Ist mein PC immer noch verseucht ?

[Pumuckel]

Hallo liebe Helfer,

ich hatte vor ein paar tagen stress mit einer viruswarnung durch symantec antivirus - es wurde der rootkitvirus "MALBROT" festgestellt - einstufung low risk! weiterhin hieß es, der virus könnte durch einen codec-download von einer fun-video seite aus dem internet auf mein system gelangt sein und weiter hieß es, dass man den virus per "FIXMBR" aus der recoveryconsole (von der windows XP-CD über CD-boot) eleminieren kann. ich habe so verfahren, danach die festplatte mit der windows XP CD mit der option "vollständig" formatiert und von einer ACRONIS-sicherung mein (vermeintlich) cleanes systembackup von einer DVD zurückgeholt. danach habe ich den pc (offline vom internet) mit ct-windows update (Heise) alle aktuellen windows patches nachgezogen. zuletzt habe ich von t-online das norten 360 Antivirus Paket installiert und einen vollständigen scan durchgeführt - dieser sagte mir, dass alles ok ist - aber ist es das jetzt auch wirklich ... habe ich alles richtig gemacht oder anders gefragt, was kann ich besser machen ? es kursiert z.zt. derart viel mist an bedrohungen und ich bin ziemlich verunsichert, ob meine kiste jetzt auch wirklich wieder ganz und gar clean ist. was mich so verunsichert, sind u. a. die ganzen svchost prozesse, die irgendwo rumgurken und immer wieder hohe systemlasten erzeugen (andererseits weiss ich ja schon, dass das evtl. nur systemeigene vorgänge von windowsupdate (wuauclt) sind)

Wäre net, wenn ihr mir einmal meine logs auswerten könntet - vorab schomal vielen lieben dank an dieser stelle für eure hilfe!

grüße von
pumuckel

Code:

Logfile of random's system information tool 1.08 (written by random/random)
Run by Robin at 2010-08-29 18:11:03
Microsoft Windows XP Professional Service Pack 3
System drive C: has 58 GB (89%) free of 65 GB
Total RAM: 894 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:11:06, on 29.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton 360\Engine\4.2.0.12\ccSvcHst.exe
C:\Programme\Norton 360\Engine\4.2.0.12\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Robin\Eigene Dateien\Downloads\RSIT.exe
C:\Programme\trend micro\Robin.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton 360\Engine\4.2.0.12\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton 360\Engine\4.2.0.12\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\4.2.0.12\coIEPlg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://onecare.live.com
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6770.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1254676346859
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Norton 360 (N360) - Symantec Corporation - C:\Programme\Norton 360\Engine\4.2.0.12\ccSvcHst.exe

--
End of file - 4131 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
Symantec NCO BHO - C:\Programme\Norton 360\Engine\4.2.0.12\coIEPlg.dll [2010-05-13 394608]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
Symantec Intrusion Prevention - C:\Programme\Norton 360\Engine\4.2.0.12\IPSBHO.DLL [2009-11-17 79224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Norton Toolbar - C:\Programme\Norton 360\Engine\4.2.0.12\coIEPlg.dll [2010-05-13 394608]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-12-19 16062464]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"KernelFaultCheck"=C:\WINDOWS\system32\dumprep 0 -k []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2007-03-15 114688]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=255
"NoDriveAutoRun"=67108863
"HonorAutorunSetting"=1
"NoRecentDocsNetHood"=1

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=1
"NoDriveAutoRun"=67108863
"NoDriveTypeAutoRun"=255

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2010-08-29 18:11:03 ----D---- C:\rsit
2010-08-29 18:11:03 ----D---- C:\Programme\trend micro
2010-08-29 18:00:57 ----D---- C:\WINDOWS\Minidump
2010-08-27 17:50:21 ----HD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2010-08-27 17:50:00 ----A---- C:\WINDOWS\system32\CNMLMA1.DLL
2010-08-27 17:49:57 ----HD---- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2010-08-27 17:49:50 ----A---- C:\WINDOWS\system32\CNMIUA1.DLL
2010-08-27 17:49:40 ----HD---- C:\Programme\CanonBJ
2010-08-27 17:48:46 ----D---- C:\Programme\Canon
2010-08-27 17:29:45 ----N---- C:\WINDOWS\UNNeroBurnRights.exe
2010-08-27 17:29:45 ----A---- C:\WINDOWS\system32\NeroCo.dll
2010-08-27 17:02:09 ----N---- C:\WINDOWS\system32\drivers\imagesrv.sys
2010-08-27 17:02:09 ----N---- C:\WINDOWS\system32\drivers\imagedrv.sys
2010-08-27 17:01:48 ----A---- C:\WINDOWS\system32\TwnLib20.dll
2010-08-27 17:01:46 ----N---- C:\WINDOWS\system32\ImagXRA7.dll
2010-08-27 17:01:46 ----N---- C:\WINDOWS\system32\ImagXR7.dll
2010-08-27 17:01:46 ----N---- C:\WINDOWS\system32\ImagXpr7.dll
2010-08-27 17:01:46 ----N---- C:\WINDOWS\system32\ImagX7.dll
2010-08-27 17:01:46 ----A---- C:\WINDOWS\system32\NeroCheck.exe
2010-08-27 17:01:42 ----D---- C:\Programme\Gemeinsame Dateien\Ahead
2010-08-27 17:01:40 ----D---- C:\Programme\Ahead
2010-08-25 06:46:04 ----ASH---- C:\pagefile.sys
2010-08-24 20:54:53 ----D---- C:\Programme\Windows Live Safety Center
2010-08-24 00:30:32 ----HDC---- C:\WINDOWS\$NtUninstallKB955759$
2010-08-24 00:28:46 ----HDC---- C:\WINDOWS\$NtUninstallKB971737$
2010-08-24 00:12:23 ----RA---- C:\WINDOWS\system32\GEARAspi.dll
2010-08-24 00:12:23 ----RA---- C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2010-08-24 00:12:19 ----A---- C:\WINDOWS\system32\S32EVNT1.DLL
2010-08-24 00:12:19 ----A---- C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2010-08-24 00:11:48 ----D---- C:\WINDOWS\system32\drivers\N360
2010-08-24 00:11:44 ----D---- C:\Programme\Windows Sidebar
2010-08-24 00:11:44 ----D---- C:\Programme\Norton 360
2010-08-24 00:11:38 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton
2010-08-24 00:10:49 ----D---- C:\Programme\NortonInstaller
2010-08-24 00:10:49 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller
2010-08-24 00:09:56 ----A---- C:\WINDOWS\system32\drivers\SipIMNDI.sys
2010-08-24 00:09:42 ----SHD---- C:\WINDOWS\ftpcache
2010-08-23 23:51:21 ----HDC---- C:\WINDOWS\$NtUninstallKB970430$
2010-08-23 23:35:03 ----D---- C:\Programme\xp-AntiSpy
2010-08-23 23:29:11 ----N---- C:\WINDOWS\system32\browserchoice.exe
2010-08-23 22:56:03 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2010-08-23 22:46:25 ----A---- C:\WINDOWS\system32\drivers\usbprint.sys

======List of files/folders modified in the last 1 months======

2010-08-29 18:11:03 ----RD---- C:\Programme
2010-08-29 18:10:59 ----D---- C:\WINDOWS\Prefetch
2010-08-29 18:10:49 ----D---- C:\WINDOWS\Temp
2010-08-29 18:00:57 ----D---- C:\WINDOWS
2010-08-29 17:03:28 ----SHD---- C:\System Volume Information
2010-08-29 17:03:19 ----D---- C:\WINDOWS\system32\CatRoot2
2010-08-27 22:56:57 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-08-27 17:51:15 ----HD---- C:\WINDOWS\inf
2010-08-27 17:50:08 ----D---- C:\WINDOWS\system32
2010-08-27 17:02:09 ----D---- C:\WINDOWS\system32\drivers
2010-08-27 17:01:42 ----D---- C:\Programme\Gemeinsame Dateien
2010-08-24 21:01:38 ----D---- C:\WINDOWS\Microsoft.NET
2010-08-24 21:01:26 ----RSD---- C:\WINDOWS\assembly
2010-08-24 20:54:54 ----SD---- C:\WINDOWS\Downloaded Program Files
2010-08-24 00:31:51 ----D---- C:\WINDOWS\AppPatch
2010-08-24 00:30:47 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-08-24 00:30:44 ----HD---- C:\WINDOWS\$hf_mig$
2010-08-24 00:30:41 ----A---- C:\WINDOWS\imsins.BAK
2010-08-24 00:28:32 ----SHD---- C:\WINDOWS\Installer
2010-08-24 00:28:31 ----SHD---- C:\Config.Msi
2010-08-24 00:27:24 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-08-24 00:27:04 ----D---- C:\WINDOWS\WinSxS
2010-08-24 00:24:20 ----D---- C:\Programme\Gemeinsame Dateien\Symantec Shared
2010-08-24 00:12:22 ----DC---- C:\WINDOWS\system32\DRVSTORE
2010-08-24 00:12:19 ----D---- C:\Programme\Symantec
2010-08-24 00:10:42 ----SD---- C:\Dokumente und Einstellungen\Robin\Anwendungsdaten\Microsoft
2010-08-24 00:09:56 ----HD---- C:\Programme\InstallShield Installation Information
2010-08-24 00:06:51 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2010-08-24 00:04:00 ----SD---- C:\WINDOWS\Tasks
2010-08-24 00:04:00 ----SD---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft
2010-08-23 23:56:04 ----D---- C:\Dokumente und Einstellungen\Robin\Anwendungsdaten\Adobe
2010-08-23 23:47:00 ----D---- C:\Programme\Mozilla Firefox
2010-08-23 23:40:58 ----D---- C:\Programme\Windows Desktop Search
2010-08-23 23:39:21 ----D---- C:\Programme\Messenger
2010-08-23 23:32:46 ----D---- C:\WINDOWS\system32\wbem
2010-08-23 23:32:46 ----D---- C:\WINDOWS\system32\de-de
2010-08-23 23:21:05 ----D---- C:\WINDOWS\Help
2010-08-23 23:19:24 ----D---- C:\Programme\Outlook Express
2010-08-23 23:16:34 ----D---- C:\WINDOWS\system32\CatRoot
2010-08-23 23:15:49 ----D---- C:\Programme\Internet Explorer
2010-08-23 23:15:02 ----D---- C:\Programme\Movie Maker
2010-08-23 23:00:38 ----SHD---- C:\RECYCLER
2010-08-23 22:57:31 ----D---- C:\Dokumente und Einstellungen
2010-08-03 11:09:32 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 ohci1394;Texas Instruments OHCI-konformer IEEE 1394-Hostcontroller; C:\WINDOWS\system32\DRIVERS\ohci1394.sys [2008-04-14 61696]
R0 SymDS;Symantec Data Store; C:\WINDOWS\system32\drivers\N360\0402000.00C\SYMDS.SYS [2009-10-15 328752]
R0 SymEFA;Symantec Extended File Attributes; C:\WINDOWS\system32\drivers\N360\0402000.00C\SYMEFA.SYS [2010-04-22 173104]
R1 BHDrvx86;BHDrvx86; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\BASHDefs\20100810.004\BHDrvx86.sys []
R1 ccHP;Symantec Hash Provider; C:\WINDOWS\system32\drivers\N360\0402000.00C\ccHPx86.sys [2010-02-26 501888]
R1 eeCtrl;Symantec Eraser Control driver; \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys []
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40448]
R1 SRTSPX;Symantec Real Time Storage Protection (PEL); C:\WINDOWS\system32\drivers\N360\0402000.00C\SRTSPX.SYS [2010-04-22 43696]
R1 SymIRON;Symantec Iron Driver; C:\WINDOWS\system32\drivers\N360\0402000.00C\Ironx86.SYS [2010-04-29 116784]
R1 SYMTDI;Symantec Network Dispatch Driver; C:\WINDOWS\System32\Drivers\N360\0402000.00C\SYMTDI.SYS [2010-05-06 361904]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2007-03-15 1986560]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv; \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys []
R3 GEARAspiWDM;GEAR ASPI Filter Driver; C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys [2009-05-19 26600]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 IDSxpx86;IDSxpx86; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\IPSDefs\20100827.001\IDSxpx86.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-12-21 4405248]
R3 NAVENG;NAVENG; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\VirusDefs\20100829.004\NAVENG.SYS []
R3 NAVEX15;NAVEX15; \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\VirusDefs\20100829.004\NAVEX15.SYS []
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 SRTSP;Symantec Real Time Storage Protection; C:\WINDOWS\System32\Drivers\N360\0402000.00C\SRTSP.SYS [2010-04-22 325680]
R3 SymEvent;SymEvent; \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS []
R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINDOWS\system32\DRIVERS\yk51x86.sys [2006-03-15 244608]
S3 SipIMNDI;T-Home Dialerschutz VoIP Service; C:\WINDOWS\system32\DRIVERS\SipIMNDI.sys [2009-10-15 24352]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2007-03-15 450560]
R2 N360;Norton 360; C:\Programme\Norton 360\Engine\4.2.0.12\ccSvcHst.exe [2010-02-26 126392]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2007-03-22 520192]
S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp-Portfreigabedienst; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------



info.txt logfile of random's system information tool 1.08 2010-08-29 18:11:08

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
ATI - Software Uninstall Utility-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Canon iP4700 series Benutzerregistrierung-->C:\Programme\Canon\IJEREG\iP4700 series\UNINST.EXE
Canon iP4700 series Printer Driver-->"C:\WINDOWS\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4700_series\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4700_series
CD-LabelPrint-->"C:\Programme\Canon\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
Hotfix for Windows XP (KB915800-v4)-->"C:\WINDOWS\$NtUninstallKB915800-v4$\spuninst\spuninst.exe"
Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB961118)-->"C:\WINDOWS\$NtUninstallKB961118$\spuninst\spuninst.exe"
Marvell Miniport Driver-->MsiExec.exe /X{C950420B-4182-49EA-850A-A6A2ABF06C6B}
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C314CE45-3392-3B73-B4E1-139CD41CA933}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU-->MsiExec.exe /I{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mozilla Firefox (3.6.8)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Nero 6 Ultra Edition-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
Nero BurnRights-->C:\WINDOWS\UNNeroBurnRights.exe /UNINSTALL
Norton 360-->C:\Programme\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360\7190B588\4.2.0.12\InstStub.exe /X
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x7  -removeonly
Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for Windows Search 4 - KB963093-->"C:\WINDOWS\$NtUninstallKB963093$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970430)-->"C:\WINDOWS\$NtUninstallKB970430$\spuninst\spuninst.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Update für Windows Internet Explorer 8 (KB973874)-->"C:\WINDOWS\ie8updates\KB973874-IE8\spuninst\spuninst.exe"
Update für Windows Internet Explorer 8 (KB976662)-->"C:\WINDOWS\ie8updates\KB976662-IE8\spuninst\spuninst.exe"
Update für Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB943729)-->"C:\WINDOWS\$NtUninstallKB943729$\spuninst\spuninst.exe"
Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update für Windows XP (KB955759)-->"C:\WINDOWS\$NtUninstallKB955759$\spuninst\spuninst.exe"
Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe"
Update für Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Update für Windows XP (KB971737)-->"C:\WINDOWS\$NtUninstallKB971737$\spuninst\spuninst.exe"
Windows Live OneCare safety scanner-->RunDll32.exe "C:\Programme\Windows Live Safety Center\wlscCore.dll",UninstallFunction WLSC_SCANNER_PRODUCT
Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Programme\WinRAR\uninstall.exe
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
xp-AntiSpy 3.97-9-->C:\Programme\xp-AntiSpy\Uninstall.exe

======Security center information======

AV: Norton 360 Online
FW: Norton 360 Online

======System event log======

Computer Name: ACER_ASPIRE
Event Code: 3260
Message: Dieser Computer wurde erfolgreich "workgroup" hinzugefügt: "HEIMNETZ".

Record Number: 5
Source Name: Workstation
Time Written: 20091004150148.000000+120
Event Type: Informationen
User: 

Computer Name: ACER_ASPIRE
Event Code: 6011
Message: Der NetBIOS-Name und DNS-Hostname dieses Computers wurden von MACHINENAME in ACER_ASPIRE geändert.

Record Number: 4
Source Name: EventLog
Time Written: 20091004150107.000000+120
Event Type: Informationen
User: 

Computer Name: MACHINENAME
Event Code: 2
Message: Bei der Überprüfung, ob \Device\Serial0 ein serieller Anschluss ist, wurde ein FIFO-Baustein entdeckt. Es wird der FIFO-Baustein verwendet.

Record Number: 3
Source Name: Serial
Time Written: 20091004155534.000000+120
Event Type: Informationen
User: 

Computer Name: MACHINENAME
Event Code: 6005
Message: Der Ereignisprotokolldienst wurde gestartet.

Record Number: 2
Source Name: EventLog
Time Written: 20091004155516.000000+120
Event Type: Informationen
User: 

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 2 Multiprocessor Free.

Record Number: 1
Source Name: EventLog
Time Written: 20091004155516.000000+120
Event Type: Informationen
User: 

=====Application event log=====

Computer Name: ACER_ASPIRE
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst MSDTC (MSDTC) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 5
Source Name: LoadPerf
Time Written: 20091004150304.000000+120
Event Type: Informationen
User: 

Computer Name: ACER_ASPIRE
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst TermService (Terminaldienste) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 4
Source Name: LoadPerf
Time Written: 20091004150302.000000+120
Event Type: Informationen
User: 

Computer Name: ACER_ASPIRE
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RemoteAccess (Routing und RAS) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 3
Source Name: LoadPerf
Time Written: 20091004150131.000000+120
Event Type: Informationen
User: 

Computer Name: ACER_ASPIRE
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst PSched (PSched) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 2
Source Name: LoadPerf
Time Written: 20091004150114.000000+120
Event Type: Informationen
User: 

Computer Name: ACER_ASPIRE
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst RSVP (QoS-RSVP) wurden geladen.
Die Daten enthalten die dem Dienst zugeordneten neuen Indexwerte.

Record Number: 1
Source Name: LoadPerf
Time Written: 20091004150113.000000+120
Event Type: Informationen
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\ATI Technologies\ATI.ACE\Core-Static;C:\WINDOWS\system32\WindowsPowerShell\v1.0
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 6 Stepping 4, GenuineIntel
"PROCESSOR_REVISION"=0604
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.PSC1
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------

[Swisstreasure]

Willkommen im HijackThis.de Supportforum Pumuckel,

ein System zu bereinigen ist unter Umständen aufwändig und mit einiger Arbeit für Dich verbunden.
Bitte folgende Punkte beachten:

• Respektiere unsere Forenregeln und sei nicht zu ungeduldig, wenn es mal etwas länger dauert.
• Während der Bereinigung alle vorhandenen externen Speichermedien (USB Sticks, Festplatten) anschließen,
• und keine Programme ohne Absprache installieren oder deinstallieren.
• Programme ausschließlich von den in unserer Anleitung angegebenen Links herunterladen!
• Logfiles in Code-Tags posten und ggfs. persönliche Daten anonymisieren.
• Arbeite jeden Punkt der Reihe nach ab und berichte, dass Du ihn erledigt hast.
• Wenn es ein Problem gibt, stoppen und es so genau wie möglich beschreiben.

• Achtung: Das Verschwinden der Symptome bedeutet nicht das Dein Rechner schon sauber ist.
  Bitte arbeite solange mit bis wir sagen, dass der Rechner sauber ist.
• Nur Anleitungen/Anweisungen eines hier aufgeführten Team-Mitglieds ausführen.
• Es gibt grundsätzlich keinen Support per PN oder Mail.
• Wir bereinigen keine Rechner, die geschäftlich genutzt werden.
• Der Besitz legaler Software ist Vorraussetzung für die Support.
  Sollten wir illegale Software finden, wird der Support eingestellt.

Vista und Win7 User:

• Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Handelt es sich um einen Firmenrechner?

Schritt 2

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop.

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Minimal-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
  
  
  
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 3

MBR mit MBRCheck prüfen

Lade MBRCheck.exe herunter und speichere das Tool auf deinem Desktop (nicht woanders hin).
XP Benutzer: Doppelklick auf die MBRCheck.exe, um das Tool zu starten.
Vista und Windows 7 Benutzer: Rechtsklick auf die MBRCheck.exe und Als Administrator starten wählen.
Es wird sich ein Eingabe-Fenster mit einigen Angaben öffnen.

Wenn der Scan beendet ist, was mit Done! gemeldet wird, klicke Enter, um das Eingabe-Fenster zu schließen.
Poste mir den Inhalt von MBRCheck_<datum>.txt vom Desktop hier in den Thread.

[Pumuckel]

Hallo swiss,

danke für das scnelle feedback !!!
Ich habe mich mit dem Namen des Virus vertan - er heißt richtig: "Trojan.Mebroot" - http://www.symantec.com/security_res...010718-3448-99.
Ich werde jetzt die scans durchführen und hier posten -

MBRCheck ergab folgendes:





Vielen Dank u. Gruß
Pumuckel

Code:

OTL logfile created on: 29.08.2010 20:36:26 - Run 1
OTL by OldTimer - Version 3.2.11.0     Folder = C:\Dokumente und Einstellungen\1\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
894,00 Mb Total Physical Memory | 190,00 Mb Available Physical Memory | 21,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 74,00% Paging File free
Paging file location(s): [Binary data over 100 bytes]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 63,47 Gb Total Space | 56,24 Gb Free Space | 88,60% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive J: | 465,65 Gb Total Space | 53,75 Gb Free Space | 11,54% Space Free | Partition Type: FAT32
 
Computer Name: ACER_ASPIRE
Current User Name: Robin
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\1\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Norton 360\Engine\4.2.0.12\ccsvchst.exe (Symantec Corporation)
PRC - C:\Programme\Adobe\Reader 9.0\Reader\AcroRd32.exe (Adobe Systems Incorporated)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmplayer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\1\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (N360) -- C:\Programme\Norton 360\Engine\4.2.0.12\ccSvcHst.exe (Symantec Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (NAVEX15) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\VirusDefs\20100829.004\NAVEX15.SYS (Symantec Corporation)
DRV - (eeCtrl) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys (Symantec Corporation)
DRV - (EraserUtilRebootDrv) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys (Symantec Corporation)
DRV - (NAVENG) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\VirusDefs\20100829.004\NAVENG.SYS (Symantec Corporation)
DRV - (SymEvent) -- C:\WINDOWS\system32\drivers\SYMEVENT.SYS (Symantec Corporation)
DRV - (BHDrvx86) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\BASHDefs\20100810.004\BHDrvx86.sys (Symantec Corporation)
DRV - (IDSxpx86) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\IPSDefs\20100827.001\IDSXpx86.sys (Symantec Corporation)
DRV - (SYMTDI) -- C:\WINDOWS\System32\Drivers\N360\0402000.00C\SYMTDI.SYS (Symantec Corporation)
DRV - (SymIRON) -- C:\WINDOWS\system32\drivers\N360\0402000.00C\Ironx86.SYS (Symantec Corporation)
DRV - (SymEFA) -- C:\WINDOWS\system32\drivers\N360\0402000.00C\SYMEFA.SYS (Symantec Corporation)
DRV - (SRTSP) -- C:\WINDOWS\System32\Drivers\N360\0402000.00C\SRTSP.SYS (Symantec Corporation)
DRV - (SRTSPX) Symantec Real Time Storage Protection (PEL) -- C:\WINDOWS\system32\drivers\N360\0402000.00C\SRTSPX.SYS (Symantec Corporation)
DRV - (ccHP) -- C:\WINDOWS\system32\drivers\N360\0402000.00C\ccHPx86.sys (Symantec Corporation)
DRV - (SipIMNDI) -- C:\WINDOWS\system32\drivers\SipIMNDI.sys (T-Systems International GmbH)
DRV - (SymDS) -- C:\WINDOWS\system32\drivers\N360\0402000.00C\SYMDS.SYS (Symantec Corporation)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 44 27 56 36 1A 45 CA 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {1f91cde0-c040-11da-a94d-0800200c9a66}:3.2.2
FF - prefs.js..extensions.enabledItems: {6F0976E6-26F3-4AFE-BBEC-9E99E27E4DF3}:1.4.8
FF - prefs.js..extensions.enabledItems: {BBDA0591-3099-440a-AA10-41764D9DB4DB}:2.0
FF - prefs.js..extensions.enabledItems: {2D3F3651-74B9-4795-BDEC-6DA2F431CB62}:4.6
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{BBDA0591-3099-440a-AA10-41764D9DB4DB}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\IPSFFPlgn\ [2010.08.24 00:39:30 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\Extensions\\{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\coFFPlgn\ [2010.08.24 00:12:37 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.08.23 23:46:48 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.24 00:08:08 | 000,000,000 | ---D | M]
 
[2009.10.04 19:46:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Robin\Anwendungsdaten\Mozilla\Extensions
[2010.08.29 18:24:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Robin\Anwendungsdaten\Mozilla\Firefox\Profiles\i83ny4op.default\extensions
[2010.08.23 23:47:44 | 000,000,000 | ---D | M] (RSS Ticker) -- C:\Dokumente und Einstellungen\Robin\Anwendungsdaten\Mozilla\Firefox\Profiles\i83ny4op.default\extensions\{1f91cde0-c040-11da-a94d-0800200c9a66}
[2009.10.04 19:49:05 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Robin\Anwendungsdaten\Mozilla\Firefox\Profiles\i83ny4op.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.08.23 23:47:39 | 000,000,000 | ---D | M] (Fire.fm) -- C:\Dokumente und Einstellungen\Robin\Anwendungsdaten\Mozilla\Firefox\Profiles\i83ny4op.default\extensions\{6F0976E6-26F3-4AFE-BBEC-9E99E27E4DF3}
[2010.08.23 23:41:53 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.08.23 23:46:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.08.23 23:46:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.08.23 23:46:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.08.23 23:46:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.08.23 23:46:38 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton 360\Engine\4.2.0.12\coieplg.dll (Symantec Corporation)
O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton 360\Engine\4.2.0.12\ipsbho.dll (Symantec Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll File not found
O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\4.2.0.12\coieplg.dll (Symantec Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton 360\Engine\4.2.0.12\coieplg.dll (Symantec Corporation)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsNetHood = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O15 - HKCU\..Trusted Domains: live.com ([onecare] http in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: live.com ([onecare] https in Vertrauenswürdige Sites)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6770.cab (Windows Live Safety Center Base Module)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1254676346859 (MUWebControl Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.10.04 15:06:22 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{aa07a6ac-aef7-11df-95a4-0019db538d55}\Shell\AutoRun\command - "" = D:\tools\asuite\asuite.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.08.29 20:16:48 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Robin\Recent
[2010.08.29 18:11:03 | 000,000,000 | ---D | C] -- C:\Programme\trend micro
[2010.08.29 18:11:03 | 000,000,000 | ---D | C] -- C:\rsit
[2010.08.29 18:00:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\Minidump
[2010.08.27 17:50:21 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2010.08.27 17:50:00 | 000,272,384 | ---- | C] (CANON INC.) -- C:\WINDOWS\System32\CNMLMA1.DLL
[2010.08.27 17:49:57 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\CanonIJ Uninstaller Information
[2010.08.27 17:49:50 | 000,178,176 | ---- | C] (CANON INC.) -- C:\WINDOWS\System32\CNMIUA1.DLL
[2010.08.27 17:49:40 | 000,000,000 | -H-D | C] -- C:\Programme\CanonBJ
[2010.08.27 17:48:46 | 000,000,000 | ---D | C] -- C:\Programme\Canon
[2010.08.27 17:29:45 | 002,031,616 | ---- | C] (Ahead Software AG) -- C:\WINDOWS\UNNeroBurnRights.exe
[2010.08.27 17:29:45 | 000,065,536 | ---- | C] (Ahead Software AG
im Stoeckmaedle 18
76307 Karlsbad, Germany
Fax: ++49-7248-911-888
e-mail: info@nero.com) -- C:\WINDOWS\System32\NeroCo.dll
[2010.08.27 17:29:45 | 000,057,344 | ---- | C] (Ahead Software AG) -- C:\WINDOWS\System32\NeroBurnRights.cpl
[2010.08.27 17:02:09 | 000,125,184 | ---- | C] (Ahead Software AG) -- C:\WINDOWS\System32\drivers\imagesrv.sys
[2010.08.27 17:02:09 | 000,005,504 | ---- | C] (Ahead Software AG) -- C:\WINDOWS\System32\drivers\imagedrv.sys
[2010.08.27 17:01:48 | 000,106,496 | ---- | C] (Pegasus Software) -- C:\WINDOWS\System32\TwnLib20.dll
[2010.08.27 17:01:46 | 001,568,768 | ---- | C] (Pegasus Imaging Corp.) -- C:\WINDOWS\System32\ImagX7.dll
[2010.08.27 17:01:46 | 000,476,320 | ---- | C] (Pegasus Imaging Corp.) -- C:\WINDOWS\System32\ImagXpr7.dll
[2010.08.27 17:01:46 | 000,471,040 | ---- | C] (Pegasus Imaging Corp.) -- C:\WINDOWS\System32\ImagXRA7.dll
[2010.08.27 17:01:46 | 000,262,144 | ---- | C] (Pegasus Imaging Corp.) -- C:\WINDOWS\System32\ImagXR7.dll
[2010.08.27 17:01:46 | 000,155,648 | ---- | C] (Ahead Software Gmbh) -- C:\WINDOWS\System32\NeroCheck.exe
[2010.08.27 17:01:42 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Ahead
[2010.08.27 17:01:40 | 000,000,000 | ---D | C] -- C:\Programme\Ahead
[2010.08.24 20:54:53 | 000,000,000 | ---D | C] -- C:\Programme\Windows Live Safety Center
[2010.08.24 00:36:48 | 000,361,904 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\N360\0402000.00C\symtdi.sys
[2010.08.24 00:36:48 | 000,339,504 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\N360\0402000.00C\symtdiv.sys
[2010.08.24 00:36:48 | 000,173,104 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\N360\0402000.00C\symefa.sys
[2010.08.24 00:36:47 | 000,501,888 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\N360\0402000.00C\cchpx86.sys
[2010.08.24 00:36:47 | 000,328,752 | R--- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\N360\0402000.00C\symds.sys
[2010.08.24 00:36:47 | 000,325,680 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\N360\0402000.00C\srtsp.sys
[2010.08.24 00:36:47 | 000,116,784 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\N360\0402000.00C\ironx86.sys
[2010.08.24 00:36:47 | 000,043,696 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\N360\0402000.00C\srtspx.sys
[2010.08.24 00:36:22 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\N360\0402000.00C
[2010.08.24 00:12:23 | 000,107,368 | R--- | C] (GEAR Software Inc.) -- C:\WINDOWS\System32\GEARAspi.dll
[2010.08.24 00:12:19 | 000,124,976 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\SYMEVENT.SYS
[2010.08.24 00:12:19 | 000,060,808 | ---- | C] (Symantec Corporation) -- C:\WINDOWS\System32\S32EVNT1.DLL
[2010.08.24 00:11:48 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\N360
[2010.08.24 00:11:44 | 000,000,000 | ---D | C] -- C:\Programme\Windows Sidebar
[2010.08.24 00:11:44 | 000,000,000 | ---D | C] -- C:\Programme\Norton 360
[2010.08.24 00:11:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton
[2010.08.24 00:10:49 | 000,000,000 | ---D | C] -- C:\Programme\NortonInstaller
[2010.08.24 00:10:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller
[2010.08.24 00:09:56 | 000,024,352 | ---- | C] (T-Systems International GmbH) -- C:\WINDOWS\System32\drivers\SipIMNDI.sys
[2010.08.24 00:09:42 | 000,000,000 | -HSD | C] -- C:\WINDOWS\ftpcache
[2010.08.23 23:35:03 | 000,000,000 | ---D | C] -- C:\Programme\xp-AntiSpy
[2010.08.23 23:30:57 | 000,471,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aclayers.dll
[2010.08.23 23:29:11 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2010.08.23 23:15:34 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[2010.08.23 23:14:57 | 003,558,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\moviemk.exe
[2010.08.23 23:07:39 | 000,744,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\helpsvc.exe
[2010.08.23 23:07:22 | 000,065,536 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\asycfilt.dll
[2010.08.23 23:06:59 | 000,285,696 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\dllcache\atmfd.dll
[2010.08.23 23:06:32 | 000,177,664 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wintrust.dll
[2010.08.23 23:06:23 | 000,100,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\6to4svc.dll
[2010.08.23 23:06:16 | 000,086,528 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\cabview.dll
[2010.08.23 23:05:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Robin\Lokale Einstellungen\Anwendungsdaten\PCHealth
[2010.08.23 23:05:44 | 000,346,624 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mspaint.exe
[2010.08.23 23:05:34 | 000,048,128 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iyuv_32.dll
[2010.08.23 23:05:34 | 000,011,264 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msrle32.dll
[2010.08.23 23:05:33 | 000,008,704 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\tsbyuv.dll
[2010.08.23 23:05:21 | 000,017,920 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msyuv.dll
[2010.08.23 23:05:13 | 000,033,280 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\csrsrv.dll
[2010.08.23 23:04:42 | 000,271,360 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\oakley.dll
[2010.08.23 23:04:34 | 000,150,528 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\rastls.dll
[2010.08.23 23:04:34 | 000,079,872 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\raschap.dll
[2010.08.23 23:04:26 | 001,441,792 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\query.dll
[2010.08.23 23:04:06 | 000,058,880 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msasn1.dll
[2010.08.23 22:56:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
[2010.08.23 22:46:25 | 000,025,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbprint.sys
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.08.29 20:16:52 | 001,310,720 | -H-- | M] () -- C:\Dokumente und Einstellungen\Robin\NTUSER.DAT
[2010.08.29 20:16:52 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Robin\ntuser.ini
[2010.08.29 18:01:00 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.08.29 18:00:57 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.08.29 17:03:00 | 000,013,752 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.08.27 17:50:13 | 000,630,688 | ---- | M] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\Cat.DB
[2010.08.27 17:02:38 | 000,001,307 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Nero StartSmart.lnk
[2010.08.24 21:04:18 | 005,884,334 | -H-- | M] () -- C:\Dokumente und Einstellungen\Robin\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.08.24 00:38:24 | 000,001,878 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Norton 360 Online.LNK
[2010.08.24 00:30:41 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.08.24 00:27:24 | 000,997,194 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.08.24 00:27:24 | 000,448,726 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.08.24 00:27:24 | 000,432,492 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.08.24 00:27:24 | 000,080,290 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.08.24 00:27:24 | 000,067,448 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.08.24 00:12:19 | 000,124,976 | ---- | M] (Symantec Corporation) -- C:\WINDOWS\System32\drivers\SYMEVENT.SYS
[2010.08.24 00:12:19 | 000,060,808 | ---- | M] (Symantec Corporation) -- C:\WINDOWS\System32\S32EVNT1.DLL
[2010.08.24 00:12:19 | 000,007,443 | ---- | M] () -- C:\WINDOWS\System32\drivers\SYMEVENT.CAT
[2010.08.24 00:12:19 | 000,000,805 | ---- | M] () -- C:\WINDOWS\System32\drivers\SYMEVENT.INF
[2010.08.23 23:35:03 | 000,001,544 | ---- | M] () -- C:\Dokumente und Einstellungen\Robin\Desktop\xp-AntiSpy.lnk
[2010.08.23 23:19:26 | 000,098,256 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.08.27 17:29:46 | 000,023,936 | ---- | C] () -- C:\WINDOWS\UNNeroBurnRights.cfg
[2010.08.27 17:02:38 | 000,001,307 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Nero StartSmart.lnk
[2010.08.24 00:37:54 | 000,630,688 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\Cat.DB
[2010.08.24 00:36:48 | 000,007,787 | R--- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\symnetv.cat
[2010.08.24 00:36:48 | 000,007,368 | R--- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\symnet.cat
[2010.08.24 00:36:48 | 000,003,373 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\symefa.inf
[2010.08.24 00:36:48 | 000,001,473 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\symnetv.inf
[2010.08.24 00:36:48 | 000,001,445 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\symnet.inf
[2010.08.24 00:36:47 | 000,007,873 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\symefa.cat
[2010.08.24 00:36:47 | 000,007,442 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\srtspx.cat
[2010.08.24 00:36:47 | 000,007,438 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\srtsp.cat
[2010.08.24 00:36:47 | 000,007,438 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\iron.cat
[2010.08.24 00:36:47 | 000,007,425 | R--- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\symds.cat
[2010.08.24 00:36:47 | 000,007,396 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\cchpx86.cat
[2010.08.24 00:36:47 | 000,002,793 | R--- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\symds.inf
[2010.08.24 00:36:47 | 000,001,754 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\cchpx86.inf
[2010.08.24 00:36:47 | 000,001,388 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\srtspx.inf
[2010.08.24 00:36:47 | 000,001,382 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\srtsp.inf
[2010.08.24 00:36:47 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\iron.inf
[2010.08.24 00:36:22 | 000,000,172 | ---- | C] () -- C:\WINDOWS\System32\drivers\N360\0402000.00C\isolate.ini
[2010.08.24 00:12:19 | 000,007,443 | ---- | C] () -- C:\WINDOWS\System32\drivers\SYMEVENT.CAT
[2010.08.24 00:12:19 | 000,000,805 | ---- | C] () -- C:\WINDOWS\System32\drivers\SYMEVENT.INF
[2010.08.24 00:12:13 | 000,001,878 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Norton 360 Online.LNK
[2010.08.23 23:35:03 | 000,001,544 | ---- | C] () -- C:\Dokumente und Einstellungen\Robin\Desktop\xp-AntiSpy.lnk
[2009.10.04 20:41:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\VPC32.INI
 
========== LOP Check ==========
 
[2010.08.27 17:50:21 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2009.10.04 19:33:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Robin\Anwendungsdaten\Windows Search
 
========== Purity Check ==========
 
 
< End of report >

OTL Extras logfile created on: 29.08.2010 20:36:26 - Run 1
OTL by OldTimer - Version 3.2.11.0     Folder = C:\Dokumente und Einstellungen\1\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
894,00 Mb Total Physical Memory | 190,00 Mb Available Physical Memory | 21,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 74,00% Paging File free
Paging file location(s): [Binary data over 100 bytes]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 63,47 Gb Total Space | 56,24 Gb Free Space | 88,60% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive J: | 465,65 Gb Total Space | 53,75 Gb Free Space | 11,54% Space Free | Partition Type: FAT32
 
Computer Name: ACER_ASPIRE
Current User Name: Robin
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OpenNew] -- cmd.exe /k cd %1 (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4700_series" = Canon iP4700 series Printer Driver
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C950420B-4182-49EA-850A-A6A2ABF06C6B}" = Marvell Miniport Driver
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"Canon iP4700 series Benutzerregistrierung" = Canon iP4700 series Benutzerregistrierung
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"N360" = Norton 360
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"Nero BurnRights!UninstallKey" = Nero BurnRights
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Windows Live OneCare safety scanner" = Windows Live OneCare safety scanner
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"xp-AntiSpy" = xp-AntiSpy 3.97-9
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 04.10.2009 13:07:22 | Computer Name = ACER_ASPIRE | Source = MPSampleSubmission | ID = 5000
Description = 
 
Error - 04.10.2009 13:43:25 | Computer Name = ACER_ASPIRE | Source = Windows Search Service | ID = 3024
Description = 
 
Error - 23.08.2010 17:05:54 | Computer Name = ACER_ASPIRE | Source = MPSampleSubmission | ID = 5000
Description = 
 
Error - 23.08.2010 17:23:01 | Computer Name = ACER_ASPIRE | Source = Windows Search Service | ID = 3024
Description = 
 
Error - 23.08.2010 17:27:30 | Computer Name = ACER_ASPIRE | Source = MPSampleSubmission | ID = 5000
Description = 
 
Error - 23.08.2010 17:31:20 | Computer Name = ACER_ASPIRE | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 23.08.2010 17:31:20 | Computer Name = ACER_ASPIRE | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 23.08.2010 18:38:27 | Computer Name = ACER_ASPIRE | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 23.08.2010 18:38:27 | Computer Name = ACER_ASPIRE | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
[ System Events ]
Error - 23.08.2010 17:28:26 | Computer Name = ACER_ASPIRE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1053" aufgetreten, als der Dienst "WSearch"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {7D096C5F-AC08-4F1F-BEB7-5C22C517CE39}
 
Error - 23.08.2010 17:28:26 | Computer Name = ACER_ASPIRE | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Windows
 Search.
 
Error - 23.08.2010 17:28:26 | Computer Name = ACER_ASPIRE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Windows Search" wurde aufgrund folgenden Fehlers nicht
 gestartet:   %%1053
 
Error - 24.08.2010 00:45:07 | Computer Name = ACER_ASPIRE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "upnphost"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {204810B9-73B2-11D4-BF42-00B0D0118B56}
 
Error - 24.08.2010 00:50:41 | Computer Name = ACER_ASPIRE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "upnphost"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {204810B9-73B2-11D4-BF42-00B0D0118B56}
 
Error - 24.08.2010 00:54:36 | Computer Name = ACER_ASPIRE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "upnphost"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {204810B9-73B2-11D4-BF42-00B0D0118B56}
 
Error - 24.08.2010 12:52:07 | Computer Name = ACER_ASPIRE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "upnphost"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {204810B9-73B2-11D4-BF42-00B0D0118B56}
 
Error - 24.08.2010 13:33:20 | Computer Name = ACER_ASPIRE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "upnphost"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {204810B9-73B2-11D4-BF42-00B0D0118B56}
 
Error - 26.08.2010 00:50:04 | Computer Name = ACER_ASPIRE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "upnphost"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {204810B9-73B2-11D4-BF42-00B0D0118B56}
 
Error - 29.08.2010 11:56:00 | Computer Name = ACER_ASPIRE | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst N360.
 
 
< End of report >

[Swisstreasure]

Was ist auf dieser externen Platte drauf? Eine Bootpartition?

[Pumuckel]

Hallo Swiss,

nein, ich boote nicht davon - ist ein reines backup medium für meine MP3 Sammlung und Fotos.
Ich hab versucht mit dem tool den MBR auf der Platte neu zu schreiben. Hat aber anscheinend nicht gefruchtet - nach Neustart der Platte und wiederholtem Start von MBRCheck kam die gleiche Meldung. Und was nun ?

Danke und Gruß
Pumuckel

[Pumuckel]

achso - sorry - hier ist noch das log vom MBRCheck :

Code:

USBC6–‚   € 
(                                                                                                                                                                                                                                                                                                                                                                                                                                       ùá÷i   

 þÿÿ?   L8:                                                Uª

[Swisstreasure]

Schritt 1

Lösche bitte die vorhandenen MBRCheck.txt. Starte bitte MBRCheck.exe erneut. Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter bei

• Enter 'Y' and hit ENTER for more options, or 'N' to exit: y
• Enter your choice: 2
• Enter the physical disk number to fix (0-99, -1 to cancel): 5
• PLease select the MBR code to write to this drive: 1

Die rot eingerahmten Zahlen aus der Anleitung entnehmen!!!

• Gib nun Yes ein und bestätige mit ENTER.
• Starte den Rechner neu auf.

Nach dem Neustart starte bitte MBRCheck.exe erneut. Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop. Poste mir den Inhalt von beiden .txt Dokumenten

Schritt 2

Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Nach dem Prompt (>_) folgenden Text aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code:

  mbr.exe -t > C:\mbr.log & C:\mbr.log

  (Enter drücken)
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

[Pumuckel]

Hallo Swiss,

anbei der code aus den beiden logs von MBRCheck:

Vor der Bereinigung:

Code:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x000003f4

Kernel Drivers (total 129):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xF79D0000 \WINDOWS\system32\KDCOM.DLL
  0xF78E0000 \WINDOWS\system32\BOOTVID.dll
  0xF73A0000 ACPI.sys
  0xF79D2000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF738F000 pci.sys
  0xF74D0000 isapnp.sys
  0xF74E0000 ohci1394.sys
  0xF74F0000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF7A98000 pciide.sys
  0xF7750000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7500000 MountMgr.sys
  0xF7370000 ftdisk.sys
  0xF79D4000 dmload.sys
  0xF734A000 dmio.sys
  0xF7758000 PartMgr.sys
  0xF7510000 VolSnap.sys
  0xF7332000 atapi.sys
  0xF7520000 disk.sys
  0xF7530000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF7312000 fltmgr.sys
  0xF72BC000 SYMDS.SYS
  0xF728F000 SYMEFA.SYS
  0xF7278000 KSecDD.sys
  0xF71EB000 Ntfs.sys
  0xF71BE000 NDIS.sys
  0xF71A4000 Mup.sys
  0xF7630000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF4F46000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF4F32000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF4EF6000 \SystemRoot\system32\DRIVERS\yk51x86.sys
  0xF77F0000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xF4ED2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF77F8000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF7640000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF7650000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF7660000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF4EAF000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF7800000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0xF4E87000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF7670000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xF7808000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xF7680000 \SystemRoot\system32\DRIVERS\serial.sys
  0xF79AC000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF4E73000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF7690000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF7810000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF7818000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7BF9000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF76A0000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF79B0000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF4E5C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF76B0000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF76C0000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF7820000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF4E4B000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF76D0000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF7828000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF7830000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF4E1B000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF76E0000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF79FA000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF4CDD000 \SystemRoot\system32\DRIVERS\update.sys
  0xF5178000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF76F0000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF7720000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF79FC000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xEC5C8000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xEC5A4000 \SystemRoot\system32\drivers\portcls.sys
  0xF7730000 \SystemRoot\system32\drivers\drmk.sys
  0xF7A00000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7B39000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7A02000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7848000 \SystemRoot\System32\drivers\vga.sys
  0xF7A04000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7A06000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF7850000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF7858000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF4E0B000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xEC521000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xEC4C8000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xEC471000 \SystemRoot\System32\Drivers\N360\0402000.00C\SYMTDI.SYS
  0xEC44B000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF7560000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xEC426000 \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
  0xF7570000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xEC3D1000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\IPSDefs\20100827.001\IDSxpx86.sys
  0xF7860000 \SystemRoot\system32\DRIVERS\usbprint.sys
  0xEC3A9000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xEC387000 \SystemRoot\System32\drivers\afd.sys
  0xF7580000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xEC368000 \SystemRoot\system32\drivers\N360\0402000.00C\Ironx86.SYS
  0xF7868000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xF7590000 \SystemRoot\system32\drivers\N360\0402000.00C\SRTSPX.SYS
  0xEC29D000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xEC22D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF75A0000 \SystemRoot\System32\Drivers\Fips.SYS
  0xEC1CF000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
  0xEC1B2000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
  0xEC133000 \SystemRoot\system32\drivers\N360\0402000.00C\ccHPx86.sys
  0xEC087000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\BASHDefs\20100810.004\BHDrvx86.sys
  0xF75D0000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xEC047000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7A0A000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF5164000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7888000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7B46000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF057000 \SystemRoot\System32\ati2cqag.dll
  0xBF0AE000 \SystemRoot\System32\atikvmag.dll
  0xBF0FD000 \SystemRoot\System32\ati3duag.dll
  0xBF3AE000 \SystemRoot\System32\ativvaxx.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB86F4000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB8463000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF7A32000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB831C000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB7FA5000 \SystemRoot\System32\Drivers\N360\0402000.00C\SRTSP.SYS
  0xB7E59000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\VirusDefs\20100829.004\NAVEX15.SYS
  0xB7E45000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\VirusDefs\20100829.004\NAVENG.SYS
  0xB7E08000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB8254000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB77D7000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB75D3000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0xB73EA000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 25):
       0 System Idle Process
       4 System
     548 C:\WINDOWS\system32\smss.exe
     608 csrss.exe
     636 C:\WINDOWS\system32\winlogon.exe
     680 C:\WINDOWS\system32\services.exe
     700 C:\WINDOWS\system32\lsass.exe
     868 C:\WINDOWS\system32\ati2evxx.exe
     888 C:\WINDOWS\system32\svchost.exe
     956 svchost.exe
    1008 C:\WINDOWS\system32\svchost.exe
    1080 svchost.exe
    1108 svchost.exe
    1240 C:\WINDOWS\system32\spoolsv.exe
    1372 svchost.exe
    1476 C:\Programme\Norton 360\Engine\4.2.0.12\ccsvchst.exe
    1928 alg.exe
     212 ccsvchst.exe
    2556 C:\WINDOWS\system32\ati2evxx.exe
    4036 explorer.exe
    2368 RTHDCPL.exe
    3496 ctfmon.exe
    3236 C:\WINDOWS\system32\svchost.exe
    3256 firefox.exe
    3356 C:\Dokumente und Einstellungen\1\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\J: --> \\.\PhysicalDrive5 at offset 0x00000000`00007e00  (FAT32)

PhysicalDrive0 Model Number: ST3250824AS, Rev: 3.AAE   
PhysicalDrive5 Model Number: WDC WD5000AAVS-32ZTB0, Rev: 

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
    465 GB  \\.\PhysicalDrive5   MBR Code Faked!
            SHA1: 49CA03BBFF4CEFA1BFB33FF72503A2B608DAFD7F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 5Available MBR codes:
 [ 0] Default (Windows XP)
 [ 1] Windows XP
 [ 2] Windows Server 2003
 [ 3] Windows Vista
 [ 4] Windows 2008
 [ 5] Windows 7
 [-1] Cancel

Please select the MBR code to write to this drive: 0
Do you want to fix the MBR code?  Type 'YES' and hit ENTER to continue: yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!

Nach der Bereinigung:

Code:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x000003f4

Kernel Drivers (total 128):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xF79D0000 \WINDOWS\system32\KDCOM.DLL
  0xF78E0000 \WINDOWS\system32\BOOTVID.dll
  0xF73A0000 ACPI.sys
  0xF79D2000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF738F000 pci.sys
  0xF74D0000 isapnp.sys
  0xF74E0000 ohci1394.sys
  0xF74F0000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF7A98000 pciide.sys
  0xF7750000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7500000 MountMgr.sys
  0xF7370000 ftdisk.sys
  0xF79D4000 dmload.sys
  0xF734A000 dmio.sys
  0xF7758000 PartMgr.sys
  0xF7510000 VolSnap.sys
  0xF7332000 atapi.sys
  0xF7520000 disk.sys
  0xF7530000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF7312000 fltmgr.sys
  0xF72BC000 SYMDS.SYS
  0xF728F000 SYMEFA.SYS
  0xF7278000 KSecDD.sys
  0xF71EB000 Ntfs.sys
  0xF71BE000 NDIS.sys
  0xF71A4000 Mup.sys
  0xF7680000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF4F46000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF4F32000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF4EF6000 \SystemRoot\system32\DRIVERS\yk51x86.sys
  0xF77D0000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0xF4ED2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF77D8000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF7690000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF76A0000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF76B0000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF4EAF000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF77E0000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0xF4E87000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF76C0000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xF77E8000 \SystemRoot\system32\DRIVERS\fdc.sys
  0xF76D0000 \SystemRoot\system32\DRIVERS\serial.sys
  0xF7994000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF4E73000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF76E0000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF77F0000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF77F8000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7BC2000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF76F0000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7998000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF4E5C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF7700000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF7710000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF7800000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF4E4B000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF7720000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF7808000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF7810000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF4E1B000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF7730000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF79FA000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF4CF5000 \SystemRoot\system32\DRIVERS\update.sys
  0xF79B8000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF7740000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF7580000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF79FE000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xEC5C8000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xEC5A4000 \SystemRoot\system32\drivers\portcls.sys
  0xF7590000 \SystemRoot\system32\drivers\drmk.sys
  0xF7A02000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7B35000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7A04000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7828000 \SystemRoot\System32\drivers\vga.sys
  0xF7A06000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7A08000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF7830000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF7838000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF4E07000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xEC521000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xEC4C8000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xEC471000 \SystemRoot\System32\Drivers\N360\0402000.00C\SYMTDI.SYS
  0xEC44B000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF75B0000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xEC426000 \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
  0xF75C0000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xF7840000 \SystemRoot\system32\DRIVERS\usbprint.sys
  0xEC3D1000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\IPSDefs\20100827.001\IDSxpx86.sys
  0xF7848000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xEC3A9000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xEC387000 \SystemRoot\System32\drivers\afd.sys
  0xF75D0000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xEC368000 \SystemRoot\system32\drivers\N360\0402000.00C\Ironx86.SYS
  0xF75E0000 \SystemRoot\system32\drivers\N360\0402000.00C\SRTSPX.SYS
  0xEC29D000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xEC22D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF75F0000 \SystemRoot\System32\Drivers\Fips.SYS
  0xEC1CF000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
  0xEC1B2000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
  0xEC133000 \SystemRoot\system32\drivers\N360\0402000.00C\ccHPx86.sys
  0xEC087000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\BASHDefs\20100810.004\BHDrvx86.sys
  0xF7630000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xEC047000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7A14000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xEC59C000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7880000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7B89000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF057000 \SystemRoot\System32\ati2cqag.dll
  0xBF0AE000 \SystemRoot\System32\atikvmag.dll
  0xBF0FD000 \SystemRoot\System32\ati3duag.dll
  0xBF3AE000 \SystemRoot\System32\ativvaxx.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB86F8000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xB838B000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB85E8000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB812E000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF7A0E000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB800F000 \SystemRoot\system32\DRIVERS\srv.sys
  0xB7C70000 \SystemRoot\System32\Drivers\N360\0402000.00C\SRTSP.SYS
  0xB7A34000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\VirusDefs\20100829.004\NAVEX15.SYS
  0xB7A20000 \??\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\N360_4.0.0.127\Definitions\VirusDefs\20100829.004\NAVENG.SYS
  0xB789F000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB76F7000 \SystemRoot\System32\Drivers\Fastfat.SYS
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 29):
       0 System Idle Process
       4 System
     548 C:\WINDOWS\system32\smss.exe
     608 csrss.exe
     636 C:\WINDOWS\system32\winlogon.exe
     680 C:\WINDOWS\system32\services.exe
     692 C:\WINDOWS\system32\lsass.exe
     864 C:\WINDOWS\system32\ati2evxx.exe
     884 C:\WINDOWS\system32\svchost.exe
     952 svchost.exe
    1036 C:\WINDOWS\system32\svchost.exe
    1124 svchost.exe
    1164 svchost.exe
    1288 C:\WINDOWS\system32\ati2evxx.exe
    1296 C:\WINDOWS\system32\spoolsv.exe
     276 explorer.exe
     432 RTHDCPL.exe
     460 reader_sl.exe
     556 ctfmon.exe
     892 svchost.exe
    1112 C:\Programme\Norton 360\Engine\4.2.0.12\ccsvchst.exe
    1632 C:\WINDOWS\system32\wuauclt.exe
     264 ccsvchst.exe
    2284 alg.exe
    2464 wmiprvse.exe
    2808 firefox.exe
    3744 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    3776 wmiprvse.exe
    3964 C:\Dokumente und Einstellungen\1\Eigene Dateien\Downloads\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\J: --> \\.\PhysicalDrive5 at offset 0x00000000`00007e00  (FAT32)

PhysicalDrive0 Model Number: ST3250824AS, Rev: 3.AAE   
PhysicalDrive5 Model Number: WDC WD5000AAVS-32ZTB0, Rev: 

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
    465 GB  \\.\PhysicalDrive5   MBR Code Faked!
            SHA1: 0B2059D314B47C5DB1569F61EA88F5A2FAEEACCF


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.

Enter your choice: Enter the physical disk number to dump (0-99, -1 to exit): 5Dumping \\.\PhysicalDisk5...
Enter filename to dump to: dump2Dumped successfully!

Enter the physical disk number to dump (0-99, -1 to exit): 5Dumping \\.\PhysicalDisk5...
Enter filename to dump to:

MBR.exe

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS 
kernel: MBR read successfully
user & kernel MBR OK 
PE file found in sector at 0x07EF2B09 !

Danke für Deine Geduld mit mir - ich hoffe ich habe nichts falsch gemacht diesmal.

[Swisstreasure]

Hast Du nach dem MBRfix neu gestartet?

[Pumuckel]

Ja, ich hatte den PC neu gestartet.