Virusfund "BOO/Sinowal.F", "TR/Dldr.Sinowal.A.228" & "JAVA/ClassLoader.W"

[enasnI]

Nachdem mir hier schon so wunderbar geholfen wurde, habe ich mal Antivir über den Rechner meiner Freundin laufen lassen. Prompt lokalisierte dies den im Titel des Thread erwähnten Virus im Masterbootsektor und Bootsektor der Partitionen C:\ und D:\. Eine Entfernung ist laut Antivir nur mit dem dafür vorgesehenen Tool "Avira Bootsector Removal Tool" möglich. Dies erstellt eine bootfähige CD und probiert wohl den Virus zu killen. Im Menu des Tools komme ich bis zur Sprachauswahl und der Bestätigung, dass das Programm den Scan beginnen soll. Danach bleibt es bei "Programm starten" als letzte Meldung hängen und nichts passiert mehr. Habe mir das über eine halbe Stunde lange angeschaut.

Habe dann den Scan ohne die vorherige Entfernung des Virus zuende laufen lassen. Hier der Report.

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 27. August 2010  11:01

Es wird nach 2754421 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : PRIVAT-A2D09B69

Versionsinformationen:
BUILD.DAT      : 9.0.0.422     21701 Bytes  09.03.2010 10:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  19.11.2009 15:06:26
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 10:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 09:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 08:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 15:06:26
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 15:15:07
VBASE002.VDF   : 7.10.3.1    3143680 Bytes  20.01.2010 17:57:29
VBASE003.VDF   : 7.10.3.75    996864 Bytes  26.01.2010 06:21:29
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 13:44:01
VBASE005.VDF   : 7.10.6.82   2494464 Bytes  15.04.2010 13:29:54
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 18:38:15
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 22:17:06
VBASE008.VDF   : 7.10.9.166      2048 Bytes  23.07.2010 22:17:06
VBASE009.VDF   : 7.10.9.167      2048 Bytes  23.07.2010 22:17:06
VBASE010.VDF   : 7.10.9.168      2048 Bytes  23.07.2010 22:17:07
VBASE011.VDF   : 7.10.9.169      2048 Bytes  23.07.2010 22:17:07
VBASE012.VDF   : 7.10.9.170      2048 Bytes  23.07.2010 22:17:07
VBASE013.VDF   : 7.10.9.198    157696 Bytes  26.07.2010 21:08:35
VBASE014.VDF   : 7.10.9.255    997888 Bytes  29.07.2010 07:55:50
VBASE015.VDF   : 7.10.10.28    139264 Bytes  02.08.2010 11:03:27
VBASE016.VDF   : 7.10.10.52    127488 Bytes  03.08.2010 11:03:28
VBASE017.VDF   : 7.10.10.84    137728 Bytes  06.08.2010 09:10:53
VBASE018.VDF   : 7.10.10.107    176640 Bytes  09.08.2010 12:38:06
VBASE019.VDF   : 7.10.10.130    132608 Bytes  10.08.2010 12:38:06
VBASE020.VDF   : 7.10.10.158    131072 Bytes  12.08.2010 18:59:49
VBASE021.VDF   : 7.10.10.190    136704 Bytes  16.08.2010 19:55:44
VBASE022.VDF   : 7.10.10.217    118272 Bytes  19.08.2010 15:58:15
VBASE023.VDF   : 7.10.10.246    130048 Bytes  23.08.2010 19:39:47
VBASE024.VDF   : 7.10.11.11    144896 Bytes  25.08.2010 14:08:43
VBASE025.VDF   : 7.10.11.12      2048 Bytes  25.08.2010 14:08:43
VBASE026.VDF   : 7.10.11.13      2048 Bytes  25.08.2010 14:08:43
VBASE027.VDF   : 7.10.11.14      2048 Bytes  25.08.2010 14:08:43
VBASE028.VDF   : 7.10.11.15      2048 Bytes  25.08.2010 14:08:43
VBASE029.VDF   : 7.10.11.16      2048 Bytes  25.08.2010 14:08:43
VBASE030.VDF   : 7.10.11.17      2048 Bytes  25.08.2010 14:08:43
VBASE031.VDF   : 7.10.11.28    107520 Bytes  26.08.2010 17:46:09
Engineversion  : 8.2.4.46 
AEVDF.DLL      : 8.1.2.1      106868 Bytes  31.07.2010 07:55:55
AESCRIPT.DLL   : 8.1.3.44    1364346 Bytes  26.08.2010 14:23:34
AESCN.DLL      : 8.1.6.1      127347 Bytes  14.05.2010 13:31:10
AESBX.DLL      : 8.1.3.1      254324 Bytes  23.04.2010 14:16:22
AERDL.DLL      : 8.1.8.2      614772 Bytes  20.07.2010 18:56:28
AEPACK.DLL     : 8.2.3.5      471412 Bytes  07.08.2010 09:10:56
AEOFFICE.DLL   : 8.1.1.8      201081 Bytes  21.07.2010 21:08:19
AEHEUR.DLL     : 8.1.2.19    2867574 Bytes  26.08.2010 14:23:33
AEHELP.DLL     : 8.1.13.3     242038 Bytes  26.08.2010 14:23:30
AEGEN.DLL      : 8.1.3.20     397684 Bytes  26.08.2010 14:23:29
AEEMU.DLL      : 8.1.2.0      393588 Bytes  23.04.2010 14:16:21
AECORE.DLL     : 8.1.16.2     192887 Bytes  20.07.2010 18:55:44
AEBB.DLL       : 8.1.1.0       53618 Bytes  23.04.2010 14:16:20
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 06:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  18.09.2009 18:18:02
AVREP.DLL      : 8.0.0.7      159784 Bytes  18.02.2010 08:59:02
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 13:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  27.05.2009 17:59:47
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 08:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 13:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 06:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 13:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  09.06.2009 16:17:30
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  19.11.2009 15:06:25

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +SPR,

Beginn des Suchlaufs: Freitag, 27. August 2010  11:01

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '44016' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RocketDock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [FUND]      Enthält Code des Bootsektorvirus BOO/Sinowal.F
    [WARNUNG]   Der Bootsektor kann nicht repariert werden. Weitere Informationen zu diesem Thema finden Sie in der Hilfe.
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [FUND]      Enthält Code des Bootsektorvirus BOO/Sinowal.F
    [HINWEIS]   Der Sektor wurde nicht neu geschrieben!
Bootsektor 'D:\'
    [FUND]      Enthält Code des Bootsektorvirus BOO/Sinowal.F
    [HINWEIS]   Der Sektor wurde nicht neu geschrieben!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '57' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Kati\Lokale Einstellungen\Temp\jar_cache41224.tmp
  [0] Archivtyp: ZIP
    --> Main.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ClassLoader.W
C:\Dokumente und Einstellungen\Kati\Lokale Einstellungen\Temp\pbyscp.dll
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Sinowal.A.228
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Daten>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Kati\Lokale Einstellungen\Temp\jar_cache41224.tmp
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ce98b53.qua' verschoben!
C:\Dokumente und Einstellungen\Kati\Lokale Einstellungen\Temp\pbyscp.dll
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Sinowal.A.228
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf08b54.qua' verschoben!


Ende des Suchlaufs: Freitag, 27. August 2010  11:52
Benötigte Zeit: 50:29 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  11592 Verzeichnisse wurden überprüft
 403130 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 403125 Dateien ohne Befall
   5885 Archive wurden durchsucht
      4 Warnungen
      6 Hinweise
  44016 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

[pc-jedi]

Willkommen im HijackThis.de Supportforum enasnI,

ein System zu bereinigen ist unter Umständen aufwändig und mit einiger Arbeit für Dich verbunden.
Bitte folgende Punkte beachten:

• Respektiere unsere Forenregeln und sei nicht zu ungeduldig, wenn es mal etwas länger dauert.
• Während der Bereinigung alle vorhandenen externen Speichermedien (USB Sticks, Festplatten) anschließen,
• und keine Programme ohne Absprache installieren oder deinstallieren.
• Programme ausschließlich von den in unserer Anleitung angegebenen Links herunterladen!
• Logfiles in Code-Tags posten und ggfs. persönliche Daten anonymisieren.
• Arbeite jeden Punkt der Reihe nach ab und berichte, dass Du ihn erledigt hast.
• Wenn es ein Problem gibt, stoppen und es so genau wie möglich beschreiben.

• Achtung: Das Verschwinden der Symptome bedeutet nicht das Dein Rechner schon sauber ist.
  Bitte arbeite solange mit bis wir sagen, dass der Rechner sauber ist.
• Nur Anleitungen/Anweisungen eines hier aufgeführten Team-Mitglieds ausführen.
• Es gibt grundsätzlich keinen Support per PN oder Mail.
• Wir bereinigen keine Rechner, die geschäftlich genutzt werden.
• Der Besitz legaler Software ist Vorraussetzung für die Support.
  Sollten wir illegale Software finden, wird der Support eingestellt.

Vista und Win7 User:

• Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Minimal-Ausgabe
• Mache einen Haken bei Scan alle Benutzer.
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 2
Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
• Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
• nichts am Rechner getan werden,
• nach jedem Scan der Rechner neu gestartet werden.
• Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.

• Gmer ist geeignet für => NT/W2K/XP/VISTA/WIN 7 (nur 32Bit).
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
• Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:
  
  Code:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
  in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.
  
  .
  
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
• Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
  Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
• Wenn der Scan fertig ist, bleibt die Zeile leer.
  Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
  Mit "Ok" wird Gmer beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
Poste bitte bei deiner nächsten Antwort

Schritt 3
MBRChecker

• Download MBRCheck.exe und speichere es auf deinem Desktop.
• Starte bitte die MBRCheck.exe.
• Vista und Windows 7 Benutzer > rechts Klick auf MBRCheck.exe und Als Administrator starten wählen.
• Es wird sich ein schwarzes Fenster mit einigen Daten drin öffnen.
• Dürcke N und dann Enter um das Fenster zu schließen.
• Auf dem Desktop wirst du nun eine MBRCheck.txt finden. Öffne dies und poste den Inhalt in den Thread.

• OTL Logfiles
• GMER Logfile

[enasnI]

OTL:

Code:

OTL logfile created on: 27.08.2010 14:14:04 - Run 1
OTL by OldTimer - Version 3.2.10.0     Folder = C:\Dokumente und Einstellungen\Kati\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 67,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 50,01 Gb Total Space | 34,26 Gb Free Space | 68,52% Space Free | Partition Type: NTFS
Drive D: | 248,08 Gb Total Space | 49,60 Gb Free Space | 19,99% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PRIVAT-A2D09B69
Current User Name: Kati
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Kati\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Rainlendar2\Rainlendar2.exe ()
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\RocketDock\RocketDock.exe ()
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Kati\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\Programme\RocketDock\RocketDock.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (AnyDVD) -- C:\WINDOWS\system32\drivers\AnyDVD.sys (SlySoft, Inc.)
DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (VIAHdAudAddService) -- C:\WINDOWS\system32\drivers\viahduaa.sys (VIA Technologies, Inc.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (nvsmu) -- C:\WINDOWS\system32\drivers\nvsmu.sys (NVIDIA Corporation)
DRV - (nvgts) -- C:\WINDOWS\system32\DRIVERS\nvgts.sys (NVIDIA Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (NVHDA) -- C:\WINDOWS\system32\drivers\nvhda32.sys (NVIDIA Corporation)
DRV - (monfilt) -- C:\WINDOWS\system32\drivers\monfilt.sys (Creative Technology Ltd.)
DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-861567501-1417001333-682003330-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
IE - HKU\S-1-5-21-861567501-1417001333-682003330-1005\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKU\S-1-5-21-861567501-1417001333-682003330-1005\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKU\S-1-5-21-861567501-1417001333-682003330-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig
IE - HKU\S-1-5-21-861567501-1417001333-682003330-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-861567501-1417001333-682003330-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "www.zeit.de"
FF - prefs.js..extensions.enabledItems: piclens@cooliris.com:1.12.0.36605
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8
FF - prefs.js..extensions.enabledItems: {AE93811A-5C9A-4d34-8462-F7B864FC4696}:3.73
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2
FF - prefs.js..extensions.enabledItems: {29c4afe1-db19-4298-8785-fcc94d1d6c1d}:0.6.2009110501
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..network.proxy.type: 2
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.08.27 13:31:02 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.27 13:44:20 | 000,000,000 | ---D | M]
 
[2009.02.22 22:54:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\Mozilla\Extensions
[2010.08.27 13:40:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\Mozilla\Firefox\Profiles\s2sp7vvj.default\extensions
[2010.06.30 07:41:49 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\Mozilla\Firefox\Profiles\s2sp7vvj.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.04.20 12:38:39 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\Mozilla\Firefox\Profiles\s2sp7vvj.default\extensions\{29c4afe1-db19-4298-8785-fcc94d1d6c1d}
[2010.04.14 14:27:01 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\Mozilla\Firefox\Profiles\s2sp7vvj.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.08.27 12:55:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\Mozilla\Firefox\Profiles\s2sp7vvj.default\extensions\{AE93811A-5C9A-4d34-8462-F7B864FC4696}
[2010.08.19 09:14:10 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\Mozilla\Firefox\Profiles\s2sp7vvj.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.08.19 09:14:09 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\Mozilla\Firefox\Profiles\s2sp7vvj.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.06.30 07:41:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\Mozilla\Firefox\Profiles\s2sp7vvj.default\extensions\piclens@cooliris.com
[2009.02.22 22:54:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\Mozilla\Firefox\Profiles\s2sp7vvj.default\extensions\toolbar_extras@de.yahoo.com
[2010.08.27 13:50:01 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.08.27 13:50:01 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.08.27 12:45:45 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
[2009.02.22 22:53:59 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions\toolbar_extras@de.yahoo.com
[2010.08.27 12:45:33 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.03.12 11:16:09 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.12 11:16:09 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.12 11:16:09 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.12 11:16:10 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.12 11:16:10 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.02.18 19:11:30 | 000,297,336 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	www.1000gratisproben.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	www.1001namen.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 10268 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll (Google Inc.)
O2 - BHO: (Loader Class) - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - C:\WINDOWS\BricoPacks\LeopardXP\FindeXer.dll File not found
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKU\S-1-5-21-861567501-1417001333-682003330-1005\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DrvIcon] C:\Programme\Vista Drive Icon\DrvIcon.exe File not found
O4 - HKLM..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE (CANON INC.)
O4 - HKLM..\Run: [Google Quick Search Box] C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe (Google Inc.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKU\S-1-5-21-861567501-1417001333-682003330-1005..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe (SlySoft, Inc.)
O4 - HKU\S-1-5-21-861567501-1417001333-682003330-1005..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe ( )
O4 - HKU\S-1-5-21-861567501-1417001333-682003330-1005..\Run: [LClock] C:\Programme\LClock\LClock.exe File not found
O4 - HKU\S-1-5-21-861567501-1417001333-682003330-1005..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe ()
O4 - HKU\S-1-5-21-861567501-1417001333-682003330-1005..\Run: [RocketDock] C:\Programme\RocketDock\RocketDock.exe ()
O4 - HKU\S-1-5-21-861567501-1417001333-682003330-1005..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - HKU\S-1-5-21-861567501-1417001333-682003330-1005..\Run: [ViOrb] C:\Programme\ViOrb\ViOrb.exe File not found
O4 - HKU\S-1-5-21-861567501-1417001333-682003330-1005..\Run: [ViSplore] C:\Programme\ViSplore\ViSplore.exe File not found
O4 - HKU\S-1-5-21-861567501-1417001333-682003330-1005..\Run: [Vista Rainbar] C:\Programme\Vista Rainbar\rainbar.exe File not found
O4 - HKU\S-1-5-21-861567501-1417001333-682003330-1005..\Run: [ViStart] C:\Programme\ViStart\ViStart.exe File not found
O4 - HKU\S-1-5-21-861567501-1417001333-682003330-1005..\Run: [VisualTooltip] C:\Programme\VisualTooltip\VisualToolTip.exe File not found
O4 - HKU\.DEFAULT..\RunOnce: [ShowDeskFix]  File not found
O4 - HKU\S-1-5-18..\RunOnce: [ShowDeskFix]  File not found
O4 - HKU\S-1-5-20..\RunOnce: [ShowDeskFix]  File not found
O4 - Startup: C:\Dokumente und Einstellungen\Kati\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoTaskGrouping = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoAutoTrayNotify = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-21-861567501-1417001333-682003330-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 0
O7 - HKU\S-1-5-21-861567501-1417001333-682003330-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-21-861567501-1417001333-682003330-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 0
O7 - HKU\S-1-5-21-861567501-1417001333-682003330-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1
O7 - HKU\S-1-5-21-861567501-1417001333-682003330-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\S-1-5-21-861567501-1417001333-682003330-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoTaskGrouping = 1
O7 - HKU\S-1-5-21-861567501-1417001333-682003330-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoAutoTrayNotify = 1
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab (CKAVWebScan Object)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Kati\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Kati\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.02.18 17:41:50 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.27 14:10:40 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Kati\Desktop\OTL.exe
[2010.08.27 13:34:19 | 000,000,000 | R--D | C] -- C:\Programme\Skype
[2010.08.27 13:30:43 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime
[2010.08.27 13:22:26 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2010.08.27 13:22:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.08.27 13:20:37 | 000,000,000 | ---D | C] -- C:\Programme\Apple Software Update
[2010.08.27 13:19:25 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour
[2010.08.27 13:14:50 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe
[2010.08.27 13:14:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kati\Eigene Dateien
[2010.08.27 13:14:37 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.08.27 13:08:38 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Kati\PrivacIE
[2010.08.27 12:46:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.08.27 12:45:44 | 000,423,656 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.08.27 12:45:44 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.08.27 12:45:44 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.08.27 12:45:44 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.08.27 10:20:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2010.08.27 10:20:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla
[2010.08.25 16:11:28 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\Kati\Eigene Dateien\Neuer Ordner
[2010.08.23 21:47:52 | 000,265,728 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\http.sys
[2010.08.23 21:47:40 | 000,017,920 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msyuv.dll
[2010.08.23 21:47:31 | 000,048,128 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iyuv_32.dll
[2010.08.23 21:47:31 | 000,008,704 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\tsbyuv.dll
[2010.08.23 21:45:13 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2010.08.23 21:37:43 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Kati\IETldCache
[2010.08.22 14:07:08 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[2010.08.22 14:07:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates
[2010.08.22 14:06:45 | 000,000,000 | ---D | C] -- C:\WINDOWS\WBEM
[2010.08.22 14:06:20 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2010.08.16 22:11:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kati\Lokale Einstellungen\Anwendungsdaten\SKIDROW
[2010.08.16 22:08:17 | 000,528,216 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAudio2_6.dll
[2010.08.16 22:08:17 | 000,074,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\XAPOFX1_4.dll
[2010.08.16 22:08:16 | 000,238,936 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xactengine3_6.dll
[2010.08.16 22:08:16 | 000,022,360 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\X3DAudio1_7.dll
[2010.08.16 22:07:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\LucasArts
[2010.08.11 19:31:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\ScummVM
[2010.08.11 19:31:07 | 000,000,000 | ---D | C] -- C:\Programme\ScummVM
[2010.08.10 05:15:58 | 000,094,208 | ---- | C] (Apple Inc.) -- C:\WINDOWS\System32\QuickTimeVR.qtx
[2010.08.10 05:15:58 | 000,069,632 | ---- | C] (Apple Inc.) -- C:\WINDOWS\System32\QuickTime.qts
[2010.07.29 18:42:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\vlc
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.27 14:16:26 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Kati\Desktop\hns44tyj.exe
[2010.08.27 14:10:40 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Kati\Desktop\OTL.exe
[2010.08.27 13:55:23 | 008,388,608 | -H-- | M] () -- C:\Dokumente und Einstellungen\Kati\NTUSER.DAT
[2010.08.27 13:52:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.08.27 13:42:50 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.08.27 13:42:06 | 000,200,712 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2010.08.27 13:42:04 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.08.27 13:42:03 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.08.27 13:42:02 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.27 13:42:00 | 2012,393,472 | -HS- | M] () -- C:\hiberfil.sys
[2010.08.27 12:45:32 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.08.27 12:45:32 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.08.27 12:45:32 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.08.27 12:45:32 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.08.27 12:45:31 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.08.25 21:40:58 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Kati\ntuser.ini
[2010.08.25 21:40:21 | 003,520,096 | -H-- | M] () -- C:\Dokumente und Einstellungen\Kati\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.08.25 21:37:24 | 001,069,336 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.08.25 21:37:24 | 000,458,732 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.08.25 21:37:24 | 000,440,820 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.08.25 21:37:24 | 000,084,698 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.08.25 21:37:24 | 000,071,138 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.08.23 23:30:37 | 000,161,136 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.08.23 22:00:49 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.08.10 05:15:58 | 000,094,208 | ---- | M] (Apple Inc.) -- C:\WINDOWS\System32\QuickTimeVR.qtx
[2010.08.10 05:15:58 | 000,069,632 | ---- | M] (Apple Inc.) -- C:\WINDOWS\System32\QuickTime.qts
[2010.08.01 17:27:23 | 000,071,680 | ---- | M] () -- C:\Dokumente und Einstellungen\Kati\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.08.27 14:16:26 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Kati\Desktop\hns44tyj.exe
[2009.12.22 20:49:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\longfile.INI
[2009.12.22 20:49:04 | 001,371,436 | R--- | C] () -- C:\WINDOWS\System32\VBAR2132.DLL
[2009.12.22 20:45:01 | 000,021,504 | ---- | C] () -- C:\WINDOWS\System32\scpext.dll
[2009.10.22 22:06:22 | 000,178,176 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2009.07.14 12:45:39 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2009.05.04 19:30:25 | 141,125,992 | ---- | C] () -- C:\Programme\OOo_3.0.1_Win32Intel_install_de.exe
[2009.03.17 11:51:59 | 000,022,328 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2009.03.17 11:51:58 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\PnkBstrK.sys
[2009.03.02 13:00:59 | 000,717,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2009.02.23 21:47:01 | 000,278,728 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2009.02.23 21:47:01 | 000,025,416 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2009.02.22 19:52:36 | 000,043,520 | ---- | C] () -- C:\WINDOWS\System32\CmdLineExt03.dll
[2009.02.22 00:32:19 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.02.22 00:15:33 | 000,000,039 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2009.02.21 01:59:03 | 000,003,972 | ---- | C] () -- C:\WINDOWS\System32\drivers\PciBus.sys
[2009.02.20 22:25:28 | 000,071,680 | ---- | C] () -- C:\Dokumente und Einstellungen\Kati\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.02.20 22:12:51 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2009.02.18 18:45:37 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2009.02.18 18:45:37 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2009.02.18 18:45:31 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2009.02.18 18:45:26 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2009.02.18 18:45:22 | 001,503,232 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2009.02.18 18:44:03 | 000,000,227 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2009.02.18 17:45:57 | 000,059,904 | ---- | C] () -- C:\WINDOWS\System32\zlib1.dll
[2009.02.18 17:45:56 | 000,394,752 | ---- | C] () -- C:\WINDOWS\System32\cygwinb19.dll
[2009.02.18 17:45:56 | 000,162,304 | ---- | C] () -- C:\WINDOWS\System32\libpng13.dll
[2008.11.07 13:24:48 | 000,693,792 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll
[2008.11.07 13:22:35 | 000,000,182 | ---- | C] () -- C:\WINDOWS\System32\AiO-Auswahl.ini
[2008.06.11 10:02:34 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2008.06.11 10:02:34 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2008.06.11 10:02:34 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2008.06.11 10:02:34 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2008.06.11 10:02:34 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2008.06.11 10:02:34 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2008.06.11 10:02:32 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2008.06.11 10:02:32 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2008.06.11 10:02:32 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2008.06.05 09:58:26 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2004.08.13 11:56:20 | 000,005,810 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
 
========== LOP Check ==========
 
[2009.05.06 08:15:20 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2009.03.02 13:05:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
[2009.03.17 11:51:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\id Software
[2009.02.21 11:25:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
[2009.02.20 22:17:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2010.02.27 13:04:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Soulseek
[2009.03.05 17:12:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
[2010.08.27 13:22:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2010.08.23 21:57:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\AIMP
[2009.04.05 12:11:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\Canneverbe_Limited
[2009.03.02 13:00:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\DAEMON Tools Pro
[2009.02.22 10:54:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\FindeXer
[2009.07.08 13:44:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\ICQ
[2009.03.17 11:52:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\id Software
[2010.08.16 22:07:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\LucasArts
[2009.05.04 19:47:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\OpenOffice.org
[2009.02.20 20:50:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\Opera
[2010.08.11 19:31:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\ScummVM
[2009.02.20 21:57:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\Styler
[2010.05.24 22:56:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\uTorrent
[2009.02.20 21:29:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\ViSplore
[2009.02.20 21:29:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Kati\Anwendungsdaten\ViStart
[2009.12.06 23:40:38 | 000,000,192 | ---- | M] () -- C:\WINDOWS\Tasks\shutdown.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 98 bytes -> C:\WINDOWS:5084831A88142897
< End of report >

OTL Extras:

Code:

OTL Extras logfile created on: 27.08.2010 14:14:04 - Run 1
OTL by OldTimer - Version 3.2.10.0     Folder = C:\Dokumente und Einstellungen\Kati\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 67,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 50,01 Gb Total Space | 34,26 Gb Free Space | 68,52% Space Free | Partition Type: NTFS
Drive D: | 248,08 Gb Total Space | 49,60 Gb Free Space | 19,99% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PRIVAT-A2D09B69
Current User Name: Kati
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)
 
[HKEY_USERS\S-1-5-21-861567501-1417001333-682003330-1005\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Opera\opera.exe" (Opera Software)
https [open] -- "C:\Programme\Opera\opera.exe" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /k "cd %L" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Miranda IM\miranda32.exe" = C:\Programme\Miranda IM\miranda32.exe:*:Enabled:Miranda IM -- ( )
"D:\Spiele\TmNationsForever\TmForever.exe" = D:\Spiele\TmNationsForever\TmForever.exe:*:Enabled:TmForever -- ()
"C:\Programme\Trillian\trillian.exe" = C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios)
"C:\Programme\Nero\Nero 9\Nero ShowTime\ShowTime.exe" = C:\Programme\Nero\Nero 9\Nero ShowTime\ShowTime.exe:*:Disabled:Nero ShowTime -- File not found
"C:\Programme\soulseek\slsk.exe" = C:\Programme\soulseek\slsk.exe:*:Enabled:SoulSeek -- File not found
"C:\Programme\SoulseekNS\slsk.exe" = C:\Programme\SoulseekNS\slsk.exe:*:Enabled:SoulSeek -- ()
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager -- File not found
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3300" = Canon iP3300
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216020F0}" = Java(TM) 6 Update 20
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java(TM) 6 Update 21
"{2A9A40C7-6670-4D5F-8F41-D12E2E08B48B}" = Star Wars(TM): Knights of the Old Republic (TM)
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3B416FDA-CB3E-4514-9616-763E5B0D1140}" = Geheimakte Tunguska
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{54E4B63C-D252-454C-BE4F-468F102B331C}" = Adobe Shockwave Player
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5C474A83-A45F-470C-9AC8-2BD1C251BF9A}" = Skype™ 4.2
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6D482078-8D15-4FD3-B838-C7B49174650F}" = Opera 10.61
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7E20EFE6-E604-48C6-8B39-BA4742F2CDB4}" = Zune Desktop Theme
"{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{91F7F3F3-CE80-48C3-8327-7D24A0A5716A}" = iTunes
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A7E07C2B-2220-4415-87E3-784D5814BC93}" = NVIDIA PhysX v8.09.04
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A93944F2-D2D4-4750-BFE7-9A288FEAF2CF}" = Apple Application Support
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3.4
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C151CE54-E7EA-4804-854B-F515368B0798}" = AMD Processor Driver
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DE08F927-6261-4A43-8D50-FCFDB3EFAC6D}" = Quake Live Mozilla Plugin
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EB900AF8-CC61-4E15-871B-98D1EA3E8025}" = QuickTime
"{FD0955C7-C64C-45DC-A991-FDC4E50C4E09}" = Multimedia Card Reader
"7-Zip" = 7-Zip 4.64
"A Vampyre Story" = A Vampyre Story
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AdobeFlashFiles" = Adobe Flash Player
"AIMP2" = AIMP2
"AnyDVD" = AnyDVD
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon iP3300 Benutzerregistrierung" = Canon iP3300 Benutzerregistrierung
"Canon Setup Utility 2.3" = Canon Setup Utility 2.3
"CDex" = CDex extraction audio
"Corel Applications" = Corel Applications
"CursorXP" = CursorXP
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DVD Shrink DE_is1" = DVD Shrink 3.2 deutsch (DeCSS-frei)
"DXAddon" = DirectX 9.0c Zusatzdateien
"Easy-PhotoPrint" = Canon Utilities Easy-PhotoPrint
"Easy-PrintToolBox" = Canon Utilities Easy-PrintToolBox
"GIMPshop" = GIMPshop 2.2.8
"iColorFolder" = iColorFolder
"ie7" = Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{FD0955C7-C64C-45DC-A991-FDC4E50C4E09}" = Multimedia Card Reader
"IrfanView" = IrfanView (remove only)
"Kaspersky Online Scanner" = Kaspersky Online Scanner
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.2.0 (Basic)
"LastFM_is1" = Last.fm 1.5.4.24567
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Monkey Island 2 LeChucks Revenge Special Edition_is1" = Monkey Island 2 LeChucks Revenge Special Edition
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"NVIDIA Drivers" = NVIDIA Drivers
"PunkBusterSvc" = PunkBuster Services
"Rainlendar2" = Rainlendar2 (remove only)
"RocketDock_is1" = RocketDock 1.3.5
"Runtimes" = Allgemeine Runtime Dateien
"ScummVM_is1" = ScummVM 1.1.1
"Soulseek2" = SoulSeek 157 NS 13c
"TmNationsForever_is1" = TmNationsForever
"VLC media player" = VLC media player 1.1.1
"WinRAR archiver" = WinRAR
"WUV30" = Windows Update Agent 3.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-861567501-1417001333-682003330-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"uTorrent" = µTorrent
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 25.08.2010 15:38:25 | Computer Name = PRIVAT-A2D09B69 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 25.08.2010 15:42:01 | Computer Name = PRIVAT-A2D09B69 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 26.08.2010 03:11:07 | Computer Name = PRIVAT-A2D09B69 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 26.08.2010 10:21:32 | Computer Name = PRIVAT-A2D09B69 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 26.08.2010 19:40:54 | Computer Name = PRIVAT-A2D09B69 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 27.08.2010 04:05:14 | Computer Name = PRIVAT-A2D09B69 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 27.08.2010 04:15:27 | Computer Name = PRIVAT-A2D09B69 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 27.08.2010 05:00:13 | Computer Name = PRIVAT-A2D09B69 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 27.08.2010 07:24:24 | Computer Name = PRIVAT-A2D09B69 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 27.08.2010 07:42:11 | Computer Name = PRIVAT-A2D09B69 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
[ System Events ]
Error - 25.08.2010 15:42:24 | Computer Name = PRIVAT-A2D09B69 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden 
Fehlers nicht gestartet:   %%2
 
Error - 26.08.2010 03:11:29 | Computer Name = PRIVAT-A2D09B69 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden 
Fehlers nicht gestartet:   %%2
 
Error - 26.08.2010 10:21:56 | Computer Name = PRIVAT-A2D09B69 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden 
Fehlers nicht gestartet:   %%2
 
Error - 26.08.2010 19:41:18 | Computer Name = PRIVAT-A2D09B69 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden 
Fehlers nicht gestartet:   %%2
 
Error - 27.08.2010 04:05:50 | Computer Name = PRIVAT-A2D09B69 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden 
Fehlers nicht gestartet:   %%2
 
Error - 27.08.2010 04:15:52 | Computer Name = PRIVAT-A2D09B69 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden 
Fehlers nicht gestartet:   %%2
 
Error - 27.08.2010 05:00:48 | Computer Name = PRIVAT-A2D09B69 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden 
Fehlers nicht gestartet:   %%2
 
Error - 27.08.2010 07:09:12 | Computer Name = PRIVAT-A2D09B69 | Source = DCOM | ID = 10010
Description = Der Server "{57FBA82D-F8D5-4146-8795-BF3EBF0AE216}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 27.08.2010 07:24:49 | Computer Name = PRIVAT-A2D09B69 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden 
Fehlers nicht gestartet:   %%2
 
Error - 27.08.2010 07:42:37 | Computer Name = PRIVAT-A2D09B69 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Nero BackItUp Scheduler 4.0" wurde aufgrund folgenden 
Fehlers nicht gestartet:   %%2
 
 
< End of report >

GMER:

Code:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-08-27 15:15:13
Windows 5.1.2600 Service Pack 3
Running: hns44tyj.exe; Driver: C:\DOKUME~1\Kati\LOKALE~1\Temp\uwkyyfoc.sys


---- System - GMER 1.0.15 ----

SSDT      A932C0AE                                                                  ZwCreateKey
SSDT      A932C0A4                                                                  ZwCreateThread
SSDT      A932C0B3                                                                  ZwDeleteKey
SSDT      A932C0BD                                                                  ZwDeleteValueKey
SSDT      spgy.sys                                                                  ZwEnumerateKey [0xB9EC6CA2]
SSDT      spgy.sys                                                                  ZwEnumerateValueKey [0xB9EC7030]
SSDT      A932C0C2                                                                  ZwLoadKey
SSDT      spgy.sys                                                                  ZwOpenKey [0xB9EA80C0]
SSDT      A932C090                                                                  ZwOpenProcess
SSDT      A932C095                                                                  ZwOpenThread
SSDT      spgy.sys                                                                  ZwQueryKey [0xB9EC7108]
SSDT      spgy.sys                                                                  ZwQueryValueKey [0xB9EC6F88]
SSDT      A932C0CC                                                                  ZwReplaceKey
SSDT      A932C0C7                                                                  ZwRestoreKey
SSDT      A932C0B8                                                                  ZwSetValueKey
SSDT      A932C09F                                                                  ZwTerminateProcess

INT 0x63  ?                                                                         89C81BF8
INT 0x63  ?                                                                         89AC9D40
INT 0x63  ?                                                                         89C81BF8
INT 0x94  ?                                                                         89AC9D40

---- Kernel code sections - GMER 1.0.15 ----

?         spgy.sys                                                                  Das System kann die angegebene Datei nicht finden. !
.text     USBPORT.SYS!DllUnload                                                     B8FEC8AC 5 Bytes  JMP 89AC9320 
.text     C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                  section is writeable [0xB88AC360, 0x32DEFD, 0xE8000020]
init      C:\WINDOWS\system32\drivers\monfilt.sys                                   entry point in "init" section [0xADCD4280]
.text     C:\WINDOWS\system32\DRIVERS\atksgt.sys                                    section is writeable [0xA6E09300, 0x3ACC8, 0xE8000020]
.text     C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                    section is writeable [0xBA348300, 0x1B7E, 0xE8000020]

---- Devices - GMER 1.0.15 ----

Device    \FileSystem\Ntfs \Ntfs                                                    89CEE1F8
Device    \Driver\usbohci \Device\USBPDO-0                                          89B87500
Device    \Driver\usbehci \Device\USBPDO-1                                          89C06500
Device    \Driver\usbohci \Device\USBPDO-2                                          89B87500
Device    \Driver\usbehci \Device\USBPDO-3                                          89C06500
Device    \Driver\Ftdisk \Device\HarddiskVolume1                                    89CF01F8
Device    \Driver\Ftdisk \Device\HarddiskVolume2                                    89CF01F8
Device    \Driver\Cdrom \Device\CdRom0                                              89B7F1F8
Device    \Driver\USBSTOR \Device\00000072                                          885BA1F8
Device    \Driver\atapi \Device\Ide\IdePort0                                        [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\atapi \Device\Ide\IdePort1                                        [B9E21B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device    \Driver\USBSTOR \Device\00000074                                          885BA1F8
Device    \Driver\USBSTOR \Device\00000075                                          885BA1F8
Device    \Driver\USBSTOR \Device\00000076                                          885BA1F8
Device    \Driver\USBSTOR \Device\00000077                                          885BA1F8
Device    \Driver\NetBT \Device\NetBt_Wins_Export                                   885C71F8
Device    \Driver\NetBT \Device\NetbiosSmb                                          885C71F8
Device    \Driver\NetBT \Device\NetBT_Tcpip_{7B79940A-9E24-48EA-B617-BC06A75BF887}  885C71F8
Device    \Driver\usbohci \Device\USBFDO-0                                          89B87500
Device    \Driver\usbehci \Device\USBFDO-1                                          89C06500
Device    \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                         885C61F8
Device    \Driver\usbohci \Device\USBFDO-2                                          89B87500
Device    \FileSystem\MRxSmb \Device\LanmanRedirector                               885C61F8
Device    \Driver\usbehci \Device\USBFDO-3                                          89C06500
Device    \Driver\Ftdisk \Device\FtControl                                          89CF01F8
Device    \Driver\nvgts \Device\Scsi\nvgts1Port2Path0Target0Lun0                    89CEF1F8
Device    \Driver\nvgts \Device\Scsi\nvgts1                                         89CEF1F8
Device    \Driver\nvgts \Device\Scsi\nvgts1Port2Path2Target2Lun0                    89CEF1F8
Device    \FileSystem\Cdfs \Cdfs                                                    899C21F8

---- Registry - GMER 1.0.15 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                        771343423
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                        285507792

---- EOF - GMER 1.0.15 ----

MBR Check:

Code:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x000001fc

Kernel Drivers (total 126):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xBA5A8000 \WINDOWS\system32\KDCOM.DLL
  0xBA4B8000 \WINDOWS\system32\BOOTVID.dll
  0xB9EA7000 spzq.sys
  0xBA5AA000 \WINDOWS\System32\Drivers\WMILIB.SYS
  0xB9E8F000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
  0xB9E60000 ACPI.sys
  0xB9E4F000 pci.sys
  0xBA0A8000 isapnp.sys
  0xBA670000 pciide.sys
  0xBA328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xBA0B8000 MountMgr.sys
  0xB9E30000 ftdisk.sys
  0xBA330000 PartMgr.sys
  0xBA0C8000 VolSnap.sys
  0xB9E18000 atapi.sys
  0xB9DF3000 nvgts.sys
  0xBA0D8000 disk.sys
  0xBA0E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xB9DD3000 fltMgr.sys
  0xB9DC1000 sr.sys
  0xBA0F8000 PxHelp20.sys
  0xB9DAA000 KSecDD.sys
  0xB9D1D000 Ntfs.sys
  0xB9CF0000 NDIS.sys
  0xB9CD6000 Mup.sys
  0xBA218000 \SystemRoot\system32\DRIVERS\AmdK8.sys
  0xBA450000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xB8AC2000 \SystemRoot\system32\DRIVERS\parport.sys
  0xBA5DE000 \SystemRoot\system32\DRIVERS\ASACPI.sys
  0xBA228000 \SystemRoot\system32\DRIVERS\serial.sys
  0xB94C7000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xB94C3000 \SystemRoot\system32\DRIVERS\nvsmu.sys
  0xBA458000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xB8A9E000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xBA460000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xB8A76000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xBA238000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xB8A5D000 \SystemRoot\System32\Drivers\AnyDVD.sys
  0xBA248000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBA258000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xB8A3A000 \SystemRoot\system32\DRIVERS\ks.sys
  0xBA468000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0xBA268000 \SystemRoot\system32\DRIVERS\nvnetbus.sys
  0xB8950000 \SystemRoot\system32\DRIVERS\NVNRM.SYS
  0xB8376000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB8362000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB94BB000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0xBA717000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xBA278000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xB94B7000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xB834B000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xBA288000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xBA298000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xBA470000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB833A000 \SystemRoot\system32\DRIVERS\psched.sys
  0xB8B66000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xBA478000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xBA480000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xB8B56000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xBA488000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xBA490000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xBA5E0000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB82DC000 \SystemRoot\system32\DRIVERS\update.sys
  0xB94AB000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xB3C20000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB3C10000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xBA5D6000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xB3C00000 \SystemRoot\system32\DRIVERS\NVENETFD.sys
  0xADE8D000 \SystemRoot\system32\drivers\viahduaa.sys
  0xADE15000 \SystemRoot\system32\drivers\portcls.sys
  0xB11B8000 \SystemRoot\system32\drivers\drmk.sys
  0xADC28000 \SystemRoot\system32\drivers\monfilt.sys
  0xB413A000 \SystemRoot\system32\drivers\nvhda32.sys
  0xBA630000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xBA693000 \SystemRoot\System32\Drivers\Null.SYS
  0xBA600000 \SystemRoot\System32\Drivers\Beep.SYS
  0xAFD0F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xAFD07000 \SystemRoot\System32\drivers\vga.sys
  0xBA602000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xBA604000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xAFCF7000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xB416A000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xAFFEA000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xAC9B6000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xAC91B000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xAC8B0000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xAC848000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xAC826000 \SystemRoot\System32\drivers\afd.sys
  0xB5E8A000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB582C000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xBA4A8000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xAC7DD000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xAC75A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xB5045000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB77A7000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xB8AF6000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xB54B0000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xA9003000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xB596A000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
  0xA7871000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xA8FF9000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xA8E67000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xA8C5B000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0xB57AC000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xA8C57000 \SystemRoot\System32\Drivers\dump_diskdump.sys
  0xA77CE000 \SystemRoot\System32\Drivers\dump_nvgts.sys
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB555A000 \SystemRoot\System32\drivers\Dxapi.sys
  0xA7EDF000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xB0017000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\nv4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xA75BA000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xABA18000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xA7565000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xA7528000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB3BE0000 \SystemRoot\system32\drivers\sysaudio.sys
  0xBA648000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xA66A9000 \SystemRoot\system32\DRIVERS\atksgt.sys
  0xBA418000 \SystemRoot\system32\DRIVERS\lirsgt.sys
  0xA6602000 \SystemRoot\system32\DRIVERS\srv.sys
  0xA607F000 \SystemRoot\System32\Drivers\HTTP.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 42):
       0 System Idle Process
       4 System
     592 C:\WINDOWS\system32\smss.exe
     648 csrss.exe
     672 C:\WINDOWS\system32\winlogon.exe
     716 C:\WINDOWS\system32\services.exe
     728 C:\WINDOWS\system32\lsass.exe
     916 C:\WINDOWS\system32\svchost.exe
     964 svchost.exe
    1060 C:\WINDOWS\system32\svchost.exe
    1180 svchost.exe
    1224 svchost.exe
    1392 C:\WINDOWS\system32\spoolsv.exe
    1448 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1528 svchost.exe
    1808 C:\WINDOWS\explorer.exe
    1972 C:\WINDOWS\system32\rundll32.exe
    1996 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    2012 C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe
     180 C:\Programme\iTunes\iTunesHelper.exe
     192 C:\WINDOWS\system32\ctfmon.exe
     208 C:\Programme\RocketDock\RocketDock.exe
     232 C:\Programme\Rainlendar2\Rainlendar2.exe
     256 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
     308 C:\Programme\Skype\Phone\Skype.exe
     412 C:\Programme\OpenOffice.org 3\program\soffice.exe
     420 C:\Programme\OpenOffice.org 3\program\soffice.bin
    1024 C:\Programme\Mozilla Firefox\firefox.exe
    1468 C:\Programme\Avira\AntiVir Desktop\avguard.exe
    1548 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    1560 C:\Programme\Bonjour\mDNSResponder.exe
    1668 C:\Programme\Java\jre6\bin\jqs.exe
    2052 C:\WINDOWS\system32\nvsvc32.exe
    2072 C:\WINDOWS\system32\PnkBstrA.exe
    2104 C:\WINDOWS\system32\PnkBstrB.exe
    2320 C:\WINDOWS\system32\wuauclt.exe
    3372 C:\Programme\iPod\bin\iPodService.exe
    4092 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    1900 wmiprvse.exe
    2196 alg.exe
    3332 C:\WINDOWS\system32\notepad.exe
    3552 C:\Dokumente und Einstellungen\Kati\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000c`80737e00  (NTFS)

PhysicalDrive0 Model Number: ST3320613AS, Rev: SD22    

      Size  Device Name          MBR Status
  --------------------------------------------
    298 GB  \\.\PhysicalDrive0   MBR Code Faked!
            SHA1: 41CEFE2F721952BFCCB4D9CE13ABA62A17B4532D


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 

Done!

[pc-jedi]

Hi

Was für ein Computer hast du denn?
Ist es ein fertig Computer von Dell, Acer, ...?
War ein Betriebssystem auf dem Rechner schon vorinstalliert?

[enasnI]

Es ist ein durch einen örtlichen Computerladen zusammgestellter PC. Auf dem Rechner war Windows XP Home Edtion OEM schon vorinstalliert und an der durch den genannten Computerladen gemachten Installation wurde bisher nichts verändert und das System wurde nie neu aufgesetzt. Also bis auf die üblichen Updates ist er in Auslieferungszustand.

[enasnI]

Fehlende Rückmeldung!

Seit 48 Stunden wurde nicht mehr in diesen Thread gepostet. Gibt es irgendwelche nicht überwindbaren Probleme, oder wurde er einfach vergessen? Lasst es mich wissen.

Gruß.

[pc-jedi]

Hi

Tut mir Leid, habe dich übersehen.
Möchtest du dein System auf den Auslieferungszustand zurücksetzten oder wollen wir den MBR, welche die Option beinhaltet neu schreiben, da dieser evt. verseucht ist.

[enasnI]

Meine Freundin möchte sich wohl Windows 7 installieren, bzw hat mich darum gebeten.

Gehe ich richtig in der Annahme, dass wir auch in diesem Fall den MBR neu schreiben müssen? Die Festplatte ist in 2 Partitionen unterteilt und ich würde dann gerne nur die eine davon neu partitionieren.

Vielen Dank bis hier hin.

[pc-jedi]

Hi

Ja, denn der MBR ist am Anfang einer jeden Partition.
So schreibst du deinen MBR neu:
Schritt 1
MBR mit MBRChecker wiederherstellen

• Download MBRCheck.exe und speichere es auf deinem Desktop.
• Starte bitte die MBRCheck.exe.
• Vista und Windows 7 Benutzer > rechts Klick auf MBRCheck.exe und Als Administrator starten wählen.
• Es wird sich ein schwarzes Fenster mit einigen Daten drin öffnen.
• Drücke Y und dann Enter.
• Wähle bei den Optionen die 2 und drücke Enter.
• Drücke 0 um deine Windows Partition zu wählen.
• Wähle nun die Nummer von deinem Betriebsystem und drücke Enter
• Gebe nun auf die Fragen Do you want to fix the MBR code? YES ein und drücke erneut Enter.
• Wenn Done! in dem Fenster erscheint, drücke erneut Enter um das Fenster zu schließen.
• Auf dem Desktop wirst du nun eine MBRCheck.txt finden. Öffne dies und poste den Inhalt in den Thread.

[enasnI]

Vielen Dank, dann werde ich das morgen mal in Angriff nehmen.

Besteht dabei irgendwie das Risiko, den Bootsektor der Platte zu beschädigen, so dass ich auf sie nicht mehr zugreifen kann? Oder läuft das in jedem Fall sauber, wenn man sich an Deine Anweisungen hält?

Gruß.