| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Log von Malwarebytes, TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.09.2010, 18:35
| #1 |
 |  Log von Malwarebytes, Trojaner Hallo zusammen, anbei mein Log von Malwarebytes, bin neu hier und hoffe dies genügt nachdem ich alle Anleitungen gelesen habe ;-)) Habe im Forum nach Crypt.IR.50 gesucht und nach Anweisung Malwarebytes laufen gelassen, danach folgt noch OTL. Schon mal großes Danke. raby Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4550 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 05.09.2010 19:10:47 mbam-log-2010-09-05 (19-10-47).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 143892 Laufzeit: 14 Minute(n), 4 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{5843090c-c736-3c10-0aac-c44a95d10e18} (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{3f1cdad3-0a1b-e65e-aa10-2d2fdbede959} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully. |
|
05.09.2010, 18:57
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Log von Malwarebytes, TrojanerZitat:
 Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
|
05.09.2010, 19:23
| #3 |
| | Log von Malwarebytes, Trojaner Edit: sorry, stop, mache erst noch den Vollscan, habe Antwort eben erst gelesen.
__________________raby ***** ...und hier auch die zwei Logs von OTL (leider hat mein Antivir gerade wieder einen Dldr.Agent.bq6 gemeldet, scheint also noch nicht sauber zu sein.) Weiters dickes Danke für die Hilfe. raby. ***deleted*** |
|
05.09.2010, 21:56
| #4 |
| | Log von Malwarebytes, Trojaner so, hier nun Log des Vollscans: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4550 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 05.09.2010 22:55:10 mbam-log-2010-09-05 (22-55-10).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 230121 Laufzeit: 2 Stunde(n), 24 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\Installer\{9CA74E7D-CA06-4A5C-9851-83D15B7B4D59}\IconAD6B62AC3.chm (Trojan.Spambot) -> Quarantined and deleted successfully. |
|
05.09.2010, 22:21
| #5 |
| | Log von Malwarebytes, Trojaner und nun noch die OTL Logs - Antivir meldet weiterhin TL/Dldr.Agent.bq.6..;-(( LOG1:OTL Logfile: Code:
ATTFilter OTL logfile created on: 05.09.2010 23:12:38 - Run 1 OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 512,00 Mb Total Physical Memory | 206,00 Mb Available Physical Memory | 40,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,49 Gb Total Space | 26,22 Gb Free Space | 35,20% Space Free | Partition Type: NTFS Drive D: | 2,22 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: RABY Current User Name: RK Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe (Deutsche Telekom AG) PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\ATI-CPanel\atiptaxx.exe (ATI Technologies, Inc.) PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (Netzmanager Service) -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe (Deutsche Telekom AG) SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (TSMService) -- C:\Programme\T-DSL SpeedManager\tsmsvc.exe (T-Systems Nova, Berkom) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.) DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\rtl8139.sys (Realtek Semiconductor Corporation) DRV - (TNPacket) -- C:\Programme\T-DSL SpeedManager\TNPACKET.SYS (T-Systems Nova GmbH) DRV - (RTL8023) -- C:\WINDOWS\system32\drivers\Rtlnic51.sys (Realtek Semiconductor Corporation ) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (ASAPIW2K) -- C:\WINDOWS\system32\drivers\asapiW2k.sys (Pinnacle Systems GmbH) DRV - (VOBID) -- C:\WINDOWS\System32\DRIVERS\vobid.sys (Pinnacle Systems) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.) DRV - (QV2KUX) -- C:\WINDOWS\system32\drivers\qv2kux.sys (Microsoft Corporation) DRV - (PCANDIS5) -- C:\Programme\T-DSL SpeedManager\PCANDIS5.SYS (Printing Communications Assoc., Inc. (PCAUSA)) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - HKLM\software\mozilla\Mozilla Firefox 3.5.11\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.05 18:23:10 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.11\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.05 18:23:10 | 000,000,000 | ---D | M] [2008.08.27 01:35:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Mozilla\Extensions [2010.09.05 19:24:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Mozilla\Firefox\Profiles\yemhtz46.default\extensions [2010.09.04 19:28:43 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Mozilla\Firefox\Profiles\yemhtz46.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.09.05 19:24:59 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.05.30 12:52:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.08.31 12:07:56 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.09.05 18:23:01 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.09.05 18:23:01 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.09.05 18:23:02 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.09.05 18:23:02 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.09.05 18:23:02 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.05.22 13:52:14 | 000,305,721 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 127.0.0.1 123haustiereundmehr.com O1 - Hosts: 10549 more lines... O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O3 - HKCU\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [ATIModeChange] C:\WINDOWS\System32\Ati2mdxx.exe (ATI Technologies, Inc.) O4 - HKLM..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe (ATI Technologies, Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [FirstSteps] File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [NWEReboot] File not found O4 - HKLM..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe () O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [Wizard] File not found O4 - HKCU..\Run: [Getdo] File not found O4 - HKCU..\Run: [Msmfc] C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\trayinx.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SynchronousMachineGroupPolicy = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SynchronousUserGroupPolicy = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: &Google-Suche - c:\programme\google\GoogleToolbar1.dll (Google Inc.) O8 - Extra context menu item: &Ins Deutsche übersetzen - c:\programme\google\GoogleToolbar1.dll (Google Inc.) O8 - Extra context menu item: Ähnliche Seiten - c:\programme\google\GoogleToolbar1.dll (Google Inc.) O8 - Extra context menu item: Im Cache gespeicherte Seite - c:\programme\google\GoogleToolbar1.dll (Google Inc.) O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation) O8 - Extra context menu item: Verweisseiten - c:\programme\google\GoogleToolbar1.dll (Google Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage) O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} https://img.web.de/v/fotoalbum/activex/upload_1115.cab (Upload Control) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} hxxp://software-dl.real.com/031a77bf21ea827c1805/netzip/RdxIE601_de.cab (Reg Error: Key error.) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135427590421 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38109.371412037 (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444500000000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\dimsntfy: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2004.04.01 14:27:58 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{57cfd388-a709-11db-90ae-000ea6919375}\Shell\AutoRun\command - "" = F:\InstallTomTomHOME.exe -- File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.09.05 18:28:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Malwarebytes [2010.09.05 18:28:23 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.09.05 18:28:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.09.05 18:28:19 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.09.05 18:28:19 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.09.05 13:42:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google [2010.09.05 13:42:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google [2010.09.04 19:51:31 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\RK\Recent [2010.09.04 19:44:22 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2010.08.31 12:07:53 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.08.31 12:07:53 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.08.31 12:07:53 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.08.10 21:34:26 | 000,000,000 | ---D | C] -- C:\72536be8471601f1be1166 [2010.08.09 18:55:04 | 000,000,000 | ---D | C] -- C:\Programme\MSXML 6.0 [2010.08.08 22:16:47 | 000,000,000 | ---D | C] -- C:\Programme\PixelNet Foto Client [2010.08.08 21:24:34 | 000,000,000 | ---D | C] -- C:\Programme\Netzmanager [2010.08.08 21:24:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager [2010.08.08 21:15:57 | 000,014,048 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg2.dll [2010.08.08 21:12:11 | 000,000,000 | ---D | C] -- C:\Programme\MSBuild [2010.08.08 21:03:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\XPSViewer [2010.08.08 21:03:47 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\en-us [2010.08.08 21:01:05 | 000,000,000 | ---D | C] -- C:\Programme\Reference Assemblies [2010.08.08 21:00:16 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xpssvcs.dll [2010.08.08 21:00:16 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\xpssvcs.dll [2010.08.08 21:00:15 | 000,575,488 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\xpsshhdr.dll [2010.08.08 21:00:15 | 000,276,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMPhoto.dll [2010.08.08 21:00:14 | 000,716,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WindowsCodecs.dll [2010.08.08 21:00:14 | 000,352,256 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WindowsCodecsExt.dll [2010.08.08 20:59:57 | 000,117,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\prntvpt.dll [2010.08.08 20:59:54 | 000,412,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\photometadatahandler.dll [2010.08.08 20:59:49 | 000,089,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\filterpipelineprintproc.dll [2010.08.08 20:59:48 | 000,597,504 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\printfilterpipelinesvc.exe [2010.08.08 20:49:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{290883D4-FF33-4C80-B8FB-E5D5A89C103B} [2010.08.08 20:47:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\PackageAware [1997.09.04 00:00:00 | 000,311,296 | ---- | C] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\msacc8.olb [6 C:\WINDOWS\Fonts\*.tmp files -> C:\WINDOWS\Fonts\*.tmp -> ] [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [244 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.09.05 23:13:06 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.09.05 22:59:01 | 000,001,076 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.09.05 22:58:56 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.09.05 22:58:53 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.09.05 22:58:51 | 536,440,832 | -HS- | M] () -- C:\hiberfil.sys [2010.09.05 22:57:39 | 006,815,744 | -H-- | M] () -- C:\Dokumente und Einstellungen\RK\NTUSER.DAT [2010.09.05 22:57:39 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\RK\ntuser.ini [2010.09.05 19:40:13 | 000,021,504 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Eigene Dateien\zgng.xls [2010.09.05 18:28:26 | 000,000,684 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.09.04 20:12:08 | 000,402,060 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Eigene Dateien\cc_20100904_201107.reg [2010.09.04 19:12:34 | 000,160,768 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.09.04 19:06:06 | 000,222,824 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.09.04 18:55:10 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.08.31 20:22:38 | 000,033,101 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Desktop\BACKUP_Eigene-Dateien.fsy [2010.08.31 11:43:54 | 000,460,664 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.08.31 11:43:54 | 000,442,602 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.08.31 11:43:54 | 000,085,396 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.08.31 11:43:54 | 000,071,868 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.08.31 11:43:53 | 001,029,634 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.08.12 15:41:04 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.08.12 15:40:59 | 000,692,072 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.08.08 21:24:50 | 000,000,772 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [244 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.09.05 18:28:26 | 000,000,684 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.09.04 20:11:29 | 000,402,060 | ---- | C] () -- C:\Dokumente und Einstellungen\RK\Eigene Dateien\cc_20100904_201107.reg [2010.08.31 11:51:20 | 000,353,760 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2010.08.08 21:24:50 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk [2009.02.15 17:55:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI [2008.05.31 14:41:29 | 000,000,118 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI [2006.11.30 11:20:59 | 000,000,037 | ---- | C] () -- C:\WINDOWS\easyprint.INI [2006.06.14 14:00:14 | 000,000,190 | ---- | C] () -- C:\WINDOWS\QTW.INI [2006.02.10 23:18:13 | 000,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2006.02.10 23:05:00 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2005.11.17 16:47:13 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll [2005.11.17 16:21:18 | 000,000,021 | ---- | C] () -- C:\Programme\AVPersonalAVWIN.INI [2005.06.16 21:56:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ujbnb.dll [2005.06.16 08:45:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\netuo.dll [2005.06.14 09:37:31 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ztwms.dll [2005.06.11 19:24:52 | 000,000,021 | ---- | C] () -- C:\Programme\AntivirAVWIN.INI [2005.06.10 23:20:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\qruwi.dll [2005.06.10 14:56:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ntwf.dll [2005.06.06 13:14:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\netti.dll [2005.06.04 05:36:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\iejg32.dll [2005.05.29 22:48:38 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini [2005.05.25 04:50:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\d3az.dll [2005.05.18 16:12:03 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2005.05.16 04:12:11 | 000,000,561 | ---- | C] () -- C:\WINDOWS\stammbaum.INI [2004.10.29 19:19:12 | 000,278,528 | ---- | C] () -- C:\WINDOWS\System32\mwtsp.dll [2004.10.03 15:50:02 | 000,003,424 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2004.09.24 16:56:14 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\mwnsp.dll [2004.05.06 20:11:28 | 000,000,490 | ---- | C] () -- C:\WINDOWS\STSBOERS.INI [2004.04.28 22:00:35 | 000,160,768 | ---- | C] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2004.04.27 22:06:54 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2004.04.01 14:56:42 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2004.04.01 14:40:35 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2004.04.01 14:33:49 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2004.04.01 14:33:49 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2004.04.01 14:33:49 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2004.04.01 14:33:49 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2004.04.01 14:33:49 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2004.04.01 14:33:49 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2004.04.01 14:31:44 | 000,000,746 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2004.04.01 14:24:49 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini [2004.02.15 20:43:53 | 000,022,040 | ---- | C] () -- C:\WINDOWS\System32\_005877_.tmp.dll [2004.02.15 20:43:36 | 000,249,270 | ---- | C] () -- C:\WINDOWS\System32\_005909_.tmp.dll [2004.02.15 20:39:55 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll [2002.02.27 17:28:16 | 000,138,752 | ---- | C] () -- C:\WINDOWS\System32\MASE32.DLL [2002.02.27 17:28:16 | 000,057,856 | ---- | C] () -- C:\WINDOWS\System32\MASD32.DLL [2002.02.27 17:28:14 | 000,196,096 | ---- | C] () -- C:\WINDOWS\System32\MACD32.DLL [2002.02.27 17:28:14 | 000,136,192 | ---- | C] () -- C:\WINDOWS\System32\MAMC32.DLL [2002.02.27 17:28:14 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\MA32.DLL [2000.04.03 23:00:00 | 000,130,560 | ---- | C] () -- C:\WINDOWS\System32\ZIPDLL.DLL ========== LOP Check ========== [2004.11.14 20:19:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems [2008.08.31 12:23:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier [2010.08.31 11:56:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager [2008.11.20 12:55:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL SpeedManager [2004.04.27 20:24:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online [2004.05.02 17:02:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online_ZusatzSoftware [2007.05.05 14:39:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom [2010.08.08 21:25:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{290883D4-FF33-4C80-B8FB-E5D5A89C103B} [2010.04.16 22:41:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2004.11.14 20:25:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\ACD Systems [2010.09.05 18:33:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Iccooc [2004.04.28 22:00:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\InterVideo [2010.09.04 19:43:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Micrografx [2006.11.30 10:55:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Pixum [2004.05.31 14:23:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Steinberg [2004.11.01 19:05:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\T-DSL SpeedManager [2004.04.27 20:24:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\T-Online [2010.08.31 10:56:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Udusis [2010.07.25 11:54:56 | 000,000,458 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\wmprfDEU.prx:jeyrvz @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\vb.ini:giocbv @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\rxrgs.dat:yhbmxb @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:mvazje @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:kfmynq @Alternate Data Stream - 63488 bytes -> C:\WINDOWS\bootstat.dat:uapwfs @Alternate Data Stream - 63488 bytes -> C:\WINDOWS\Angler.bmp:yujdvz @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\Zapotek.bmp:tchuht @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\WindowsUpdate.log:refmbw @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\stammbaum.INI:fdkntk @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\REGLOCS.OLD:ghigdy @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\hzbum.txt:clbayo @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\explorer.scf:uogcnj @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\euemp.dat:wwviir @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:lfuvxw @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:hkuhty @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:bkdajo @Alternate Data Stream - 11152 bytes -> C:\WINDOWS\Feder.bmp:pxfokb @Alternate Data Stream - 11152 bytes -> C:\WINDOWS\corelpf.lrs:fmaenp @Alternate Data Stream - 11152 bytes -> C:\WINDOWS\_default.pif:pxizrr < End of report > Log2:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 05.09.2010 23:12:39 - Run 1
OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
512,00 Mb Total Physical Memory | 206,00 Mb Available Physical Memory | 40,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,49 Gb Total Space | 26,22 Gb Free Space | 35,20% Space Free | Partition Type: NTFS
Drive D: | 2,22 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: RABY
Current User Name: RK
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDBrowse] -- "C:\Programme\ACD Systems\ACDSee\6.0\ACDSee6.exe" "%1" (ACD Systems Ltd.)
Directory [cmd] -- cmd.exe /k "cd %L" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer -- (Microsoft Corporation)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 21
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0150090}" = J2SE Runtime Environment 5.0 Update 9
"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10
"{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{43B74FAB-FB58-447D-8D3A-5F638AF36FD1}" = Netzmanager
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{63357B67-2EC6-4390-B926-A11D0C962344}_is1" = GENprofi - Stammbaum
"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0
"{7148F0A8-6813-11D6-A77B-00B0D0142060}" = Java 2 Runtime Environment, SE v1.4.2_06
"{76BC2442-0002-47FA-9617-43BAD82BEF4C}" = Bonjour
"{8283FCCD-AC71-4DC1-A81E-4F244FBBE11D}" = T-Online 5.0
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD
"{996A2FAA-7514-4628-9D12-A8FC34A0016E}" = iTunes
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9CA74E7D-CA06-4A5C-9851-83D15B7B4D59}" = Pinnacle InstantCD/DVD Suite
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{AC76BA86-7AD7-5670-0000-900000000003}" = Korean Fonts Support For Adobe Reader 9
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B5C3B892-0849-476C-9F46-B12F84819D57}" = Apple Mobile Device Support
"{B71E1204-64DA-4F27-987C-44B98067734A}" = ACDSee 6.0 Standard Trial
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE325D55-FCAF-4273-BB79-069BB8747270}" = TomTom HOME
"{CFE78643-3CDB-46EF-9677-795415937ABB}" = CorelDRAW ESSENTIALS
"{DF403CD5-0374-4380-92C2-21A3EB72068B}_is1" = GX::Transcoder.net AWE
"{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EDDDC607-91D9-4758-9F57-265FDCD8A772}" = Microsoft Works 7.0
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{FB26A501-6BA6-459B-89AA-9736730752FB}" = VoiceOver Kit
"7-Zip" = 7-Zip 4.42
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Advanced WMA Workshop_is1" = Advanced WMA Workshop version 2.2
"Ahnenblatt" = Ahnenblatt
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"cam2pc" = cam2pc (remove only)
"Cam4you utilities" = Cam4you utilities
"CCleaner" = CCleaner
"dBpowerAMP Music Converter" = dBpowerAMP Music Converter
"ExtractNow_is1" = ExtractNow
"FileSync" = FileSync
"FileZilla" = FileZilla (remove only)
"GedLink Editor Installation" = GedLink Editor Installation
"HD Tune_is1" = HD Tune 2.55
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.11)" = Mozilla Firefox (3.5.11)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero OEM
"Nero BurnRights!UninstallKey" = Ahead Nero BurnRights
"NeroBackItUp!UninstallKey" = Nero BackItUp
"NeroVision!UninstallKey" = NeroVision Express 2 SE
"Netzmanager" = Netzmanager
"PixelNet Foto Client" = PixelNet Foto Client 4.8
"Pixum EasyPrint" = Pixum EasyPrint 1.2
"RealPlayer 6.0" = RealPlayer
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.4
"ST5UNST #1" = FreeFTP
"Stammbaum-Drucker 3" = Stammbaum-Drucker 3
"StS-Börse" = StS-Börse
"TDSLSM" = T-DSL SpeedManager
"The Panorama Factory" = Panorama Factory
"T-Online Copas" = T-Online Copas
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinGimp-2.0_is1" = The GIMP 2.2.9
"WinGTK-2_is1" = GTK+ 2.6.9 runtime environment
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 09.08.2010 12:33:46 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 69281812
Error - 09.08.2010 12:33:46 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 69281812
Error - 09.08.2010 12:33:48 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
Error - 09.08.2010 12:33:48 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 69284031
Error - 09.08.2010 12:33:48 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 69284031
Error - 09.08.2010 12:33:50 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
Error - 09.08.2010 12:33:50 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 69286218
Error - 09.08.2010 12:33:50 | Computer Name = RABY | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 69286218
Error - 31.08.2010 09:46:57 | Computer Name = RABY | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei F:\DCIM\101MSDCF\DSC02665.JPG.
[ACCESS_VIOLATION Exception!! EIP = 0x1a71188] Bitte Avira informieren und die
obige Datei übersenden!
Error - 31.08.2010 09:49:42 | Computer Name = RABY | Source = Avira AntiVir | ID = 4118
Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei F:\DCIM\101MSDCF\DSC02718.JPG.
[ACCESS_VIOLATION Exception!! EIP = 0x1a71188] Bitte Avira informieren und die
obige Datei übersenden!
[ System Events ]
Error - 31.08.2010 06:25:06 | Computer Name = RABY | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht
gestartet: %%1079
Error - 31.08.2010 12:55:47 | Computer Name = RABY | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst AntiVirSchedulerService.
Error - 31.08.2010 13:53:18 | Computer Name = RABY | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht
gestartet: %%1079
Error - 04.09.2010 12:54:47 | Computer Name = RABY | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.1.3 über die
Netzwerkkarte mit der Netzwerkadresse 000EA6919375 ist verloren gegangen.
Error - 04.09.2010 13:00:52 | Computer Name = RABY | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht
gestartet: %%1079
Error - 05.09.2010 07:42:52 | Computer Name = RABY | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht
gestartet: %%1079
Error - 05.09.2010 13:13:56 | Computer Name = RABY | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht
gestartet: %%1079
Error - 05.09.2010 13:14:23 | Computer Name = RABY | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
IntelIde
Error - 05.09.2010 16:59:14 | Computer Name = RABY | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht
gestartet: %%1079
Error - 05.09.2010 16:59:41 | Computer Name = RABY | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
IntelIde
< End of report >
|
|
06.09.2010, 07:43
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Log von Malwarebytes, Trojaner Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL
O4 - HKLM..\Run: [FirstSteps] File not found
O4 - HKLM..\Run: [NWEReboot] File not found
O4 - HKLM..\Run: [Wizard] File not found
O4 - HKCU..\Run: [Getdo] File not found
O4 - HKCU..\Run: [Msmfc] C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\trayinx.exe ()
[2005.06.16 21:56:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ujbnb.dll
[2005.06.16 08:45:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\netuo.dll
[2005.06.14 09:37:31 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ztwms.dll
[2005.06.10 23:20:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\qruwi.dll
[2005.06.10 14:56:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ntwf.dll
[2005.06.06 13:14:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\netti.dll
[2005.06.04 05:36:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\iejg32.dll
[2010.08.31 10:56:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Udusis
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\wmprfDEU.prx:jeyrvz
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\vb.ini:giocbv
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\rxrgs.dat:yhbmxb
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:mvazje
@Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:kfmynq
@Alternate Data Stream - 63488 bytes -> C:\WINDOWS\bootstat.dat:uapwfs
@Alternate Data Stream - 63488 bytes -> C:\WINDOWS\Angler.bmp:yujdvz
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\Zapotek.bmp:tchuht
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\WindowsUpdate.log:refmbw
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\stammbaum.INI:fdkntk
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\REGLOCS.OLD:ghigdy
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\hzbum.txt:clbayo
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\explorer.scf:uogcnj
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\euemp.dat:wwviir
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:lfuvxw
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:hkuhty
@Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:bkdajo
@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\Feder.bmp:pxfokb
@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\corelpf.lrs:fmaenp
@Alternate Data Stream - 11152 bytes -> C:\WINDOWS\_default.pif:pxizrr
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ --> Log von Malwarebytes, Trojaner |
|
06.09.2010, 17:30
| #7 |
| | Log von Malwarebytes, Trojaner tnx cosinus ! hier nach dem OTL-Fix das Log: All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\FirstSteps deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NWEReboot deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Wizard deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Getdo deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Msmfc deleted successfully. C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\trayinx.exe moved successfully. C:\WINDOWS\ujbnb.dll moved successfully. C:\WINDOWS\netuo.dll moved successfully. C:\WINDOWS\ztwms.dll moved successfully. C:\WINDOWS\system32\qruwi.dll moved successfully. C:\WINDOWS\system32\ntwf.dll moved successfully. C:\WINDOWS\system32\netti.dll moved successfully. C:\WINDOWS\system32\iejg32.dll moved successfully. C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Udusis folder moved successfully. ADS C:\WINDOWS\wmprfDEU.prx:jeyrvz deleted successfully. ADS C:\WINDOWS\vb.ini:giocbv deleted successfully. ADS C:\WINDOWS\rxrgs.dat:yhbmxb deleted successfully. ADS C:\WINDOWS\_default.pif:mvazje deleted successfully. ADS C:\WINDOWS\_default.pif:kfmynq deleted successfully. ADS C:\WINDOWS\bootstat.dat:uapwfs deleted successfully. ADS C:\WINDOWS\Angler.bmp:yujdvz deleted successfully. ADS C:\WINDOWS\Zapotek.bmp:tchuht deleted successfully. ADS C:\WINDOWS\WindowsUpdate.log:refmbw deleted successfully. ADS C:\WINDOWS\stammbaum.INI:fdkntk deleted successfully. ADS C:\WINDOWS\REGLOCS.OLD:ghigdy deleted successfully. ADS C:\WINDOWS\hzbum.txt:clbayo deleted successfully. ADS C:\WINDOWS\explorer.scf:uogcnj deleted successfully. ADS C:\WINDOWS\euemp.dat:wwviir deleted successfully. ADS C:\WINDOWS\_default.pif:lfuvxw deleted successfully. ADS C:\WINDOWS\_default.pif:hkuhty deleted successfully. ADS C:\WINDOWS\_default.pif:bkdajo deleted successfully. ADS C:\WINDOWS\Feder.bmp  xfokb deleted successfully.ADS C:\WINDOWS\corelpf.lrs:fmaenp deleted successfully. ADS C:\WINDOWS\_default.pif xizrr deleted successfully.========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes ->Flash cache emptied: 41 bytes User: LocalService ->Temp folder emptied: 65984 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: remoteservice User: RK ->Temp folder emptied: 167702 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 76321106 bytes ->Flash cache emptied: 1498970 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1075897 bytes %systemroot%\System32 .tmp files removed: 69501768 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 329714 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 142,00 mb OTL by OldTimer - Version 3.2.11.0 log created on 09062010_182355 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
|
06.09.2010, 19:00
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Log von Malwarebytes, Trojaner Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
11.09.2010, 21:41
| #9 |
| | Log von Malwarebytes, Trojaner hallo cosinus, mit etwas Verzögerung wg. Abwesenheit hier nach CCleaner nun der Log von cofi - konnte bei Antivir nur den Guard deaktivieren, irgendwelcher Rest blieb aktiv, auch Dienstekillen war nicht möglich. Hoffe das hat nicht gestört. danke !!! raby Combofix Logfile: Code:
ATTFilter ComboFix 10-09-11.02 - RK 11.09.2010 21:51:51.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.512.231 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\RK\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\Downloaded Program Files\RdxIE.dll
c:\windows\regedit.com
c:\windows\system32\_005866_.tmp.dll
c:\windows\system32\_005867_.tmp.dll
c:\windows\system32\_005868_.tmp.dll
c:\windows\system32\_005869_.tmp.dll
c:\windows\system32\_005876_.tmp.dll
c:\windows\system32\_005877_.tmp.dll
c:\windows\system32\_005878_.tmp.dll
c:\windows\system32\_005879_.tmp.dll
c:\windows\system32\_005881_.tmp.dll
c:\windows\system32\_005882_.tmp.dll
c:\windows\system32\_005885_.tmp.dll
c:\windows\system32\_005886_.tmp.dll
c:\windows\system32\_005888_.tmp.dll
c:\windows\system32\_005889_.tmp.dll
c:\windows\system32\_005890_.tmp.dll
c:\windows\system32\_005892_.tmp.dll
c:\windows\system32\_005894_.tmp.dll
c:\windows\system32\_005895_.tmp.dll
c:\windows\system32\_005896_.tmp.dll
c:\windows\system32\_005900_.tmp.dll
c:\windows\system32\_005901_.tmp.dll
c:\windows\system32\_005903_.tmp.dll
c:\windows\system32\_005904_.tmp.dll
c:\windows\system32\_005906_.tmp.dll
c:\windows\system32\_005907_.tmp.dll
c:\windows\system32\_005908_.tmp.dll
c:\windows\system32\_005909_.tmp.dll
c:\windows\system32\_005910_.tmp.dll
c:\windows\system32\_005911_.tmp.dll
c:\windows\system32\_005912_.tmp.dll
c:\windows\system32\_005915_.tmp.dll
c:\windows\system32\_005916_.tmp.dll
c:\windows\system32\_005917_.tmp.dll
c:\windows\system32\_005918_.tmp.dll
c:\windows\system32\_005919_.tmp.dll
c:\windows\system32\_005924_.tmp.dll
c:\windows\system32\_005926_.tmp.dll
c:\windows\system32\taskmgr.com
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-11 bis 2010-09-11 ))))))))))))))))))))))))))))))
.
2010-09-06 16:23 . 2010-09-06 16:23 -------- d-----w- C:\_OTL
2010-09-05 16:28 . 2010-09-05 16:28 -------- d-----w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Malwarebytes
2010-09-05 16:28 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-05 16:28 . 2010-09-05 16:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-05 16:28 . 2010-09-05 16:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-05 16:28 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-05 11:42 . 2010-09-05 11:42 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-05 11:42 . 2010-09-05 11:42 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2010-09-04 17:44 . 2010-09-11 19:31 -------- d-----w- c:\programme\CCleaner
2010-08-31 09:51 . 2010-09-04 18:17 353760 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-11 19:21 . 2010-05-01 02:07 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-09-05 16:33 . 2008-06-25 05:01 -------- d-----w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Iccooc
2010-09-04 17:52 . 2005-06-13 19:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-04 17:43 . 2004-09-16 18:54 -------- d-----w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Micrografx
2010-09-04 17:06 . 2005-11-20 16:26 222824 ----a-w- c:\dokumente und einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-08-31 15:46 . 2006-02-22 17:44 -------- d-----w- c:\programme\cam2pc
2010-08-31 10:09 . 2004-12-12 17:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-08-31 10:07 . 2004-12-12 17:27 -------- d-----w- c:\programme\Java
2010-08-31 09:56 . 2010-08-08 19:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Netzmanager
2010-08-31 09:43 . 2004-02-15 18:44 85396 ----a-w- c:\windows\system32\perfc007.dat
2010-08-31 09:43 . 2004-02-15 18:44 460664 ----a-w- c:\windows\system32\perfh007.dat
2010-08-09 16:55 . 2010-08-09 16:55 -------- d-----w- c:\programme\MSXML 6.0
2010-08-08 20:19 . 2010-08-08 20:16 -------- d-----w- c:\programme\PixelNet Foto Client
2010-08-08 19:25 . 2010-08-08 18:49 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{290883D4-FF33-4C80-B8FB-E5D5A89C103B}
2010-08-08 19:24 . 2010-08-08 19:24 -------- d-----w- c:\programme\Netzmanager
2010-08-08 19:12 . 2010-08-08 19:12 -------- d-----w- c:\programme\MSBuild
2010-08-08 19:01 . 2010-08-08 19:01 -------- d-----w- c:\programme\Reference Assemblies
2010-08-07 10:27 . 2004-04-27 18:35 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-08-07 10:17 . 2010-08-07 10:17 503808 ----a-w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3b3be4a2-n\msvcp71.dll
2010-08-07 10:17 . 2010-08-07 10:17 499712 ----a-w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3b3be4a2-n\jmc.dll
2010-08-07 10:17 . 2010-08-07 10:17 12800 ----a-w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a9cbbd-n\decora-d3d.dll
2010-08-07 10:17 . 2010-08-07 10:17 61440 ----a-w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a9cbbd-n\decora-sse.dll
2010-08-07 10:17 . 2010-08-07 10:17 348160 ----a-w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3b3be4a2-n\msvcr71.dll
2010-08-02 18:38 . 2005-09-29 19:43 -------- d-----w- c:\programme\Lavasoft
2010-07-25 10:36 . 2005-06-13 19:26 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-07-25 10:30 . 2009-05-21 11:03 -------- d-----w- c:\programme\TeaTimer (Spybot - Search & Destroy)
2010-07-25 10:30 . 2009-05-21 11:03 -------- d-----w- c:\programme\SDHelper (Spybot - Search & Destroy)
2010-07-25 09:50 . 2009-05-21 10:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2010-07-17 03:00 . 2010-05-30 10:52 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-06-14 14:30 . 2004-04-01 12:26 743936 ----a-w- c:\windows\PCHealth\HelpCtr\Binaries\helpsvc.exe
2005-11-17 14:21 . 2005-11-17 14:21 21 ----a-w- c:\programme\AVPersonalAVWIN.INI
2005-06-11 17:24 . 2005-06-11 17:24 21 ----a-w- c:\programme\AntivirAVWIN.INI
1997-09-03 22:00 . 1997-09-03 22:00 311296 ----a-w- c:\programme\Gemeinsame Dateien\msacc8.olb
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"ATIPTA"="c:\ati-cpanel\atiptaxx.exe" [2003-12-12 335872]
"SoundMan"="SOUNDMAN.EXE" [2003-06-10 55296]
"PinnacleDriverCheck"="c:\windows\System32\PSDrvCheck.exe" [2003-11-10 406016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ \0
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-03-25 23:10 142120 ----a-w- c:\programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-17 19:53 421888 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
R0 VOBID;VOBID;c:\windows\system32\drivers\vobid.sys [01.08.2003 14:47 29239]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.09.2009 22:07 135336]
R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [22.03.2010 16:40 9728]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [30.05.2010 13:08 136176]
S3 TNPacket;T-Systems Nova Packet Capture Driver;c:\programme\T-DSL SpeedManager\TNPACKET.SYS [11.03.2004 18:44 9696]
.
Inhalt des "geplante Tasks" Ordners
2010-09-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-30 11:07]
2010-09-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-05-30 11:07]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page =
uInternet Connection Wizard,ShellNext = hxxp://www.t-online.de/service/redir/tosw5_webtour.htm
uInternet Settings,ProxyOverride = *.local
IE: &Google-Suche - c:\programme\google\GoogleToolbar1.dll/cmsearch.html
IE: &Ins Deutsche übersetzen - c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
IE: Im Cache gespeicherte Seite - c:\programme\google\GoogleToolbar1.dll/cmcache.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
IE: Verweisseiten - c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
IE: Ähnliche Seiten - c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} - hxxps://img.web.de/v/fotoalbum/activex/upload_1115.cab
FF - ProfilePath - c:\dokumente und einstellungen\RK\Anwendungsdaten\Mozilla\Firefox\Profiles\yemhtz46.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
Notify-dimsntfy - (no file)
MSConfigStartUp-avserve - c:\windows\avserve.exe
MSConfigStartUp-avserve2 - c:\windows\avserve2.exe
MSConfigStartUp-mfcgc - c:\windows\system32\mfcgc.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-11 22:05
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
c:\windows\_default.pif:udvpin 63488 bytes executable
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(2608)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\System32\locator.exe
c:\windows\SOUNDMAN.EXE
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-11 22:11:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-09-11 20:11
Vor Suchlauf: 24 Verzeichnis(se), 28.222.484.480 Bytes frei
Nach Suchlauf: 25 Verzeichnis(se), 28.152.479.744 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
- - End Of File - - 57F34F10DBAAD69B41DB0FF1F88F61BD
|
|
12.09.2010, 20:54
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Log von Malwarebytes, Trojaner Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.09.2010, 19:54
| #11 |
| | Log von Malwarebytes, Trojaner Hallo Arne, nochmal danke bis hierhin, hier die drei logs (Gmer, Osam, Bootkit Remover): raby GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-13 20:12:15
Windows 5.1.2600 Service Pack 2
Running: 0irm7ig7.exe; Driver: C:\DOKUME~1\RK\LOKALE~1\Temp\ugldrpob.sys
---- System - GMER 1.0.15 ----
SSDT F8C847AE ZwCreateKey
SSDT F8C847A4 ZwCreateThread
SSDT F8C847B3 ZwDeleteKey
SSDT F8C847BD ZwDeleteValueKey
SSDT F8C847C2 ZwLoadKey
SSDT F8C84790 ZwOpenProcess
SSDT F8C84795 ZwOpenThread
SSDT F8C847CC ZwReplaceKey
SSDT F8C847C7 ZwRestoreKey
SSDT F8C847B8 ZwSetValueKey
---- Kernel code sections - GMER 1.0.15 ----
? Combo-Fix.sys Das System kann die angegebene Datei nicht finden. !
? C:\DOKUME~1\RK\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !
? C:\cofi\catchme.sys Das System kann den angegebenen Pfad nicht finden. !
? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. !
? System32\Drivers\hiber_WMILIB.SYS Das System kann den angegebenen Pfad nicht finden. !
---- Files - GMER 1.0.15 ----
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP596\A0080067.ini:njljwe 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080183.ini:esqzwh 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080184.ini:njljwe 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080185.INI:btvvfr 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080185.INI:kgijnp 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080186.ini:iodtch 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080187.ini:xqxmuw 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:aqzcda 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:bprjws 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:ophnyw 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:pbyobc 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:rbohdu 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:udvpin 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083413.INI:kgijnp 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:bprjws 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:ophnyw 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:pbyobc 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:rbohdu 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:udvpin 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:ophnyw 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:pbyobc 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:rbohdu 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:udvpin 63488 bytes executable
ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083434.pif:udvpin 63488 bytes executable
ADS C:\WINDOWS\_default.pif:udvpin 63488 bytes executable
---- EOF - GMER 1.0.15 ----
OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 20:48:38 on 13.09.2010 OS: Windows XP Home Edition Service Pack 2 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.5.11 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "NeroBurnRights.cpl" - "Ahead Software AG" - C:\WINDOWS\system32\NeroBurnRights.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl (File not found) "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "ASAPIW2K" (ASAPIW2K) - "Pinnacle Systems GmbH" - C:\WINDOWS\System32\Drivers\ASAPIW2K.sys "ASPI32" (ASPI32) - ? - C:\WINDOWS\system32\drivers\ASPI32.sys (File not found) "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\cofi\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "mbr" (mbr) - ? - C:\DOKUME~1\RK\LOKALE~1\Temp\mbr.sys (Hidden registry entry, rootkit activity | File not found) "Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys "PCANDIS5 Protocol Driver" (PCANDIS5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\PROGRA~1\T-DSLS~1\PCANDIS5.SYS "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "T-Systems Nova Packet Capture Driver" (TNPacket) - "T-Systems Nova GmbH" - C:\Programme\T-DSL SpeedManager\TNPACKET.SYS "ugldrpob" (ugldrpob) - ? - C:\DOKUME~1\RK\LOKALE~1\Temp\ugldrpob.sys (Hidden registry entry, rootkit activity | File not found) "VOBID" (VOBID) - "Pinnacle Systems" - C:\WINDOWS\System32\DRIVERS\vobid.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - ? - C:\Programme\7-Zip\7-zip.dll {F5D92341-0A64-11D0-9956-0000E8096023} "CD Copy Shell Extension" - "Pinnacle Systems, Inc." - C:\WINDOWS\System32\Shellext\CDWshext.dll {F5D92342-0A64-11D0-9956-0000E8096023} "CD Wizard Shell Extension" - "Pinnacle Systems, Inc." - C:\WINDOWS\System32\Shellext\CDWshext.dll "CorelDRAW ESSENTIALS Shell Extension Component" - ? - (File not found | COM-object registry key not found) {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {FED7043D-346A-414D-ACD7-550D052499A7} "dBpShell Class" - ? - C:\Programme\Illustrate\dBpowerAMP\dBShell.dll {2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5} "dMCIShell Class" - ? - C:\Programme\Illustrate\dBpowerAMP\dMCShell.dll {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll {F5D92344-0A64-11D0-9956-0000E8096023} "InstantWrite Shellextension" - ? - (File not found | COM-object registry key not found) {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll {D9872D13-7651-4471-9EEE-F0A00218BEBB} "Multiscan" - ? - (File not found | COM-object registry key not found) {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )----- {32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "&Google" - "Google Inc." - c:\programme\google\googletoolbar1.dll <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) <binary data> "Yahoo! Toolbar" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} "Upload Control" - "WEB.DE AG" - C:\WINDOWS\DOWNLO~1\upload.ocx / https://img.web.de/v/fotoalbum/activex/upload_1115.cab {17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage" - "Microsoft® Corporation" - C:\WINDOWS\System32\LegitCheckControl.dll / hxxp://go.microsoft.com/fwlink/?linkid=39204 {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? - (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab {9F1C11AA-197B-4942-BA54-47A8489BB47F} "{9F1C11AA-197B-4942-BA54-47A8489BB47F}" - ? - (File not found | COM-object registry key not found) / hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38109.371412037 {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} "{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444500000000} "{D27CDB6E-AE6D-11CF-96B8-444500000000}" - ? - (File not found | COM-object registry key not found) / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? - (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "&Google" - "Google Inc." - c:\programme\google\googletoolbar1.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - c:\programme\google\googletoolbar1.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\RK\Startmenü\Programme\Autostart\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "ATIPTA" - "ATI Technologies, Inc." - C:\ATI-CPanel\atiptaxx.exe "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "PinnacleDriverCheck" - ? - C:\WINDOWS\System32\PSDrvCheck.exe "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Netzmanager Infrastruktur Informationssystem Dienst" (Netzmanager Service) - "Deutsche Telekom AG" - C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe "TSMService" (TSMService) - "T-Systems Nova, Berkom" - C:\Programme\T-DSL SpeedManager\tsmsvc.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.2.0.0 OS Version: Microsoft Windows XP Home Edition Service Pack 2 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`02738a00 Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf Size Device Name MBR Status -------------------------------------------- 74 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit... |
|
13.09.2010, 21:15
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Log von Malwarebytes, Trojaner 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. 2.) Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL) Code:
ATTFilter :Files
C:\WINDOWS\_default.pif:udvpin
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
14.09.2010, 20:04
| #13 |
| | Log von Malwarebytes, Trojaner danke, hier das log: All processes killed ========== FILES ========== File\Folder C:\WINDOWS\_default.pif:udvpin not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: LocalService raby |
|
14.09.2010, 20:50
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Log von Malwarebytes, Trojaner Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
16.09.2010, 19:08
| #15 |
| | Log von Malwarebytes, Trojaner Hi Arne, hier die zwei logs , SASW hat noch was entdeckt und gekillt (aber kritisch ?)): Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4621 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 15.09.2010 22:49:40 mbam-log-2010-09-15 (22-49-40).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 228154 Laufzeit: 3 Stunde(n), 16 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 09/16/2010 at 09:59 AM Application Version : 4.43.1000 Core Rules Database Version : 5516 Trace Rules Database Version: 3328 Scan type : Complete Scan Total Scan Time : 02:48:46 Memory items scanned : 427 Memory threats detected : 0 Registry items scanned : 7315 Registry threats detected : 0 File items scanned : 91090 File threats detected : 3 Trojan.Security Toolbar C:\Dokumente und Einstellungen\RK\Favoriten\Antivirus Test Online.url Rootkit.Agent/Gen-Local C:\PROGRAMME\GXTRANSCODER.NET AWE\ENCODER\OFF.EXE C:\PROGRAMME\GXTRANSCODER.NET AWE\ENCODER\OFR.EXE |
|
| Themen zu Log von Malwarebytes, Trojaner |
| adobe, anti-malware, anweisung, dateien, dokumente, einstellungen, explorer, forum, gesucht, großes, hallo zusammen, laufen, log, malwarebytes, mein log, microsoft, minute, neu, service, software, trojan.agent, trojan.bho, trojan.zbotr.gen, trojane, trojaner, update, version, zusammen |
Linear-Darstellung
