Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TROJANER Ransom.bxra u. EyeStye.N.1969

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.11.2011, 13:52   #1
lyne20
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



Hallo,
ich verwende als Betriebssystem Windows XP und für die Anti-Virus Erkennung: Avira AntiVir.
Dieses Programm hat nun 2 Trojaner (Ransom.bxra und EyeStye.N.1969***)
entdeckt und in die Quarantäne gelegt.
Ist es damit getan oder was muss ich tun.
danke im voraus für dieser Service auf dieser Webseite!
***) es gibt bei "EyeStye" verschiedene Nummern. einige konnte ich bereits
in die Quarantäne legen und sind seitdem nicht mehr aufgetaucht. Es kommt
mir vor, als ob dieser Virus immer andere neue Nummern entwickelt und sich
so am Leben hält.

hier der log-file:

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Mittwoch, 23. November 2011 13:05

Es wird nach 3588348 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : XXXX
Seriennummer : XXXX
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : XXXX

Versionsinformationen:
BUILD.DAT : 10.2.0.732 36208 Bytes 28.09.2011 13:03:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 12:58:39
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 12:58:39
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 12:58:40
LUKERES.DLL : 10.0.0.0 13672 Bytes 27.03.2010 17:42:49
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 12:58:40
AVREG.DLL : 10.3.0.9 88833 Bytes 12.07.2011 09:27:02
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:25:04
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:44:57
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 17:28:04
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 14:26:01
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 14:04:34
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:42:08
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 17:41:31
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 11:27:21
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 11:27:21
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 11:27:21
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 11:27:21
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 11:27:21
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 11:27:21
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 10:21:57
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:21:28
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 14:29:39
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 14:58:30
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 11:59:43
VBASE018.VDF : 7.11.16.77 139264 Bytes 20.10.2011 13:01:33
VBASE019.VDF : 7.11.16.112 162816 Bytes 24.10.2011 11:09:06
VBASE020.VDF : 7.11.16.150 167424 Bytes 26.10.2011 14:40:57
VBASE021.VDF : 7.11.16.187 171520 Bytes 28.10.2011 13:33:50
VBASE022.VDF : 7.11.16.209 190976 Bytes 31.10.2011 10:24:24
VBASE023.VDF : 7.11.16.243 158208 Bytes 02.11.2011 17:11:40
VBASE024.VDF : 7.11.17.21 194560 Bytes 06.11.2011 14:13:07
VBASE025.VDF : 7.11.17.101 202752 Bytes 09.11.2011 16:31:39
VBASE026.VDF : 7.11.17.137 214528 Bytes 11.11.2011 16:28:24
VBASE027.VDF : 7.11.17.154 278528 Bytes 14.11.2011 16:44:55
VBASE028.VDF : 7.11.17.197 175616 Bytes 16.11.2011 16:25:27
VBASE029.VDF : 7.11.17.233 281088 Bytes 20.11.2011 16:18:59
VBASE030.VDF : 7.11.18.10 221696 Bytes 22.11.2011 09:00:46
VBASE031.VDF : 7.11.18.16 14336 Bytes 23.11.2011 10:58:25
Engineversion : 8.2.6.116
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 13:17:52
AESCRIPT.DLL : 8.1.3.86 471420 Bytes 17.11.2011 22:33:49
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 12:16:09
AESBX.DLL : 8.2.1.34 323957 Bytes 01.06.2011 21:05:07
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 09:05:09
AEPACK.DLL : 8.2.13.4 684406 Bytes 10.11.2011 17:09:52
AEOFFICE.DLL : 8.1.2.20 201083 Bytes 17.11.2011 22:33:48
AEHEUR.DLL : 8.1.2.192 3838328 Bytes 17.11.2011 22:33:48
AEHELP.DLL : 8.1.18.0 254327 Bytes 25.10.2011 13:17:50
AEGEN.DLL : 8.1.5.14 405877 Bytes 17.11.2011 22:33:47
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 12:16:08
AECORE.DLL : 8.1.24.0 196983 Bytes 25.10.2011 13:17:50
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 14:10:28
AVWINLL.DLL : 10.0.0.0 19304 Bytes 27.03.2010 17:42:48
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 12:58:39
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 10:43:45
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 12:58:39
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 12:58:39
SQLITE3.DLL : 3.6.19.0 355688 Bytes 27.03.2010 17:42:49
AVSMTP.DLL : 10.0.0.17 63848 Bytes 27.03.2010 17:42:49
NETNT.DLL : 10.0.0.0 11624 Bytes 27.03.2010 17:42:49
RCIMAGE.DLL : 10.0.0.33 2633064 Bytes 28.06.2011 12:58:39
RCTEXT.DLL : 10.0.63.0 98664 Bytes 28.06.2011 12:58:39

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 23. November 2011 13:05

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad++.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'Integrator.exe' - '155' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '372' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\B6232F3A2AD.exe.q_Quarantine_2D3B002_q
[FUND] Ist das Trojanische Pferd TR/Ransom.bxra
C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP501\A0058142.exe
[FUND] Ist das Trojanische Pferd TR/EyeStye.N.1969
Beginne mit der Suche in 'D:\' <SYSTEMNEU>
Beginne mit der Suche in 'E:\' <DATENNEU>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP501\A0058142.exe
[FUND] Ist das Trojanische Pferd TR/EyeStye.N.1969
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4db552c8.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\B6232F3A2AD.exe.q_Quarantine_2D3B002_q
[FUND] Ist das Trojanische Pferd TR/Ransom.bxra
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55207d56.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 23. November 2011 14:33
Benötigte Zeit: 1:27:37 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

33643 Verzeichnisse wurden überprüft
615811 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
615809 Dateien ohne Befall
3874 Archive wurden durchsucht
0 Warnungen
2 Hinweise
433214 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Alt 23.11.2011, 14:17   #2
markusg
/// Malware-holic
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



hi
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
  • Doppelklick auf die
    OTL.exe

    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal
    Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan
    links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 23.11.2011, 15:07   #3
lyne20
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



Hallo,
ich habe mir von der Webseite hxxp://oldtimer.geekstogo.com/OTL.exe
das Programm OTL runtergeladen (Version ist 3.2.31.0)

Hier die beiden Logfiles:
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 23.11.2011 15:27:06 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 2,26 Gb Available Physical Memory | 75,72% Memory free
8,83 Gb Paging File | 8,01 Gb Available in Paging File | 90,75% Paging File free
Paging file location(s): [Binary data over 100 bytes]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 465,75 Gb Total Space | 440,39 Gb Free Space | 94,55% Space Free | Partition Type: NTFS
Drive D: | 17,57 Gb Total Space | 5,36 Gb Free Space | 30,54% Space Free | Partition Type: FAT32
Drive E: | 11,04 Gb Total Space | 11,04 Gb Free Space | 100,00% Space Free | Partition Type: FAT32
Drive F: | 648,54 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: XXXX | User Name: XXXX | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe (TuneUp Software)
PRC - C:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesApp32.exe (TuneUp Software)
PRC - C:\Programme\Avira\AntiVir Desktop\avscan.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Notepad++\notepad++.exe (Don HO don.h@free.fr)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Web-Design\Adobe\Photoshop6.0\Photoshp.exe (Adobe Systems, Incorporated)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
MOD - C:\Programme\Mozilla Firefox\js3250.dll ()
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\Programme\Notepad++\plugins\LightExplorer.dll ()
MOD - C:\Programme\Notepad++\plugins\ComparePlugin.dll ()
MOD - C:\Programme\OpenOffice.org 3\program\libxml2.dll ()
MOD - C:\WINDOWS\system32\nvshell.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU ()
MOD - C:\Programme\Notepad++\plugins\NppNetNote.dll ()
MOD - C:\Programme\Notepad++\plugins\NppExport.dll ()
MOD - C:\Programme\Notepad++\plugins\Config\tidy\libTidy.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) --  File not found
SRV - (AppMgmt) --  File not found
SRV - (TuneUp.UtilitiesSvc) -- C:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe (TuneUp Software)
SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE (Avira GmbH)
SRV - (AntiVirMailService) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (McComponentHostService) -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (TuneUpUtilitiesDrv) -- C:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys (TuneUp Software)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (Ambfilt) -- C:\WINDOWS\system32\drivers\Ambfilt.sys (Creative)
DRV - (SNXPPALX) -- C:\WINDOWS\system32\drivers\snxppalx.sys ()
DRV - (SNXPCARD) -- C:\WINDOWS\system32\drivers\snxpcard.sys ()
DRV - (Monfilt) -- C:\WINDOWS\system32\drivers\Monfilt.sys (Creative Technology Ltd.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.t-online.de"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.6.2
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\3.0.40818.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@octoshape.com/Octoshape Streaming Services,version=1.0: C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Octoshape\Octoshape Streaming Services\sua-1101262-0-npoctoshape.dll (Octoshape ApS)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.06.23 14:01:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.21 17:09:44 | 000,000,000 | ---D | M]
 
[2010.01.19 14:55:05 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Mozilla\Extensions
[2011.07.06 14:20:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\knrbc8qb.default\extensions
[2011.04.13 18:29:03 | 000,000,000 | ---D | M] (Firebug) -- C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\knrbc8qb.default\extensions\firebug@software.joehewitt.com
[2011.07.06 14:20:32 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.05.27 19:11:14 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.05.27 19:11:03 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2010.04.01 17:54:38 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.04.01 17:54:38 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010.04.01 17:54:38 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.04.01 17:54:38 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.04.01 17:54:38 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.11.18 20:54:24 | 000,000,761 | RHS- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [Octoshape Streaming Services] C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\xxxx\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 28
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{2DD1CE24-7AE9-4EF3-B218-94F5C3D3AA9D}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.01.16 15:53:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006.07.20 19:31:46 | 000,000,134 | ---- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2004.10.09 00:07:00 | 000,000,000 | ---D | M] - D:\Auto -- [ FAT32 ]
O32 - AutoRun File - [1996.12.14 10:52:00 | 000,000,063 | R--- | M] () - F:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{c9142074-02b4-11df-b83d-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{c9142074-02b4-11df-b83d-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c9142074-02b4-11df-b83d-806d6172696f}\Shell\AutoRun\command - "" = AUTORUN\AUTORUN.EXE
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.11.23 11:17:28 | 000,031,552 | ---- | C] (TuneUp Software) -- C:\WINDOWS\System32\TURegOpt.exe
[2011.11.23 11:17:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TuneUp Utilities 2012
[2011.11.23 11:17:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\TuneUp Software
[2011.11.23 11:16:55 | 000,000,000 | ---D | C] -- C:\Programme\TuneUp Utilities 2012
[2011.11.23 11:16:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2011.11.23 11:15:55 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2011.11.21 16:12:42 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxxx\Recent
[2011.11.19 16:01:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2011.11.19 16:01:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Security Task Manager
[2011.11.19 16:01:07 | 000,000,000 | ---D | C] -- C:\Programme\Security Task Manager
[2011.11.19 09:26:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.11.23 15:25:01 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.11.23 15:25:00 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.11.23 11:17:26 | 000,001,711 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TuneUp 1-Klick-Wartung.lnk
[2011.11.23 11:17:26 | 000,001,707 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TuneUp Utilities 2012.lnk
[2011.11.23 11:15:34 | 000,000,581 | ---- | M] () -- C:\WINDOWS\PCRAIL.INI
[2011.11.23 10:02:38 | 000,316,924 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.11.23 10:02:38 | 000,311,740 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.11.23 10:02:38 | 000,048,354 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.11.23 10:02:38 | 000,040,128 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.11.23 09:58:22 | 000,235,289 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2011.11.23 09:58:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.11.19 09:26:34 | 000,001,887 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2011.11.18 20:54:24 | 000,000,761 | RHS- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.11.18 14:13:54 | 000,031,552 | ---- | M] (TuneUp Software) -- C:\WINDOWS\System32\TURegOpt.exe
[2011.11.14 09:44:54 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.11.23 11:17:26 | 000,001,711 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TuneUp 1-Klick-Wartung.lnk
[2011.11.23 11:17:26 | 000,001,707 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TuneUp Utilities 2012.lnk
[2011.11.23 11:17:25 | 000,001,713 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TuneUp Utilities 2012.lnk
[2011.11.19 09:26:34 | 000,001,887 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2011.08.20 15:00:00 | 000,000,581 | ---- | C] () -- C:\WINDOWS\PCRAIL.INI
[2010.12.25 02:53:18 | 000,123,392 | ---- | C] () -- C:\WINDOWS\System32\UnCasinoV5DUE.exe
[2010.11.28 21:13:38 | 000,000,152 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2010.11.28 21:13:23 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD-Start.INI
[2010.06.07 23:31:40 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.02.28 21:00:12 | 000,000,026 | ---- | C] () -- C:\WINDOWS\neosetup.INI
[2010.01.20 17:39:26 | 000,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.19 14:54:53 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.01.16 16:09:12 | 000,078,848 | ---- | C] () -- C:\WINDOWS\System32\drivers\snxppalx.sys
[2010.01.16 16:09:12 | 000,054,912 | ---- | C] () -- C:\WINDOWS\System32\drivers\snxpserx.sys
[2010.01.16 16:09:12 | 000,027,136 | ---- | C] () -- C:\WINDOWS\System32\snxprops.dll
[2010.01.16 16:09:12 | 000,017,536 | ---- | C] () -- C:\WINDOWS\System32\drivers\snxpcard.sys
[2010.01.16 16:00:33 | 000,073,728 | R--- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2010.01.16 15:54:51 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.01.16 15:51:18 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.01.16 15:44:55 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.01.16 15:43:46 | 000,107,808 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009.06.10 11:33:00 | 001,580,550 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2009.06.10 08:29:34 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2009.06.10 08:29:34 | 001,657,376 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2009.06.10 08:29:34 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2009.06.10 08:29:34 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2009.06.10 08:29:34 | 000,449,056 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2009.06.10 08:29:34 | 000,436,768 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2009.06.10 08:29:32 | 001,507,328 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2008.04.14 13:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008.04.14 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008.04.14 13:00:00 | 000,316,924 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008.04.14 13:00:00 | 000,311,740 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008.04.14 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008.04.14 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008.04.14 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008.04.14 13:00:00 | 000,048,354 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008.04.14 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008.04.14 13:00:00 | 000,040,128 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008.04.14 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008.04.14 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008.04.14 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008.04.14 13:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008.04.14 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008.04.14 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8
@Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2

< End of report >
         
--- --- ---


----------------------------------------------------------------------------------------------------------

OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 23.11.2011 15:27:06 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 2,26 Gb Available Physical Memory | 75,72% Memory free
8,83 Gb Paging File | 8,01 Gb Available in Paging File | 90,75% Paging File free
Paging file location(s): [Binary data over 100 bytes]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 465,75 Gb Total Space | 440,39 Gb Free Space | 94,55% Space Free | Partition Type: NTFS
Drive D: | 17,57 Gb Total Space | 5,36 Gb Free Space | 30,54% Space Free | Partition Type: FAT32
Drive E: | 11,04 Gb Total Space | 11,04 Gb Free Space | 100,00% Space Free | Partition Type: FAT32
Drive F: | 648,54 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: xxxx | User Name: xxxx| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Neoact\Carom3D\carom.exe" = C:\Program Files\Neoact\Carom3D\carom.exe:*:Enabled:Carom -- (NEOACT)
"C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" = C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe:*:Disabled:Main program for Octoshape client -- (Octoshape ApS)
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{23AAC6D0-43C1-4BC6-8D88-361AA5912FDB}" = PC-Rail 4
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{32364CEA-7855-4A3C-B674-53D8E9B97936}" = TuneUp Utilities 2012
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{B83FC356-B7C0-441F-8A4D-D71E088E7974}" = NVIDIA PhysX
"{c6f845e9-16ab-49b3-8043-a74f034a35ad}" = Slots Oasis
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CE026CFE-73FE-4FED-9D5F-2C8D4DB512B0}" = TuneUp Utilities Language Pack (de-DE)
"{D765F1CE-5AE5-4C47-B134-AE58AC474740}" = OpenOffice.org 3.1
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"6227DDCFEC35A19D1C033203734A00C0723B3F29" = Windows Driver Package - Manufacturer Golden Adapter Driver (12/20/2007 6.4.2.1)
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Premium
"C3AE31D82448618DF06488B9202027413033C20D" = Windows Driver Package - Manufacturer Golden Port Driver (12/20/2007 6.4.2.1)
"Carom3D" = Carom3D
"CCleaner" = CCleaner
"ElsterFormular 11.1.3.3887" = ElsterFormular
"ElsterFormular für Unternehmer 12.2.0.6412u" = ElsterFormular für Unternehmer
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"McAfee Security Scan" = McAfee Security Scan Plus
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"Notepad++" = Notepad++
"NVIDIA Drivers" = NVIDIA Drivers
"PKR" = PKR
"PKRCasino" = PKRCasino
"RAILY 4 SE_is1" = RAILY 4 SE
"Security Task Manager" = Security Task Manager 1.8d
"TuneUp Utilities 2012" = TuneUp Utilities 2012
"VLC media player" = VLC media player 1.1.5
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Octoshape Streaming Services" = Octoshape Streaming Services
"TeXLive2010" = TeX Live 2010
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 16.11.2011 05:16:44 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 16.11.2011 08:25:01 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 16.11.2011 10:25:30 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 17.11.2011 04:31:55 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 17.11.2011 06:33:50 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 18.11.2011 05:50:38 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 18.11.2011 09:26:38 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 19.11.2011 04:19:48 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 19.11.2011 10:27:55 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 19.11.2011 10:46:28 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
[ System Events ]
Error - 19.11.2011 11:10:51 | Computer Name = xxxx | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx  | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx  | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx  | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx  | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx   | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx  | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx |  Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
 
< End of report >
         
--- --- ---
__________________

Alt 23.11.2011, 15:09   #4
markusg
/// Malware-holic
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



sind da noch logs von avira mit weiteren funden?
bitte mal posten, der zeitraum wo deine probleme angefangen haben reicht
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 23.11.2011, 15:28   #5
lyne20
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



hier kein Text


Geändert von lyne20 (23.11.2011 um 15:35 Uhr)

Alt 23.11.2011, 15:33   #6
lyne20
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



Folgende Virus tauchten ebenso einmal ab 16. November auf

-Spy.SpyEyes
-EXP/Pdfka.QB
-TR/Crypt.XPACK.Gen2

diese wurde ebenso in die Quarantäne geschickt - seitdem melden sie sich nicht mehr, bis auf die letztgenannten 'EyeStye' und 'Ransom.bxra'. Ich muss dazu sagen, dass ich auch das Problem habe, dass Verlinkungen bei in GOOGLE eingegebenen Suchbegriffen 1. langsam und 2. nicht immer zielgerichtet sind, d.h. ich werde auf andere Seiten verlinkt (wo ich natrülich aufpasse). Erst beim 2. oder 3. Mal verlinkt Google dann richtig. Dieses Problem taucht sporadisch auf (also nicht jedemal).


HIER die EREIGNISSE ab 16. November aufgezeichnet von AVIRA AntiVir:

16. November:

In der Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP500\A0057920.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/EyeStye.N.1775' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP500\A0057920.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1775' [trojan].
Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c547020.qua' verschoben!

17. November:

In der Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP500\A0057965.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/EyeStye.N.1780' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP500\A0057965.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1780' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c536bd5.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP500\A0058012.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1814' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dee465c.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1YZ4H67\f3ba3[1].pdf'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pdfka.QB' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '06f43317.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP499\A0057888.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.SpyEyes.abdq' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '557969fb.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1YZ4H67\f3ba3[1].pdf'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pdfka.QB' [exploit].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Eine Exception wurde abgefangen!


Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP499\A0057888.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.SpyEyes.abdq' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Eine Instanz der ARK Library läuft bereits.
Die Datei wurde zum Löschen nach einem Neustart markiert.
Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP500\A0058012.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1814' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Eine Exception wurde abgefangen!
Die Datei wurde zum Löschen nach einem Neustart markiert.
Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.



18.November

In der Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP502\A0058223.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/EyeStye.N.1881' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP502\A0058223.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1881' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c500599.qua' verschoben!


In der Datei 'C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temp\5686.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben


Die Datei 'C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temp\5686.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c581941.qua' verschoben!


Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP501\A0058116.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1824' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d811ecd.qua' verschoben!


21. November

In der Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP503\A0058404.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/EyeStye.N.2009' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP503\A0058404.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.2009' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c5cfe62.qua' verschoben!

In der Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP504\A0058418.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Ransom.bxra' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern


Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP504\A0058418.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.bxra' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c5cc8fc.qua' verschoben!


23. November

Die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\B6232F3A2AD.exe.q_Quarantine_2D3B002_q'
enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.bxra' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55207d56.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP501\A0058142.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1969' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4db552c8.qua' verschoben!

Alt 23.11.2011, 15:38   #7
markusg
/// Malware-holic
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



danke
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 23.11.2011, 16:14   #8
lyne20
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



Hallo, ComboFix habe ich durchgeführt. Hier der Logfile. ich hoffe, das hilft weiter.



Combofix Logfile:
Code:
ATTFilter
ComboFix 11-11-23.01 - xxxx 23.11.2011  17:02:35.1.4 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3062.2501 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxxx\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
C:\Recycle.Bin
c:\recycle.bin\D3B6FA6FEFAE31C
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-10-23 bis 2011-11-23  ))))))))))))))))))))))))))))))
.
.
2011-11-23 10:17 . 2011-11-18 13:13	31552	----a-w-	c:\windows\system32\TURegOpt.exe
2011-11-23 10:17 . 2011-11-23 10:17	--------	d-----w-	c:\dokumente und einstellungen\xxxx\Anwendungsdaten\TuneUp Software
2011-11-23 10:16 . 2011-11-23 10:17	--------	d-----w-	c:\programme\TuneUp Utilities 2012
2011-11-23 10:16 . 2011-11-23 10:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2011-11-23 10:15 . 2011-11-23 10:15	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{32364CEA-7855-4A3C-B674-53D8E9B97936}
2011-11-19 15:01 . 2011-11-23 13:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2011-11-19 15:01 . 2011-11-19 15:01	--------	d-----w-	c:\programme\Security Task Manager
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Octoshape Streaming Services"="c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2009-01-08 70936]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-07-20 18670592]
"nwiz"="nwiz.exe" [2009-06-10 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-06-10 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-10 13758464]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\xxxx\Startmenü\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Neoact\\Carom3D\\carom.exe"=
"c:\\Dokumente und Einstellungen\\xxxx\\Anwendungsdaten\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
.
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [21.01.2010 16:27 340136]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.01.2010 16:27 136360]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [21.01.2010 16:27 428200]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe [18.11.2011 14:13 1510720]
R3 SNXPCARD;Golden Series Multiport Adapter Driver;c:\windows\system32\drivers\snxpcard.sys [16.01.2010 16:09 17536]
R3 SNXPPALX;Golden Parallel Port Driver;c:\windows\system32\drivers\snxppalx.sys [16.01.2010 16:09 78848]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys [08.11.2011 21:25 10064]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [15.06.2011 17:05 136176]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [16.01.2010 16:01 1684736]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [15.06.2011 17:05 136176]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 13:49 227232]
S3 MSICDSetup;MSICDSetup;\??\f:\cdriver.sys --> f:\CDriver.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - TUNEUP.UTILITIESSVC
*NewlyCreated* - TUNEUPUTILITIESDRV
.
Inhalt des "geplante Tasks" Ordners
.
2011-11-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-06-15 16:05]
.
2011-11-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-06-15 16:05]
.
.
------- Zusätzlicher Suchlauf -------
.
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\knrbc8qb.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Firebug: firebug@software.joehewitt.com - %profile%\extensions\firebug@software.joehewitt.com
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-11-23 17:04
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
c:\dokume~1\xxxx\LOKALE~1\Temp\catchme.dll 53248 bytes executable
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1177238915-1326574676-682003330-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(980)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2011-11-23  17:05:12
ComboFix-quarantined-files.txt  2011-11-23 16:05
.
Vor Suchlauf: 17 Verzeichnis(se), 473.081.982.976 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 473.155.092.480 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 461FDC84C25004FFAD8C38C463FF90EB
         
--- --- ---

Alt 23.11.2011, 16:31   #9
markusg
/// Malware-holic
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



nutzt du das system für onlinebanking einkäufe oder sonstiges wichtiges wie zb berufliches?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 23.11.2011, 16:45   #10
lyne20
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



Hallo Marcus, ja für onlinebanking, paypal. hier gibt es aber keine Probleme bezüglich Passwortklau. ich weiss immer, dass ich auf der offiziellen Seite bin!

ich passe natürlich auf und mir sind noch keine dubiosen Verlinkungen/Seiten mit Aufforderung zur Eingabe eines Passwortes aufgetaucht. Meine Systemauslastung ist z.Z bei gewöhnlichen 0 % bis 3 % (also alles
im grünen Bereich).

Aber trotzdem stört mich, dass ich bei in Google eingegebenen Suchwörtern manchmal falsch verlinkt werde.
Dort wohin ich dann verlinkt werde, waren bisher immer harmlose Seiten. Trotzdem ist dies ja ein Bug irgendwo.
Und die Google-Suche dauert auch so ca. 2-3 Sekunden, normalerweise spuckt Google doch die Links in Millisekundentakt aus.
irgendetwas verlangsamt das System.

was kann ich noch tun ??

Alt 23.11.2011, 16:54   #11
markusg
/// Malware-holic
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



hi,
1. musst du mal dein onlinebanking sperren lassen, du hast ne malware auf dem pc die onlinebanking daten stiehlt.
notfall nummer:
116 116
dann solltest du das system formatieren, dieses system ist nicht mehr vertrauenswürdig! ich muss mir aber noch etwas ansehen:


download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
lösche niths, nur log posten
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 23.11.2011, 18:16   #12
lyne20
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



das Programm von Kaspersky TDSSKiller führte ich durch:

das Logfile konnte ich nicht kopieren (es ist ein Bild)
daher die Wiederhabe in Textform:

SNXPCARD
(suspicious object - medium risk)

SNXPPALX
(suspicious object - medium risk)

ich werde beide nachher löschen.
dann wieder AVIRA laufen lassen und die anderen Programme.

Alt 23.11.2011, 18:18   #13
markusg
/// Malware-holic
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



nein das wirst du bitte nicht.
das tdss killer log liegt auf c:\
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 23.11.2011, 18:21   #14
lyne20
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



das Bild konnte ich jetzt hochladen, s. anhang
Miniaturansicht angehängter Grafiken
TROJANER   Ransom.bxra  u.   EyeStye.N.1969-kaspersky-tdss-bild-2.jpg  

Alt 23.11.2011, 18:23   #15
lyne20
 
TROJANER   Ransom.bxra  u.   EyeStye.N.1969 - Standard

TROJANER Ransom.bxra u. EyeStye.N.1969



ok, es liegt auf C:
einen Moment...

Antwort

Themen zu TROJANER Ransom.bxra u. EyeStye.N.1969
.dll, avg, avira, csrss.exe, desktop, dllhost.exe, einstellungen, explorer.exe, integrator.exe, log-file, lsass.exe, modul, namen, neue, nt.dll, programm, programme, prozesse, registry, rundll, rundll32.exe, services.exe, svchost.exe, system volume information, trojaner, verweise, wickel, windows, windows xp, winlogon.exe



Ähnliche Themen: TROJANER Ransom.bxra u. EyeStye.N.1969


  1. TR/ EyeStye.B.cfg.44 und mehr
    Log-Analyse und Auswertung - 13.02.2013 (10)
  2. Trojaner eyestye.n
    Plagegeister aller Art und deren Bekämpfung - 08.10.2012 (1)
  3. TR/Ransom.294912 (Antivir) / Trojan-Ransom.Win32.Gimemo.vyp (Kaspersky)
    Log-Analyse und Auswertung - 20.07.2012 (18)
  4. Benötige Hilfe beim Bereinigen vom Trojaner Eyestye
    Plagegeister aller Art und deren Bekämpfung - 14.04.2012 (2)
  5. Trojan.Win32.EyeStye!E2
    Plagegeister aller Art und deren Bekämpfung - 25.03.2012 (3)
  6. TR/EyeStye.B.cfg.48 - config bin
    Log-Analyse und Auswertung - 27.02.2012 (5)
  7. Bankentrojaner? Antivir findet u.a das Trojanische Pferd TR/Ransom.bxra
    Plagegeister aller Art und deren Bekämpfung - 04.01.2012 (19)
  8. Trojanisches Pferd TR/Ransom.bxra
    Log-Analyse und Auswertung - 17.12.2011 (10)
  9. TR/EyeStye.N. 1213
    Plagegeister aller Art und deren Bekämpfung - 31.10.2011 (11)
  10. Malware EyeStye.N.324 - wie schlimm ist es?
    Plagegeister aller Art und deren Bekämpfung - 11.07.2011 (11)
  11. Fund TR/EyeStye.N.519!
    Plagegeister aller Art und deren Bekämpfung - 10.07.2011 (1)
  12. TR/EyeStye.N.526`
    Plagegeister aller Art und deren Bekämpfung - 08.07.2011 (1)
  13. Malware ´TR/EyeStye.N.171´!
    Plagegeister aller Art und deren Bekämpfung - 23.06.2011 (6)
  14. TR/EyeStye.H.163 in C:\moonxxxxxx.exe
    Plagegeister aller Art und deren Bekämpfung - 17.03.2011 (20)
  15. TR/EyeStye.H.210 Verzweiflung-.-
    Log-Analyse und Auswertung - 13.03.2011 (5)
  16. Trojaner :Trojan:Win32/EyeStye.H
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  17. EyeStye.H103 und EyeStye.H104 sowie OpenConnect.AI von antivir gemeldet
    Plagegeister aller Art und deren Bekämpfung - 01.03.2011 (19)

Zum Thema TROJANER Ransom.bxra u. EyeStye.N.1969 - Hallo, ich verwende als Betriebssystem Windows XP und für die Anti-Virus Erkennung: Avira AntiVir. Dieses Programm hat nun 2 Trojaner (Ransom.bxra und EyeStye.N.1969***) entdeckt und in die Quarantäne gelegt. Ist - TROJANER Ransom.bxra u. EyeStye.N.1969...
Archiv
Du betrachtest: TROJANER Ransom.bxra u. EyeStye.N.1969 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.