOKALE~1\Temp\kgrcraob.sys -- (kgrcraob)
Das ist GMER ;)


Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
• ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
• Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.



Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:



Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.
Seitenanfang Seitenende
11.08.2013, 12:14
JLPicard
Member

Themenstarter

Beiträge: 73
#4 Hallo Swiss,

vielen Dank für dei schnelle Antwort.
Anbei findest Du das Combofix-Log.

Viele Grüße

ingo.

Anhang: ComboFix.txt
Seitenanfang Seitenende
11.08.2013, 22:26
Swisstreasure
Moderator

Beiträge: 5694
#5 Dowloade Dir bitte TDSS Killer.exe und speichere die Datei am Desktop.
• Schließe alle laufenden Programme.
• Trenne dich von Internet.
• Deaktiviere deine AntiViren Software.
• Starte TDSSkiller.exe mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Drücke auf Start scan.
Mache während dem Scan nichts am Rechner

[LIST=1]• Sollte das Tool keine Funde aufweisen, klicke Close um es zu schließen.
• Wurde etwas gefunden werden die Funde in Scan results - Select action for found objects angezeigt und geben 3 Auswahlmöglichkeiten.
Gehe sicher das Cure ( default ) angehackt ist ! Drücke Continue --> Reboot.
• Die Logfile ist nach dem Neustart auf deinem Systemlaufwerk ( meist C: ) unter TDSSKiller_version_date_time_log.txt zu finden.
• Bitte poste mir den Inhalt hier in deinen Thread.
Bebilderte Anleitung zur Benutzung von TDSSKiller.
Seitenanfang Seitenende
11.08.2013, 22:36
JLPicard
Member

Themenstarter

Beiträge: 73
#6 Hallo Swiss,

Es gab keine Funde - Logfile siehe Anhang.

Viele Grüße

Ingo.

Anhang: TDSSKiller.2.8.16.0_11.08.2013_22.31.36_log.txt
Seitenanfang Seitenende
12.08.2013, 19:36
Swisstreasure
Moderator

Beiträge: 5694
#7 ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.

• Dein Anti-Virus-Programm während des Scans deaktivieren.

Button (<< klick) drücken.

Firefox-User:
Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User:
müssen das Installieren eines ActiveX Elements erlauben.

• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.Wenn der Scan beendet wurde

• Klicke .
• Klicke und speichere das Logfile als ESET.txt auf dem Desktop.
• Klicke Back und Finish

Bitte poste die Logfile hier.
Seitenanfang Seitenende
12.08.2013, 23:16
JLPicard
Member

Themenstarter

Beiträge: 73
#8 Hallo Swiss,

das ESET-Logfile (nur eine Zeile lang) lautet:

Code

F:\Computer\Software\novir\killcmos.com    Killcmos.C trojan
Es handelt sich um ein mir bekanntes Programm zum Zurücksetzen des CMOS-Rams alter Computer/Notebooks.

Gruß Ingo.
Seitenanfang Seitenende
13.08.2013, 20:04
Swisstreasure
Moderator

Beiträge: 5694
#9 Ok. Noch Probleme?
Seitenanfang Seitenende
13.08.2013, 20:26
JLPicard
Member

Themenstarter

Beiträge: 73
#10

Zitat

Swisstreasure postete
Ok. Noch Probleme?
Bis vorhin nicht, aber eben:
Habe auf Den Link in der Email-Mitteilung über diese Nachricht von Dir geklickt. Firefox ist daraufhin mit einer Fehlermeldung gestartet und sofort beendet worden. Jeder weitere Start von Firefox führte zu gleichen verhalten auch bei Nuraufruf von Firefox.

Habe daraufhin den PC neu gestartet. Dann nur Firefox gestartet. Wieder kam eine Meldung, dass der Start fehlgeschlagen ist und mir wurde angeboten, Firefox "zurückzusetzen" oder im abgesicherten Modus zu starten. Habe es dann im abgesicherten Modus gestartet - ging. Dann geschlossen und kurz danach wieder geöffnet. Ging nun ohne Fehler. Danach ließ sich auch der Link aus der Benachrichtigungsmail öffnen.
Jetzt läuft Firefox - scheinbar - fehlerfrei.
Ich habe eben noch ins Ereignisprotokoll (Systemsteuerung) geschaut. Bei Anwendungen trat gestern abend zweimal der Fehler auf:

Code

Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
Kurz danach gab es diese Mitteilung:

Code

Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-CAB-Datei wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Gruß Ingo.
Seitenanfang Seitenende
13.08.2013, 20:39
JLPicard
Member

Themenstarter

Beiträge: 73
#11 Gerade noch gefunden im System-Ereignisprotokoll (ist am 11.08. aufgetreten) - und nur an diesem Tag:

Code

Der Dienst "Windows Media Player-Netzwerkfreigabedienst" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 30000 Millisekunden durchgeführt: Starten Sie den Dienst neu..
Die Suche nach dieser Meldung bei Google führt auf Trojanerboards.

Muss ich mir Sorgen machen?

Gruß Ingo.
Seitenanfang Seitenende
13.08.2013, 21:52
Swisstreasure
Moderator

Beiträge: 5694
#12 Du hast schon Original Windows und Office?
Seitenanfang Seitenende
13.08.2013, 21:59
JLPicard
Member

Themenstarter

Beiträge: 73
#13

Zitat

Swisstreasure postete
Du hast schon Original Windows und Office?
Da bin ich ganz sicher: XP professional (war beim Notebook dabei) und Office2003 Student

Gruß Ingo.
Seitenanfang Seitenende
14.08.2013, 19:18
JLPicard
Member

Themenstarter

Beiträge: 73
#14 Was soll ich jetzt tun?

Gruß Ingo.
Seitenanfang Seitenende
14.08.2013, 21:41
Swisstreasure
Moderator

Beiträge: 5694
#15 Hast Du die Uhrzeit überprüft? Stimmt diese?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123