Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: INFIZIERT mit Rambit.C & Drop.Agent.AB

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.08.2011, 01:30   #1
mundtot
 
INFIZIERT mit Rambit.C & Drop.Agent.AB - Ausrufezeichen

INFIZIERT mit Rambit.C & Drop.Agent.AB



Hallo liebe Experten...

vor geraumer Zeit habe ich mit der Hilfe von AntiVir mehrere Tausend infizierte Dateien auf meinem Rechner gefunden...

Es handelte sich um *.exe, *.dll und *.html Dateien.
Alle *.exe Files habe ich bereits von der Platte entfernt und die *.dll's sind mir nicht wichtig, da ich gerne das System neu aufsetzen würde, mein Problem sind die *.html Dateien, da ich diese UNBEDINGT retten möchte. Es handelt sich nämlich um eigene Projekte von mir, die ich sehr ungern verlieren würde.

Die *.dll und *.html Dateien liegen natürlich in der Quarantäne und seitdem gab es laut AntiVir auch keine neuerlichen Infektionen.

Ich nutze Windows 7.

Nun folge ich mal den Anweisungen und poste die logs:

OTL.txt:
Code:
ATTFilter
OTL logfile created on: 25.08.2011 00:48:21 - Run 1
OTL by OldTimer - Version 3.2.26.5     Folder = C:\Users\Barthuzus\Desktop
 Enterprise Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1014,49 Mb Total Physical Memory | 361,45 Mb Available Physical Memory | 35,63% Memory free
1,99 Gb Paging File | 1,10 Gb Available in Paging File | 55,36% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 24,41 Gb Total Space | 1,44 Gb Free Space | 5,92% Space Free | Partition Type: NTFS
Drive D: | 63,48 Gb Total Space | 45,73 Gb Free Space | 72,04% Space Free | Partition Type: NTFS
Drive E: | 122,07 Gb Total Space | 11,94 Gb Free Space | 9,78% Space Free | Partition Type: NTFS
Drive F: | 22,92 Gb Total Space | 22,62 Gb Free Space | 98,71% Space Free | Partition Type: NTFS
Drive G: | 5,48 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: GOTT | User Name: Barthuzus | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.08.25 00:34:32 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Users\Barthuzus\Desktop\OTL.exe
PRC - [2011.06.06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2011.04.28 09:59:58 | 000,220,552 | ---- | M] (Geek Software GmbH) -- C:\Programme\PDF24\pdf24.exe
PRC - [2011.04.27 17:33:46 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.04.19 12:30:45 | 000,421,032 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
PRC - [2011.04.19 12:30:45 | 000,339,624 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe
PRC - [2011.04.19 12:30:45 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011.04.19 12:30:45 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.03.22 20:37:06 | 000,074,752 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\Winamp\winampa.exe
PRC - [2010.10.29 14:49:28 | 000,505,064 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Common Files\Java\Java Update\jucheck.exe
PRC - [2010.01.14 22:12:14 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.07.14 03:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2009.07.14 03:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2009.07.14 03:14:15 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
PRC - [2002.10.09 02:59:10 | 000,282,624 | ---- | M] ( ) -- C:\Programme\Data Caching\FlashKsk.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.05.22 19:21:36 | 000,093,696 | ---- | M] () -- C:\Programme\FileZilla FTP Client\fzshellext.dll
MOD - [2011.03.02 12:40:51 | 000,140,288 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.06.06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2011.04.27 17:33:46 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.04.19 12:30:45 | 000,421,032 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2011.04.19 12:30:45 | 000,339,624 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2011.04.19 12:30:45 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.07.14 03:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 03:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.04.19 12:30:45 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.04.19 12:30:45 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.07.14 03:19:10 | 000,175,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vmbus.sys -- (vmbus)
DRV - [2009.07.14 03:19:10 | 000,040,896 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\vmstorfl.sys -- (storflt)
DRV - [2009.07.14 03:19:10 | 000,028,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\storvsc.sys -- (storvsc)
DRV - [2009.07.14 01:28:47 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vms3cap.sys -- (s3cap)
DRV - [2009.07.14 01:28:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\VMBusHID.sys -- (VMBusHID)
DRV - [2009.07.14 00:13:48 | 001,035,776 | ---- | M] (LSI Corp) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2009.07.14 00:02:52 | 000,043,008 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.08.20 21:59:01 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.08.20 21:59:01 | 000,000,000 | ---D | M]
 
[2011.04.19 08:33:02 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Barthuzus\AppData\Roaming\mozilla\Extensions
[2011.04.19 09:35:23 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Barthuzus\AppData\Roaming\mozilla\Firefox\Profiles\s33lubdz.default\extensions
[2011.04.28 21:56:53 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.04.28 21:56:53 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.04.19 10:15:11 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
File not found (No name found) -- 
[2011.08.17 09:06:10 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2011.03.22 20:38:12 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\mozilla firefox\plugins\npwachk.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DataCaching] C:\Programme\Data Caching\FlashKsk.exe ( )
O4 - HKLM..\Run: [PDFPrint] C:\Programme\PDF24\pdf24.exe (Geek Software GmbH)
O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe (Nullsoft, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2006.10.05 20:37:38 | 000,000,043 | R--- | M] () - G:\Autorun.inf -- [ UDF ]
O33 - MountPoints2\{6880d850-6a4c-11e0-a2c0-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{6880d850-6a4c-11e0-a2c0-806e6f6e6963}\Shell\AutoRun\command - "" = G:\blank.exe -- [2006.10.05 20:37:38 | 000,022,016 | R--- | M] ()
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias - C:\Windows\System32\ias.dll (Microsoft Corporation)
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.08.25 00:34:22 | 000,580,096 | ---- | C] (OldTimer Tools) -- C:\Users\Barthuzus\Desktop\OTL.exe
[2011.08.23 20:54:13 | 000,000,000 | ---D | C] -- C:\Windows\System32\appmgmt
[2011.08.22 23:17:01 | 000,245,760 | ---- | C] (OnSpec Electronic, Inc.) -- C:\Windows\System32\DMFmt2K.dll
[2011.08.22 23:17:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\USB Card Reader
[2011.08.22 23:17:00 | 000,000,000 | ---D | C] -- C:\Program Files\Format Shell
[2011.08.22 23:16:56 | 000,000,000 | ---D | C] -- C:\Program Files\Data Caching
[2011.08.22 23:16:55 | 000,037,973 | ---- | C] ( ) -- C:\Windows\System32\drivers\GnStor2K.sys
[2011.08.22 23:16:55 | 000,000,000 | ---D | C] -- C:\Program Files\USB Card Reader
[2011.08.22 23:16:25 | 000,000,000 | ---D | C] -- C:\OnSpec
[2011.08.21 10:07:44 | 000,000,000 | ---D | C] -- C:\Users\Barthuzus\Desktop\B-Rich - STILL ALIVE - Mixtape (2011)
[2011.08.20 21:58:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime
[2011.08.20 21:58:17 | 000,000,000 | ---D | C] -- C:\Program Files\QuickTime
[2011.08.20 21:58:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Apple Computer
[2011.08.20 21:57:18 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Apple
[2011.08.20 21:57:06 | 000,000,000 | ---D | C] -- C:\Users\Barthuzus\AppData\Local\Apple
[2011.08.20 21:56:58 | 000,000,000 | ---D | C] -- C:\Program Files\Apple Software Update
[2011.08.20 21:56:58 | 000,000,000 | ---D | C] -- C:\ProgramData\Apple
[2011.08.20 21:35:34 | 000,000,000 | ---D | C] -- C:\Windows\ulead.dat
[2011.08.20 21:20:06 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileZilla FTP Client
[2011.08.20 21:18:19 | 000,000,000 | ---D | C] -- C:\Users\Barthuzus\AppData\Roaming\FileZilla
[2011.08.20 21:17:47 | 000,000,000 | ---D | C] -- C:\Program Files\FileZilla FTP Client
[2011.08.15 01:29:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SEGA
[2011.08.15 01:29:19 | 000,000,000 | ---D | C] -- C:\Program Files\SEGA
[2011.08.15 01:29:07 | 000,000,000 | -H-D | C] -- C:\Program Files\InstallShield Installation Information
[2011.08.15 00:56:37 | 000,000,000 | ---D | C] -- C:\Users\Barthuzus\AppData\Roaming\InstallShield
[2011.08.15 00:55:56 | 000,107,888 | ---- | C] (Sony DADC Austria AG.) -- C:\Windows\System32\CmdLineExt.dll
[2011.08.09 00:18:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Winamp
[2011.08.09 00:18:19 | 000,000,000 | ---D | C] -- C:\Users\Barthuzus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Winamp Erkennungs-Plug-in
[2011.08.09 00:18:18 | 000,000,000 | ---D | C] -- C:\Program Files\Winamp Detect
[2011.08.09 00:17:59 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\PX Storage Engine
[2011.08.09 00:17:54 | 000,000,000 | ---D | C] -- C:\Users\Barthuzus\AppData\Roaming\Winamp
[2011.08.09 00:17:54 | 000,000,000 | ---D | C] -- C:\Program Files\Winamp
 
========== Files - Modified Within 30 Days ==========
 
[2011.08.25 00:46:38 | 000,000,000 | ---- | M] () -- C:\Users\Barthuzus\defogger_reenable
[2011.08.25 00:35:01 | 000,302,592 | ---- | M] () -- C:\Users\Barthuzus\Desktop\7h3yvm5w.exe
[2011.08.25 00:34:32 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Users\Barthuzus\Desktop\OTL.exe
[2011.08.25 00:34:16 | 000,050,477 | ---- | M] () -- C:\Users\Barthuzus\Desktop\Defogger.exe
[2011.08.24 22:14:56 | 000,000,022 | ---- | M] () -- C:\Windows\FLASHKSK.INI
[2011.08.24 22:14:14 | 000,014,944 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.08.24 22:14:14 | 000,014,944 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.08.24 22:06:43 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.08.24 22:06:38 | 797,827,072 | -HS- | M] () -- C:\hiberfil.sys
[2011.08.24 10:06:20 | 000,643,866 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.08.24 10:06:20 | 000,607,190 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.08.24 10:06:20 | 000,126,394 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.08.24 10:06:20 | 000,103,568 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.08.23 20:42:41 | 000,000,012 | -H-- | M] () -- C:\Windows\uce.dat
[2011.08.23 20:41:48 | 000,000,089 | ---- | M] () -- C:\Windows\ulead32.ini
[2011.08.22 23:47:07 | 000,009,310 | ---- | M] () -- C:\Windows\gncache.ini
[2011.08.22 23:17:01 | 000,004,641 | ---- | M] () -- C:\Windows\System32\GNUSBPDR.INI
[2011.08.20 22:52:47 | 000,281,527 | ---- | M] () -- C:\Users\Barthuzus\Desktop\a8m2c9vz.jpg
[2011.08.15 00:55:56 | 000,107,888 | ---- | M] (Sony DADC Austria AG.) -- C:\Windows\System32\CmdLineExt.dll
[2011.07.27 19:40:02 | 001,199,182 | ---- | M] () -- C:\Users\Barthuzus\Desktop\Fragebogen_Bewerber_.pdf
 
========== Files Created - No Company Name ==========
 
[2011.08.25 00:46:38 | 000,000,000 | ---- | C] () -- C:\Users\Barthuzus\defogger_reenable
[2011.08.25 00:34:49 | 000,302,592 | ---- | C] () -- C:\Users\Barthuzus\Desktop\7h3yvm5w.exe
[2011.08.25 00:34:13 | 000,050,477 | ---- | C] () -- C:\Users\Barthuzus\Desktop\Defogger.exe
[2011.08.22 23:27:06 | 000,086,016 | ---- | C] () -- C:\Windows\System32\lxalih.exe
[2011.08.22 23:27:06 | 000,000,446 | ---- | C] () -- C:\Windows\System32\lxal.loc
[2011.08.22 23:17:02 | 000,000,022 | ---- | C] () -- C:\Windows\FLASHKSK.INI
[2011.08.22 23:17:00 | 000,000,769 | ---- | C] () -- C:\Windows\GNFORMAT.INI
[2011.08.22 23:16:56 | 000,013,312 | ---- | C] () -- C:\Windows\System32\DEVLOAD.EXE
[2011.08.22 23:16:56 | 000,009,310 | ---- | C] () -- C:\Windows\gncache.ini
[2011.08.22 23:16:56 | 000,004,608 | ---- | C] () -- C:\Windows\DelShell.exe
[2011.08.22 23:16:55 | 000,002,204 | ---- | C] () -- C:\Windows\System32\drivers\UNINST2K.SYS
[2011.08.22 23:16:54 | 000,004,641 | ---- | C] () -- C:\Windows\System32\GNUSBPDR.INI
[2011.08.20 22:52:45 | 000,281,527 | ---- | C] () -- C:\Users\Barthuzus\Desktop\a8m2c9vz.jpg
[2011.08.20 21:57:01 | 000,002,519 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk
[2011.08.20 21:35:36 | 000,000,012 | -H-- | C] () -- C:\Windows\uce.dat
[2011.08.20 21:35:34 | 000,000,089 | ---- | C] () -- C:\Windows\ulead32.ini
[2011.07.27 19:40:02 | 001,199,182 | ---- | C] () -- C:\Users\Barthuzus\Desktop\Fragebogen_Bewerber_.pdf
[2011.07.01 20:18:23 | 000,040,960 | ---- | C] () -- C:\Windows\System32\INSTMON.EXE
[2011.07.01 20:18:22 | 000,077,824 | ---- | C] () -- C:\Windows\System32\lxallcnp.dll
[2009.07.14 11:04:11 | 000,643,866 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009.07.14 11:04:11 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009.07.14 11:04:11 | 000,126,394 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009.07.14 11:04:11 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 06:33:53 | 000,292,696 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009.07.14 04:05:48 | 000,607,190 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009.07.14 04:05:48 | 000,103,568 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009.07.14 02:19:49 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009.07.14 01:15:05 | 000,668,160 | ---- | C] () -- C:\Windows\System32\autochk.exe
[2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
 
========== LOP Check ==========
 
[2011.08.20 22:17:02 | 000,000,000 | ---D | M] -- C:\Users\Barthuzus\AppData\Roaming\FileZilla
[2011.04.29 19:31:22 | 000,000,000 | ---D | M] -- C:\Users\Barthuzus\AppData\Roaming\OpenOffice.org
[2011.08.11 07:51:12 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011.04.19 08:23:51 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin
[2011.04.19 09:14:42 | 000,000,000 | -HSD | M] -- C:\Boot
[2009.07.14 06:53:55 | 000,000,000 | -HSD | M] -- C:\Documents and Settings
[2011.04.19 08:23:19 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen
[2011.08.22 23:17:08 | 000,000,000 | ---D | M] -- C:\OnSpec
[2009.07.14 04:37:05 | 000,000,000 | ---D | M] -- C:\PerfLogs
[2011.08.23 20:54:09 | 000,000,000 | R--D | M] -- C:\Program Files
[2011.08.20 21:58:17 | 000,000,000 | -H-D | M] -- C:\ProgramData
[2011.04.19 08:23:19 | 000,000,000 | -HSD | M] -- C:\Programme
[2011.04.19 08:23:19 | 000,000,000 | -HSD | M] -- C:\Recovery
[2011.08.25 00:51:08 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.04.19 08:23:36 | 000,000,000 | R--D | M] -- C:\Users
[2011.08.22 23:27:09 | 000,000,000 | ---D | M] -- C:\Windows
 
< %PROGRAMFILES%\*.exe >
 
< %LOCALAPPDATA%\*.exe >
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: EXPLORER.EXE  >
[2009.07.14 03:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\explorer.exe
[2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe
[2009.08.03 07:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe
[2009.08.03 07:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe
[2009.10.31 08:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2009.07.14 03:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\regedit.exe
[2009.07.14 03:14:30 | 000,398,336 | ---- | M] (Microsoft Corporation) MD5=8A4883F5E7AC37444F23279239553878 -- C:\Windows\winsxs\x86_microsoft-windows-registry-editor_31bf3856ad364e35_6.1.7600.16385_none_f4050b883d2c3c08\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\System32\userinit.exe
[2009.07.14 03:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe
 
< MD5 for: WININIT.EXE  >
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\System32\wininit.exe
[2009.07.14 03:14:45 | 000,096,256 | ---- | M] (Microsoft Corporation) MD5=B5C5DCAD3899512020D135600129D665 -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.1.7600.16385_none_30c90ef265a43c13\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\System32\winlogon.exe
[2009.10.28 08:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe
[2009.10.28 07:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe
[2009.07.14 03:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-06-05 09:19:57
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 147 bytes -> C:\ProgramData\TEMP:6B9ADB51

< End of report >
         
OTL Extras:
Code:
ATTFilter
OTL Extras logfile created on: 25.08.2011 00:48:21 - Run 1
OTL by OldTimer - Version 3.2.26.5     Folder = C:\Users\Barthuzus\Desktop
 Enterprise Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1014,49 Mb Total Physical Memory | 361,45 Mb Available Physical Memory | 35,63% Memory free
1,99 Gb Paging File | 1,10 Gb Available in Paging File | 55,36% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 24,41 Gb Total Space | 1,44 Gb Free Space | 5,92% Space Free | Partition Type: NTFS
Drive D: | 63,48 Gb Total Space | 45,73 Gb Free Space | 72,04% Space Free | Partition Type: NTFS
Drive E: | 122,07 Gb Total Space | 11,94 Gb Free Space | 9,78% Space Free | Partition Type: NTFS
Drive F: | 22,92 Gb Total Space | 22,62 Gb Free Space | 98,71% Space Free | Partition Type: NTFS
Drive G: | 5,48 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: GOTT | User Name: Barthuzus | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02A10468-2F1C-447C-AD8E-4DEDDEA25AE2}" = Medieval II Total War : Kingdoms : Crusades
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java(TM) 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java(TM) 6 Update 24
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{6A3F9D74-BB80-4451-8CA1-4B3A857F1359}" = Apple Application Support
"{75983B66-804C-40D1-BA13-64DAF652A6F1}" = Medieval II Total War : Kingdoms : Americas
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{7AEE1963-7001-4C37-BC20-2FAEB74AA41C}" = Medieval II Total War : Kingdoms : Teutonic
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator 3.0.0
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Deutsch
"{C0698BDA-0D29-40EE-8570-A31106DF9AB1}" = Medieval II Total War
"{C9E14402-3631-4182-B377-6B0DFB1C0339}" = QuickTime
"{CEDDEE73-3D36-41C2-AA40-29355D9FBD63}" = Medieval II Total War : Kingdoms : Britannia
"1489-3350-5074-6281" = JDownloader 0.9
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Premium
"Easy CD-DA Extractor 15" = Easy CD-DA Extractor 15
"FileZilla Client" = FileZilla Client 3.5.0
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"Mozilla Firefox 6.0 (x86 de)" = Mozilla Firefox 6.0 (x86 de)
"USB Card Reader V1.10" = USB Card Reader
"Winamp" = Winamp
"WinRAR archiver" = WinRAR 4.00 (32-Bit)
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Winamp Detect" = Winamp Erkennungs-Plug-in
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 13.08.2011 04:02:03 | Computer Name = GOTT | Source = SideBySide | ID = 16842787
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\easy
 cd-da extractor 15\register64.exe". Fehler in Manifest- oder Richtliniendatei "c:\program
 files\easy cd-da extractor 15\Microsoft.VC90.CRT.MANIFEST" in Zeile  11.  Die im 
Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente
 überein.  Verweis: Microsoft.VC90.CRT,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8".
Definition:
 Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8".
Verwenden
 Sie das Programm "sxstrace.exe" für eine detaillierte Diagnose.
 
Error - 14.08.2011 19:28:55 | Computer Name = GOTT | Source = VSS | ID = 8194
Description = 
 
Error - 15.08.2011 14:08:30 | Computer Name = GOTT | Source = Application Hang | ID = 1002
Description = Programm winamp.exe, Version 5.6.1.3133 kann nicht mehr unter Windows
 ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: b7c    Startzeit: 
01cc5b6bff5a38ee    Endzeit: 356    Anwendungspfad: C:\Program Files\Winamp\winamp.exe    Berichts-ID:
 91b955b9-c769-11e0-be6e-000fb0d529ff  
 
Error - 16.08.2011 12:10:44 | Computer Name = GOTT | Source = SideBySide | ID = 16842787
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\easy
 cd-da extractor 15\register64.exe". Fehler in Manifest- oder Richtliniendatei "c:\program
 files\easy cd-da extractor 15\Microsoft.VC90.CRT.MANIFEST" in Zeile  11.  Die im 
Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente
 überein.  Verweis: Microsoft.VC90.CRT,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8".
Definition:
 Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8".
Verwenden
 Sie das Programm "sxstrace.exe" für eine detaillierte Diagnose.
 
Error - 17.08.2011 05:09:48 | Computer Name = GOTT | Source = SideBySide | ID = 16842787
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\easy
 cd-da extractor 15\register64.exe". Fehler in Manifest- oder Richtliniendatei "c:\program
 files\easy cd-da extractor 15\Microsoft.VC90.CRT.MANIFEST" in Zeile  11.  Die im 
Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente
 überein.  Verweis: Microsoft.VC90.CRT,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8".
Definition:
 Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8".
Verwenden
 Sie das Programm "sxstrace.exe" für eine detaillierte Diagnose.
 
Error - 20.08.2011 15:34:58 | Computer Name = GOTT | Source = VSS | ID = 8194
Description = 
 
Error - 22.08.2011 14:04:48 | Computer Name = GOTT | Source = SideBySide | ID = 16842787
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\easy
 cd-da extractor 15\register64.exe". Fehler in Manifest- oder Richtliniendatei "c:\program
 files\easy cd-da extractor 15\Microsoft.VC90.CRT.MANIFEST" in Zeile  11.  Die im 
Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente
 überein.  Verweis: Microsoft.VC90.CRT,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8".
Definition:
 Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8".
Verwenden
 Sie das Programm "sxstrace.exe" für eine detaillierte Diagnose.
 
Error - 23.08.2011 03:00:35 | Computer Name = GOTT | Source = SideBySide | ID = 16842787
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\easy
 cd-da extractor 15\register64.exe". Fehler in Manifest- oder Richtliniendatei "c:\program
 files\easy cd-da extractor 15\Microsoft.VC90.CRT.MANIFEST" in Zeile  11.  Die im 
Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente
 überein.  Verweis: Microsoft.VC90.CRT,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8".
Definition:
 Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8".
Verwenden
 Sie das Programm "sxstrace.exe" für eine detaillierte Diagnose.
 
Error - 23.08.2011 14:42:04 | Computer Name = GOTT | Source = VSS | ID = 8194
Description = 
 
Error - 23.08.2011 19:00:05 | Computer Name = GOTT | Source = SideBySide | ID = 16842787
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\easy
 cd-da extractor 15\register64.exe". Fehler in Manifest- oder Richtliniendatei "c:\program
 files\easy cd-da extractor 15\Microsoft.VC90.CRT.MANIFEST" in Zeile  11.  Die im 
Manifest gefundene Komponenten-ID stimmt nicht mit der ID der angeforderten Komponente
 überein.  Verweis: Microsoft.VC90.CRT,processorArchitecture="amd64",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8".
Definition:
 Microsoft.VC90.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="9.0.21022.8".
Verwenden
 Sie das Programm "sxstrace.exe" für eine detaillierte Diagnose.
 
[ System Events ]
Error - 16.08.2011 12:08:55 | Computer Name = GOTT | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 17.08.2011 08:05:19 | Computer Name = GOTT | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
 von Dienst ShellHWDetection erreicht.
 
Error - 17.08.2011 16:13:22 | Computer Name = GOTT | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 19.08.2011 13:06:43 | Computer Name = GOTT | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
 von Dienst ShellHWDetection erreicht.
 
Error - 19.08.2011 17:33:42 | Computer Name = GOTT | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
 von Dienst Netman erreicht.
 
Error - 20.08.2011 06:48:59 | Computer Name = GOTT | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 23.08.2011 12:03:52 | Computer Name = GOTT | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 23.08.2011 19:09:52 | Computer Name = GOTT | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 24.08.2011 09:44:02 | Computer Name = GOTT | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
 von Dienst IPBusEnum erreicht.
 
Error - 24.08.2011 09:44:11 | Computer Name = GOTT | Source = DCOM | ID = 10010
Description = 
 
 
< End of report >
         
Gmer Txt:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-25 01:19:33
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 Hitachi_HTS723225L9SA62 rev.FCDAC40B
Running: 7h3yvm5w.exe; Driver: C:\Users\BARTHU~1\AppData\Local\Temp\pgddqpow.sys


---- System - GMER 1.0.15 ----

SSDT            8B8A8053                                ZwLoadDriver
SSDT            8B8A8058                                ZwSetSystemInformation
SSDT            8B8A8017                                ZwTerminateProcess
SSDT            8B8A8012                                ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13BD         8287C569 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2  828A1092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!RtlSidHashLookup + 45C     828A8A6C 4 Bytes  [53, 80, 8A, 8B]
.text           ntkrnlpa.exe!RtlSidHashLookup + 768     828A8D78 4 Bytes  [58, 80, 8A, 8B]
.text           ntkrnlpa.exe!RtlSidHashLookup + 7B8     828A8DC8 4 Bytes  [17, 80, 8A, 8B]
.text           ntkrnlpa.exe!RtlSidHashLookup + 82C     828A8E3C 4 Bytes  [12, 80, 8A, 8B]

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000047       halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1  rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2  rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3  rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4  rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
Ich hoffe auf eure Hilfe und schonmal Danke im Vorraus..

LG mundtot

Alt 25.08.2011, 22:05   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
INFIZIERT mit Rambit.C & Drop.Agent.AB - Standard

INFIZIERT mit Rambit.C & Drop.Agent.AB



Hast du jetzt schon neu aufgesetzt oder ist das noch das bereinigte System?
Die Dateien würde ich nach Möglichkeit immer von einem Live-System wie Knoppix oder Ubuntu aus sichern, denn aktive Schädlinge können den Backupprozess negativ beeinflussen.
VOR dem Zurückspielen der (HTML-)Dateien am besten mit Malwarebytes, ESET und dem lokal installierten Virenscanner (AntiVir/Avast oder MSE) scannen und falls was Virulentes gefunden wird repararieren lassen. 100% Sicherheit gibt es aber bekanntlich nicht

Hier noch ne Anleitung zu ESET, ist ein OnlineScanner, der nicht installiert wird. Falls du für dei Live-CD eine Anleitung brauchst, sag Bescheid.


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________

__________________

Antwort

Themen zu INFIZIERT mit Rambit.C & Drop.Agent.AB
32-bit, adobe, alternate, antivir, autorun, avg, avira, c:\windows\system32\rundll32.exe, defender, error, fehler, firefox, flash player, format, ftp, infizierte dateien, install.exe, installation, jdownloader, locker, logfile, neu aufsetzen, problem, realtek, registry, richtlinie, rundll, scan, schattenkopien, security, software, start menu, system, system neu, system neu aufsetzen, usb, webcheck, windows



Ähnliche Themen: INFIZIERT mit Rambit.C & Drop.Agent.AB


  1. Tr drop agent
    Log-Analyse und Auswertung - 25.01.2015 (9)
  2. TR/Ransom.Blocker EXP/Java.HLP.FW TR/Drop.Dapato.cdtt PC infiziert
    Log-Analyse und Auswertung - 29.06.2013 (34)
  3. TR/Agent.379392.F, TR/Drop.Agent.dil, TR/Crypt.ZPACK.Gen2 bei AntiVir gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.12.2011 (43)
  4. Avirafund: TR/Drop.Agent.cxpr, JAVA/Agent.A, JAVA/Rowindal.C und andere
    Plagegeister aller Art und deren Bekämpfung - 14.09.2010 (25)
  5. Drop Agent
    Plagegeister aller Art und deren Bekämpfung - 11.10.2009 (0)
  6. Drop.Agent.gna.2
    Log-Analyse und Auswertung - 15.09.2009 (7)
  7. TR/Drop.Agent.wle
    Plagegeister aller Art und deren Bekämpfung - 05.06.2009 (4)
  8. drop agent gna 2
    Log-Analyse und Auswertung - 19.05.2009 (9)
  9. TR/Crypt.XPACK.Gen'/ TR/Drop.Agent.qkm/ TR/Drop.Mudr.CY.305...alles seit heut morgen!
    Plagegeister aller Art und deren Bekämpfung - 06.04.2009 (8)
  10. TR/Drop.Agent.age
    Plagegeister aller Art und deren Bekämpfung - 15.01.2009 (14)
  11. Trojanerfund Drop.Agent.dgo.8 und Drop.Agent.dgo.21
    Log-Analyse und Auswertung - 03.01.2008 (5)
  12. Infiziert mit: Trojanisches Pferd: TR/Drop.Zlob.AEB - Noob
    Plagegeister aller Art und deren Bekämpfung - 11.08.2007 (3)
  13. TR/Drop.Agent.SB
    Plagegeister aller Art und deren Bekämpfung - 01.02.2007 (1)
  14. TR/Drop.Agent.ams
    Plagegeister aller Art und deren Bekämpfung - 04.06.2006 (5)
  15. TR/drop.Agent.aac
    Plagegeister aller Art und deren Bekämpfung - 28.05.2006 (1)
  16. TR/Drop.Agent.PA.1
    Plagegeister aller Art und deren Bekämpfung - 09.07.2005 (4)
  17. TR\Drop.Agent.Ar
    Log-Analyse und Auswertung - 14.11.2004 (3)

Zum Thema INFIZIERT mit Rambit.C & Drop.Agent.AB - Hallo liebe Experten... vor geraumer Zeit habe ich mit der Hilfe von AntiVir mehrere Tausend infizierte Dateien auf meinem Rechner gefunden... Es handelte sich um *.exe, *.dll und *.html Dateien. - INFIZIERT mit Rambit.C & Drop.Agent.AB...
Archiv
Du betrachtest: INFIZIERT mit Rambit.C & Drop.Agent.AB auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.