Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.08.2012, 20:43   #1
Schnuddel
 
rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite - Standard

rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite



Hallo ihr (hoffentlich meine Helden in Spe),

zunächste sage ich gleich vorweg: Ich bin ein totaler Depp was sowas hier angeht und versuche wirklich mein Bestes, wenn es darum geht alles möglichst exakt zu beschreiben. Nehmt mir bitte komische Umschreibungen nicht übel, wenn ich einen "Fachbegriff" nicht kenne.

Ich fang mal ganz von vorne an, Mitte Juli hatte ich den BND Trojaner, habe den mithilfe eines Freundes entfernt und danach Malwarebytes drüber laufen lassen, es schien alles sauber zu sein, ich hatte weder seltsame Prozesse im Task Manager noch irgendwelche anderen Probleme. Vor ein paar Tagen fing mein Anti-Werbung Addon plötzlich an Werbeseiten nicht mehr zu blocken, wollte mich am Wochenende darum kümmern, doch gestern Nacht machte sich eine Werbeseite auf und Antivir schlug an, habe die Datei erst in Quarantäne verschoben, dann gelöscht. Dann habe ich nochmal Malewarebytes durchlaufen lassen, der fand vier verdächtige Dateien, die er als wenig gefährlich einstufte, die ich dann ebenfalls gelöscht habe. Habe noch nen Scan durchgeführt, es gab keine Funde. Dann habe ich sicherheitshalber nochmal Antivir scannen lassen (ich habe immer nur einen Scanner laufen lassen und das jeweils andere Programm dann beendet) und der piepte plötzlich wie verrückt los und fand einige Dateien, die ich wieder gelöscht habe, dann musst ich ins Bett. Als ich heute Abend den Rechner angemacht habe, öffnete sich der Internet Explorer immer mit einer leeren Seite (ich benutze auf dem Rechner schon immer standardmäßig Firefox). Habe angefangen zu googeln und alles was ich in Foren fand klang nach Malware. Ich muss dazu sagen, dass ich momentan total unter Stress stehe, ich muss für eine unglaublich wichtige Prüfung lernen und brauche den Rechner mitsamt Internet. Ich hab dann Antivir nochmal scannen lassen, während ich weiter Foren durchforstet habe. Habe dann im Task Manager nach verdächtigen Prozessen geguckt und fand auch z.B. rundll32.exe , die Prozesse lassen sich nicht beenden. Antivir lief dann schon 2 Stunden und hat sich immer wieder aufgehängt, dann hab ich auf Anraten eines Bekannten Adaware installiert und scannen lassen, der zeigte 4 verdächtige Funde und scannte auch 2 Stunden und kein Ende war in Sicht. Nun habe ich mich an die Anleitung hier im Forum gehalten und hänge die Log Dateien an.

Ich hoffe, dass war jetzt nicht zu viel oder zu wenig Info und, dass ihr mir helfen könnt, es ist wirklich sau dringend, habe keinen anderen Rechner und auch niemanden wo ich mich grad hinterklemmen könnte.

Vielen Dank schonmal für eure Hilfe!
Liebe Grüße


OTL logfile created on: 09.08.2012 20:25:51 - Run 1
OTL by OldTimer - Version 3.2.56.0 Folder = C:\Users\Leonie Herzog\Desktop\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6002.18005)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 1,26 Gb Available Physical Memory | 41,89% Memory free
6,20 Gb Paging File | 4,59 Gb Available in Paging File | 74,04% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 172,99 Gb Total Space | 26,20 Gb Free Space | 15,14% Space Free | Partition Type: NTFS
Drive D: | 115,33 Gb Total Space | 51,76 Gb Free Space | 44,88% Space Free | Partition Type: NTFS
Drive F: | 3,69 Gb Total Space | 2,75 Gb Free Space | 74,60% Space Free | Partition Type: FAT32

Computer Name: L***-PC | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012.08.09 20:24:37 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\Leonie Herzog\Desktop\Desktop\OTL.exe
PRC - [2012.08.09 01:02:17 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.08.02 19:31:34 | 001,536,712 | ---- | M] (Adobe Systems, Inc.) -- C:\Windows\System32\Macromed\Flash\FlashPlayerPlugin_11_3_300_270.exe
PRC - [2012.07.19 02:36:35 | 000,913,888 | ---- | M] (Mozilla Corporation) -- C:\Program Files\Mozilla Firefox\firefox.exe
PRC - [2012.07.12 18:32:22 | 001,239,952 | ---- | M] (Lavasoft Limited) -- C:\Program Files\Ad-Aware Antivirus\AdAwareService.exe
PRC - [2012.05.09 17:34:21 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.09 17:34:20 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.09 17:34:20 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.10.21 11:09:36 | 000,198,032 | ---- | M] (Lavasoft) -- C:\ProgramData\Ad-Aware Browsing Protection\adawarebp.exe
PRC - [2010.09.30 15:16:06 | 002,155,848 | ---- | M] () -- C:\Program Files\Acronis\DiskDirector\OSS\reinstall_svc.exe
PRC - [2010.05.21 01:52:06 | 011,312,128 | ---- | M] (OpenOffice.org) -- C:\Program Files\OpenOffice.org 3\program\soffice.bin
PRC - [2010.05.21 01:52:04 | 011,318,784 | ---- | M] (OpenOffice.org) -- C:\Program Files\OpenOffice.org 3\program\soffice.exe
PRC - [2009.10.09 04:38:58 | 000,217,088 | ---- | M] (Teruten) -- C:\Windows\System32\FsUsbExService.Exe
PRC - [2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.04.11 08:27:28 | 000,069,120 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conime.exe
PRC - [2008.08.20 17:26:08 | 002,705,976 | ---- | M] (ASUSTek.) -- C:\Program Files\ASUS\Direct Console\Direct Console.exe
PRC - [2008.08.12 10:21:12 | 006,265,376 | ---- | M] (Realtek Semiconductor) -- C:\Windows\RtHDVCpl.exe
PRC - [2008.07.15 12:22:46 | 000,217,088 | ---- | M] (ASUS) -- C:\Program Files\ASUS\ATK Hotkey\HControl.exe
PRC - [2008.07.09 18:09:26 | 000,191,032 | ---- | M] (ATK) -- C:\Program Files\P4G\BatteryLife.exe
PRC - [2008.06.23 21:16:24 | 002,482,176 | ---- | M] (ASUS) -- C:\Program Files\ASUS\ATK Hotkey\ATKOSD.exe
PRC - [2008.06.19 13:18:12 | 000,154,168 | ---- | M] (ASUS) -- C:\Program Files\ASUS\ASUS CopyProtect\aspg.exe
PRC - [2008.06.17 23:10:24 | 000,297,528 | ---- | M] (ASUS) -- C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
PRC - [2008.06.03 18:29:08 | 000,851,968 | ---- | M] (ATK) -- C:\Program Files\ASUS\Splendid\ACMON.exe
PRC - [2008.04.10 12:32:18 | 001,796,648 | ---- | M] (Broadcom Corporation.) -- C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
PRC - [2008.04.10 12:32:18 | 000,752,168 | ---- | M] (Broadcom Corporation.) -- C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
PRC - [2008.03.24 22:39:18 | 000,322,104 | ---- | M] (ASUSTek.) -- C:\Program Files\ASUS\Direct Console\DCHelper.exe
PRC - [2008.01.25 19:32:38 | 000,778,240 | ---- | M] () -- C:\Program Files\P4P\P4P.exe
PRC - [2008.01.23 11:51:28 | 000,151,552 | ---- | M] () -- C:\Program Files\ASUS\ATK Hotkey\WDC.exe
PRC - [2008.01.21 04:23:32 | 000,397,312 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Windows Mail\WinMail.exe
PRC - [2007.11.30 12:20:44 | 000,051,768 | ---- | M] () -- C:\Program Files\ASUS\ASUS Live Update\ALU.exe
PRC - [2007.11.04 20:48:06 | 000,106,496 | ---- | M] () -- C:\Program Files\ASUS\ATK Hotkey\MsgTranAgt.exe
PRC - [2007.10.02 22:53:00 | 000,094,208 | ---- | M] () -- C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
PRC - [2007.08.15 12:20:16 | 000,106,496 | ---- | M] () -- C:\Program Files\ASUS\ATK Hotkey\KBFiltr.exe
PRC - [2007.08.08 01:08:40 | 000,094,208 | ---- | M] () -- C:\Program Files\ATKGFNEX\GFNEXSrv.exe
PRC - [2007.08.03 13:24:54 | 000,125,496 | ---- | M] () -- C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
PRC - [2007.07.05 17:53:44 | 001,040,384 | ---- | M] () -- C:\Program Files\Wireless Console 2\wcourier.exe
PRC - [2007.05.18 03:31:16 | 000,073,728 | ---- | M] () -- C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
PRC - [2007.04.23 05:00:00 | 000,692,224 | ---- | M] (Logitech Inc.) -- C:\Program Files\SetPoint\SetPoint.exe
PRC - [2007.04.11 16:32:22 | 000,056,080 | ---- | M] (Logitech Inc.) -- C:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE
PRC - [2007.01.09 10:48:58 | 000,147,456 | ---- | M] (Razer Inc.) -- C:\Program Files\Razer\Copperhead\razerofa.exe
PRC - [2005.11.25 11:53:40 | 000,155,648 | ---- | M] () -- C:\Program Files\Razer\Copperhead\razerhid.exe
PRC - [2005.07.06 16:43:42 | 000,155,648 | ---- | M] (ASUSTeK) -- C:\Windows\System32\ACEngSvr.exe


========== Modules (No Company Name) ==========

MOD - [2012.08.02 19:31:34 | 009,465,032 | ---- | M] () -- C:\Windows\System32\Macromed\Flash\NPSWF32_11_3_300_270.dll
MOD - [2012.07.19 02:36:35 | 002,003,424 | ---- | M] () -- C:\Program Files\Mozilla Firefox\mozjs.dll
MOD - [2010.05.04 16:36:28 | 000,970,752 | ---- | M] () -- C:\Program Files\OpenOffice.org 3\program\libxml2.dll
MOD - [2008.05.28 22:40:38 | 000,049,152 | ---- | M] () -- C:\Program Files\ASUS\Direct Console\OLED.dll
MOD - [2008.05.28 22:39:48 | 000,053,248 | ---- | M] () -- C:\Program Files\ASUS\Direct Console\SysInfo.dll
MOD - [2008.02.18 23:32:46 | 000,012,288 | ---- | M] () -- C:\Program Files\ASUS\Direct Console\OvrClk.dll
MOD - [2008.01.25 19:32:38 | 000,778,240 | ---- | M] () -- C:\Program Files\P4P\P4P.exe
MOD - [2007.12.27 17:04:42 | 000,032,768 | ---- | M] () -- C:\Program Files\ASUS\Direct Console\LED.dll
MOD - [2007.12.11 17:07:28 | 000,090,112 | ---- | M] () -- C:\Program Files\ASUS\Direct Console\OUTLOOK.dll
MOD - [2007.12.07 16:32:02 | 000,061,440 | ---- | M] () -- C:\Program Files\ASUS\Direct Console\MSN.dll
MOD - [2007.11.30 12:20:44 | 000,051,768 | ---- | M] () -- C:\Program Files\ASUS\ASUS Live Update\ALU.exe
MOD - [2007.06.15 11:28:36 | 000,147,456 | ---- | M] () -- C:\Program Files\ASUS\ASUS Data Security Manager\OverlayIconShlExt.dll
MOD - [2007.06.01 18:08:18 | 000,143,360 | ---- | M] () -- C:\Program Files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll
MOD - [2007.03.09 17:16:52 | 000,106,496 | ---- | M] () -- C:\Program Files\ATKGFNEX\AGFNEX.dll
MOD - [2005.11.25 11:53:40 | 000,155,648 | ---- | M] () -- C:\Program Files\Razer\Copperhead\razerhid.exe
MOD - [2005.08.17 14:23:16 | 000,151,552 | ---- | M] () -- C:\Program Files\Razer\Copperhead\download.dll


========== Win32 Services (SafeList) ==========

SRV - [2012.07.19 02:36:35 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.07.12 18:32:22 | 001,239,952 | ---- | M] (Lavasoft Limited) [Auto | Running] -- C:\Program Files\Ad-Aware Antivirus\AdAwareService.exe -- (Ad-Aware Service)
SRV - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) [Disabled | Stopped] -- C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.05.09 17:34:21 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.09 17:34:20 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.12.19 13:20:06 | 003,289,032 | ---- | M] (GFI Software) [Auto | Stopped] -- C:\Program Files\Ad-Aware Antivirus\SBAMSvc.exe -- (SBAMSvc)
SRV - [2010.09.30 15:16:06 | 002,155,848 | ---- | M] () [Auto | Running] -- C:\Program Files\Acronis\DiskDirector\OSS\reinstall_svc.exe -- (OS Selector)
SRV - [2009.10.09 04:38:58 | 000,217,088 | ---- | M] (Teruten) [Auto | Running] -- C:\Windows\System32\FsUsbExService.Exe -- (FsUsbExService)
SRV - [2008.11.11 10:38:06 | 000,620,544 | ---- | M] (Nokia.) [On_Demand | Stopped] -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2008.01.21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\mpsvc.dll -- (WinDefend)
SRV - [2007.10.02 22:53:00 | 000,094,208 | ---- | M] () [Auto | Running] -- C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe -- (ASLDRService)
SRV - [2007.08.08 01:08:40 | 000,094,208 | ---- | M] () [Auto | Running] -- C:\Program Files\ATKGFNEX\GFNEXSrv.exe -- (ATKGFNEXSrv)
SRV - [2007.08.03 13:24:54 | 000,125,496 | ---- | M] () [Auto | Running] -- C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe -- (spmgr)
SRV - [2007.05.18 03:31:16 | 000,073,728 | ---- | M] () [Auto | Running] -- C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe -- (ADSMService)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012.06.01 00:03:00 | 000,166,976 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\snapman.sys -- (snapman)
DRV - [2012.05.09 17:34:21 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.09 17:34:21 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.12.19 12:44:24 | 000,093,816 | ---- | M] (GFI Software) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\sbhips.sys -- (sbhips)
DRV - [2011.12.16 17:53:28 | 000,013,304 | ---- | M] (TeamViewer GmbH) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\TVMonitor.sys -- (MonitorFunction)
DRV - [2011.11.29 06:59:52 | 000,077,816 | ---- | M] (GFI Software) [File_System | Auto | Running] -- C:\Windows\System32\drivers\sbapifs.sys -- (sbapifs)
DRV - [2011.10.26 14:23:40 | 000,101,112 | ---- | M] (GFI Software) [Kernel | System | Unknown] -- C:\Windows\System32\drivers\SBREDrv.sys -- (SBRE)
DRV - [2011.09.16 17:08:07 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.06.16 11:22:50 | 000,181,432 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssudmdm.sys -- (ssudmdm)
DRV - [2011.06.16 11:22:50 | 000,076,088 | ---- | M] (DEVGURU Co., LTD.(www.devguru.co.kr)) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ssudbus.sys -- (dg_ssudbus)
DRV - [2011.06.07 12:13:36 | 000,020,032 | ---- | M] (Devguru Co., Ltd) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\dgderdrv.sys -- (dgderdrv)
DRV - [2010.08.27 06:32:18 | 000,123,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_bmdm.sys -- (ss_bmdm)
DRV - [2010.08.27 06:32:18 | 000,100,224 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_bserd.sys -- (ss_bserd)
DRV - [2010.08.27 06:32:18 | 000,098,432 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_bbus.sys -- (ss_bbus)
DRV - [2010.08.27 06:32:18 | 000,014,848 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ss_bmdfl.sys -- (ss_bmdfl)
DRV - [2009.10.09 04:36:22 | 000,036,640 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\FsUsbExDisk.Sys -- (FsUsbExDisk)
DRV - [2009.10.08 17:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.08.26 12:33:00 | 000,026,368 | ---- | M] (OPTO ELECTRONICS CO.,LTD.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\optovcm.sys -- (optovcm)
DRV - [2009.08.26 12:33:00 | 000,018,432 | ---- | M] (OPTO ELECTRONICS CO.,LTD.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\optousb.sys -- (optousb)
DRV - [2009.07.02 01:59:00 | 009,786,752 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2008.08.26 10:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008.06.26 00:30:50 | 003,662,848 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\NETw5v32.sys -- (NETw5v32)
DRV - [2008.06.25 16:59:00 | 000,043,040 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvhda32v.sys -- (NVHDA)
DRV - [2008.06.09 10:45:08 | 001,748,352 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\snp2uvc.sys -- (SNP2UVC)
DRV - [2008.06.03 08:41:52 | 000,015,928 | ---- | M] ( ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\kbfiltr.sys -- (kbfiltr)
DRV - [2008.05.29 11:21:04 | 000,015,416 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [File_System | Boot | Running] -- C:\Windows\System32\drivers\lullaby.sys -- (lullaby)
DRV - [2008.05.02 07:59:40 | 000,122,368 | ---- | M] (Realtek Corporation ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169)
DRV - [2008.02.15 18:42:42 | 000,046,592 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\rimmptsk.sys -- (rimmptsk)
DRV - [2008.01.16 11:12:59 | 000,011,320 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Preload\Patch\AsProcOb.sys -- (ASUSProcObsrv)
DRV - [2007.12.18 11:12:12 | 000,054,784 | ---- | M] (ITE Tech. Inc. ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\itecir.sys -- (itecir)
DRV - [2007.08.10 21:19:26 | 000,029,752 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [File_System | Boot | Running] -- C:\Windows\System32\drivers\AsDsm.sys -- (AsDsm)
DRV - [2007.08.03 06:26:22 | 000,020,936 | ---- | M] () [Kernel | Auto | Running] -- C:\Program Files\ASUS\NB Probe\SPM\ghaio.sys -- (ghaio)
DRV - [2007.07.30 12:54:02 | 000,038,400 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\rixdptsk.sys -- (rismxdp)
DRV - [2007.07.30 04:42:58 | 000,043,008 | ---- | M] (REDC) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\rimsptsk.sys -- (rimsptsk)
DRV - [2007.07.24 12:09:04 | 000,013,880 | ---- | M] () [Kernel | Auto | Running] -- C:\Program Files\ATKGFNEX\ASMMAP.sys -- (ASMMAP)
DRV - [2006.12.14 09:11:58 | 000,007,680 | ---- | M] (ATK0100) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ATKACPI.sys -- (MTsensor)
DRV - [2006.11.02 09:41:49 | 001,010,560 | ---- | M] (Motorola Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\smserial.sys -- (smserial)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.asus.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.asus.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.asus.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\SearchScopes,DefaultScope = {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = hxxp://search.yahoo.com/search?fr=chr-panda&q={searchTerms}&ei=UTF-8&type=PCAFSI1190
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:5.0.0.6906
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA}:6.0.25
FF - prefs.js..keyword.URL: "hxxp://search.yahoo.com/search?fr=panda&type=PCAFSI1190&p="
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_3_300_270.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll File not found
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX OVS Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll File not found
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.08.09 17:49:26 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.05.10 10:43:00 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 9.0.1\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011.10.05 23:33:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 9.0.1\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins [2012.05.10 10:43:00 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.08.09 17:49:26 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.05.10 10:43:00 | 000,000,000 | ---D | M]

[2010.12.08 17:04:44 | 000,000,000 | ---D | M] (No name found) -- C:\Users\L***\AppData\Roaming\mozilla\Extensions
[2010.12.08 17:04:44 | 000,000,000 | ---D | M] (No name found) -- C:\Users\L***\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.08.09 18:46:44 | 000,000,000 | ---D | M] (No name found) -- C:\Users\L***\AppData\Roaming\mozilla\Firefox\Profiles\boaymgwy.default\extensions
[2010.12.10 01:17:20 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\L***\AppData\Roaming\mozilla\Firefox\Profiles\boaymgwy.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2012.08.09 17:49:20 | 000,000,000 | ---D | M] (Ad-Aware Security Toolbar) -- C:\Users\L***\AppData\Roaming\mozilla\Firefox\Profiles\boaymgwy.default\extensions\{87934c42-161d-45bc-8cef-ef18abe2a30c}
[2012.08.09 17:49:22 | 000,000,000 | ---D | M] (Lavasoft Search Plugin) -- C:\Users\L***\AppData\Roaming\mozilla\Firefox\Profiles\boaymgwy.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack
[2012.01.18 01:33:47 | 000,000,933 | ---- | M] () -- C:\Users\L***\AppData\Roaming\Mozilla\Firefox\Profiles\boaymgwy.default\searchplugins\11-suche.xml
[2012.01.18 01:33:47 | 000,002,419 | ---- | M] () -- C:\Users\L***\AppData\Roaming\Mozilla\Firefox\Profiles\boaymgwy.default\searchplugins\englische-ergebnisse.xml
[2012.01.18 01:33:47 | 000,010,525 | ---- | M] () -- C:\Users\L***\AppData\Roaming\Mozilla\Firefox\Profiles\boaymgwy.default\searchplugins\gmx-suche.xml
[2012.01.18 01:33:47 | 000,002,457 | ---- | M] () -- C:\Users\L***\AppData\Roaming\Mozilla\Firefox\Profiles\boaymgwy.default\searchplugins\lastminute.xml
[2012.01.18 01:33:47 | 000,005,508 | ---- | M] () -- C:\Users\L***\AppData\Roaming\Mozilla\Firefox\Profiles\boaymgwy.default\searchplugins\webde-suche.xml
[2012.03.18 15:17:25 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\mozilla firefox\extensions
[2012.02.28 15:26:19 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Program Files\mozilla firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012.07.19 02:36:35 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.03.03 09:37:13 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2012.03.18 15:17:20 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.03.18 15:17:20 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.03.18 15:17:20 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.03.18 15:17:20 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.03.18 15:17:20 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.03.18 15:17:20 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml

========== Chrome ==========

CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{googleriginalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFiel dTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR - homepage: hxxp://www.google.com/
CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Program Files\Google\Chrome\Application\17.0.963.79\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files\Google\Chrome\Application\17.0.963.79\pdf.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files\Google\Chrome\Application\17.0.963.79\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\system32\Macromed\Flash\NPSWF32.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files\Adobe\Reader 8.0\Reader\Browser\nppdf32.dll
CHR - plugin: Java Deployment Toolkit 6.0.310.5 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
CHR - plugin: Java(TM) Platform SE 6 U31 (Enabled) = C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll
CHR - plugin: DivX VOD Helper Plug-in (Enabled) = C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll
CHR - plugin: Google Update (Enabled) = C:\Program Files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: YouTube = C:\Users\L***\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2_0\
CHR - Extension: Google-Suche = C:\Users\L***\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.14_0\
CHR - Extension: Google Mail = C:\Users\L***\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\6.1.3_0\

O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Ad-Aware Security Toolbar) - {6c97a91e-4524-4019-86af-2aa2d567bf5c} - C:\Program Files\adawaretb\adawareDx.dll ()
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKLM\..\Toolbar: (Ad-Aware Security Toolbar) - {6c97a91e-4524-4019-86af-2aa2d567bf5c} - C:\Program Files\adawaretb\adawareDx.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Ad-Aware Antivirus] C:\Program Files\Ad-Aware Antivirus\AdAwareLauncher.exe (Lavasoft Limited)
O4 - HKLM..\Run: [Ad-Aware Browsing Protection] C:\ProgramData\Ad-Aware Browsing Protection\adawarebp.exe (Lavasoft)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Copperhead] C:\Program Files\Razer\Copperhead\razerhid.exe ()
O4 - HKLM..\Run: [DirectConsole2] C:\Program Files\ASUS\Direct Console\Direct Console.exe (ASUSTek.)
O4 - HKLM..\Run: [PowerForPhone] C:\Program Files\P4P\P4P.exe ()
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [LicenseValidator] C:\Users\L***\AppData\Roaming\Identities\{12F3D2F6-6A84-4891-92FB-D35158947B02}\LicenseValidator.exe (Saa@*Inc©)
O4 - Startup: C:\Users\L**\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{54CA9F7E-3244-43ED-8BA2-3D9E50E9027A}: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{73CB5447-FC6B-4ECF-A41D-873802F7EFA5}: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img23.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img23.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

========== Files/Folders - Created Within 30 Days ==========

[2012.08.09 20:21:29 | 000,000,000 | ---D | C] -- C:\Users\L***\Desktop\Desktop
[2012.08.09 17:51:08 | 000,000,000 | ---D | C] -- C:\Users\L***\AppData\Local\adaware
[2012.08.09 17:51:00 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ad-Aware Antivirus
[2012.08.09 17:50:13 | 000,093,816 | ---- | C] (GFI Software) -- C:\Windows\System32\drivers\sbhips.sys
[2012.08.09 17:50:11 | 000,000,000 | ---D | C] -- C:\Windows\System32\drivers\VDD
[2012.08.09 17:50:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Lavasoft
[2012.08.09 17:50:10 | 000,000,000 | ---D | C] -- C:\Program Files\Ad-Aware Antivirus
[2012.08.09 17:49:25 | 000,000,000 | ---D | C] -- C:\Users\L***\AppData\Local\adawarebp
[2012.08.09 17:49:24 | 000,000,000 | ---D | C] -- C:\ProgramData\Ad-Aware Browsing Protection
[2012.08.09 17:49:23 | 000,000,000 | ---D | C] -- C:\Program Files\Toolbar Cleaner
[2012.08.09 17:49:08 | 000,000,000 | ---D | C] -- C:\Program Files\adawaretb
[2012.08.09 17:48:31 | 000,000,000 | ---D | C] -- C:\Users\L***\AppData\Roaming\Ad-Aware Antivirus
[2012.08.09 01:48:28 | 000,000,000 | ---D | C] -- C:\Users\L***\AppData\Roaming\Help
[2012.07.21 03:52:38 | 000,000,000 | ---D | C] -- C:\Users\L***\AppData\Roaming\Malwarebytes
[2012.07.21 03:52:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.07.21 03:52:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.07.21 03:52:31 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.07.21 03:52:31 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.07.20 21:50:44 | 000,000,000 | ---D | C] -- C:\ProgramData\xjlpgcfohwiknmx

========== Files - Modified Within 30 Days ==========

[2012.08.09 20:22:19 | 000,000,000 | ---- | M] () -- C:\Users\L***\defogger_reenable
[2012.08.09 19:55:03 | 000,003,616 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.08.09 19:55:03 | 000,003,616 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.08.09 17:56:24 | 000,001,744 | ---- | M] () -- C:\Users\Public\Desktop\Ad-Aware Antivirus.lnk
[2012.08.09 17:55:53 | 000,045,056 | ---- | M] () -- C:\Windows\System32\acovcnt.exe
[2012.08.09 17:55:03 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.08.09 17:54:55 | 3220,295,680 | -HS- | M] () -- C:\hiberfil.sys
[2012.08.09 17:54:03 | 000,001,076 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2012.08.09 00:05:16 | 000,043,303 | ---- | M] () -- C:\Users\L***\Documents\Einwilligungserklaerung.pdf
[2012.08.06 22:15:59 | 000,019,410 | ---- | M] () -- C:\Users\L***\Documents\nachteilsausgleich.odt
[2012.08.06 22:15:59 | 000,000,143 | -H-- | M] () -- C:\Users\L***\Documents\.~lock.nachteilsausgleich.odt#
[2012.08.02 19:46:31 | 000,023,470 | ---- | M] () -- C:\Users\L***\Documents\zahn%2030.07.%20unterhalt%20mahnung2.odt_0.odt
[2012.08.02 19:14:14 | 353,098,932 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2012.08.01 18:25:34 | 000,023,447 | ---- | M] () -- C:\Users\L***\Documents\zahn 30.07. unterhalt mahnung2.odt
[2012.08.01 18:25:29 | 000,000,143 | -H-- | M] () -- C:\Users\L***\Documents\.~lock.zahn 30.07. unterhalt mahnung2.odt#
[2012.07.30 03:49:06 | 000,021,977 | ---- | M] () -- C:\Users\L***\Documents\zahn 30.07. unterhalt mahnung.odt
[2012.07.21 04:28:44 | 000,000,913 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.20 21:50:46 | 000,000,051 | ---- | M] () -- C:\ProgramData\abhgvhdtzjrlmnf
[2012.07.18 10:38:32 | 000,001,356 | ---- | M] () -- C:\Users\L***\AppData\Local\d3d9caps.dat
[2012.07.17 03:28:36 | 000,628,742 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.07.17 03:28:36 | 000,595,996 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.07.17 03:28:36 | 000,126,454 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.07.17 03:28:36 | 000,104,070 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.07.13 06:40:15 | 000,252,448 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT

========== Files Created - No Company Name ==========

[2012.08.09 20:22:19 | 000,000,000 | ---- | C] () -- C:\Users\L***\defogger_reenable
[2012.08.09 17:51:00 | 000,001,744 | ---- | C] () -- C:\Users\Public\Desktop\Ad-Aware Antivirus.lnk
[2012.08.09 06:07:54 | 000,023,470 | ---- | C] () -- C:\Users\L***\Documents\zahn%2030.07.%20unterhalt%20mahnung2.odt_0.odt
[2012.08.09 00:05:16 | 000,043,303 | ---- | C] () -- C:\Users\L***\Documents\Einwilligungserklaerung.pdf
[2012.08.06 19:26:02 | 000,000,143 | -H-- | C] () -- C:\Users\L***\Documents\.~lock.nachteilsausgleich.odt#
[2012.08.06 19:26:01 | 000,019,410 | ---- | C] () -- C:\Users\L***\Documents\nachteilsausgleich.odt
[2012.07.30 19:29:53 | 000,023,447 | ---- | C] () -- C:\Users\L***\Documents\zahn 30.07. unterhalt mahnung2.odt
[2012.07.30 19:29:53 | 000,000,143 | -H-- | C] () -- C:\Users\L***\Documents\.~lock.zahn 30.07. unterhalt mahnung2.odt#
[2012.07.30 03:31:54 | 000,021,977 | ---- | C] () -- C:\Users\L***\Documents\zahn 30.07. unterhalt mahnung.odt
[2012.07.21 03:52:33 | 000,000,913 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.20 22:26:49 | 3220,295,680 | -HS- | C] () -- C:\hiberfil.sys
[2012.07.20 21:50:41 | 000,000,051 | ---- | C] () -- C:\ProgramData\abhgvhdtzjrlmnf
[2011.06.07 12:13:38 | 000,974,848 | ---- | C] () -- C:\Windows\System32\cis-2.4.dll
[2011.06.07 12:13:38 | 000,081,920 | ---- | C] () -- C:\Windows\System32\issacapi_bs-2.3.dll
[2011.06.07 12:13:38 | 000,065,536 | ---- | C] () -- C:\Windows\System32\issacapi_pe-2.3.dll
[2011.06.07 12:13:38 | 000,057,344 | ---- | C] () -- C:\Windows\System32\issacapi_se-2.3.dll
[2011.06.07 12:13:38 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe
[2010.12.27 21:52:27 | 000,110,592 | ---- | C] () -- C:\Windows\System32\FsUsbExDevice.Dll
[2010.12.27 21:52:27 | 000,036,640 | ---- | C] () -- C:\Windows\System32\FsUsbExDisk.Sys
[2010.12.25 09:32:22 | 000,000,048 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010.12.23 23:08:45 | 000,000,050 | ---- | C] () -- C:\Windows\System32\bridf07a.dat
[2010.12.23 22:16:46 | 000,000,466 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2010.12.23 22:16:46 | 000,000,027 | ---- | C] () -- C:\Windows\BRPP2KA.INI
[2010.12.09 22:51:01 | 000,117,248 | ---- | C] () -- C:\Windows\System32\EhStorAuthn.dll
[2010.12.09 22:51:01 | 000,107,612 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2010.12.06 09:24:57 | 000,040,960 | ---- | C] () -- C:\Users\L***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.16 12:59:53 | 000,045,056 | ---- | C] () -- C:\Windows\System32\acovcnt.exe
[2010.11.09 06:00:06 | 000,018,904 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2010.11.09 04:15:39 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2010.11.09 04:06:33 | 001,748,352 | ---- | C] () -- C:\Windows\System32\drivers\snp2uvc.sys
[2010.11.09 04:06:33 | 000,028,672 | ---- | C] () -- C:\Windows\System32\drivers\sncduvc.sys
[2010.11.09 03:30:57 | 000,001,356 | ---- | C] () -- C:\Users\L***\AppData\Local\d3d9caps.dat
[2010.11.08 12:13:04 | 000,015,928 | ---- | C] ( ) -- C:\Windows\System32\drivers\kbfiltr.sys
[2010.11.08 11:19:20 | 000,001,076 | ---- | C] () -- C:\Windows\bthservsdp.dat
[2008.08.08 15:48:20 | 000,090,112 | ---- | C] () -- C:\Program Files\Common Files\CPInstallAction.dll
[2008.05.22 10:35:54 | 000,051,962 | ---- | C] () -- C:\Program Files\Common Files\banner.jpg

========== LOP Check ==========

[2012.06.01 02:21:57 | 000,000,000 | ---D | M] -- C:\Users\L***\AppData\Roaming\.minecraft
[2012.08.09 20:24:27 | 000,000,000 | ---D | M] -- C:\Users\L***\AppData\Roaming\Ad-Aware Antivirus
[2011.02.22 02:10:32 | 000,000,000 | ---D | M] -- C:\Users\L***\AppData\Roaming\Amazon
[2012.06.01 00:23:02 | 000,000,000 | ---D | M] -- C:\Users\L***\AppData\Roaming\GHISLER
[2011.01.19 14:26:17 | 000,000,000 | ---D | M] -- C:\Users\L***\AppData\Roaming\OpenOffice.org
[2011.05.11 08:51:36 | 000,000,000 | ---D | M] -- C:\Users\L***\AppData\Roaming\Opera
[2011.10.05 23:11:26 | 000,000,000 | ---D | M] -- C:\Users\L***\AppData\Roaming\Panda Security
[2010.12.27 22:13:13 | 000,000,000 | ---D | M] -- C:\Users\L***\AppData\Roaming\PC Suite
[2011.12.31 04:30:16 | 000,000,000 | ---D | M] -- C:\Users\L***\AppData\Roaming\Samsung
[2012.08.09 01:44:20 | 000,000,000 | ---D | M] -- C:\Users\L***\AppData\Roaming\TeamViewer
[2010.12.08 17:04:43 | 000,000,000 | ---D | M] -- C:\Users\L***\AppData\Roaming\Thunderbird
[2010.12.08 18:42:22 | 000,000,000 | ---D | M] -- C:\Users\L***\AppData\Roaming\TS3Client
[2012.08.09 17:54:03 | 000,032,530 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

========== Purity Check ==========



< End of report >

Alt 09.08.2012, 21:18   #2
markusg
/// Malware-holic
 
rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite - Standard

rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite



hi
ersetze *** im script durch nutzernamen

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [LicenseValidator] C:\Users\L***\AppData\Roaming\Identities\{12F3D2F6-6A84-4891-92FB-D35158947B02}\LicenseValidator.exe (Saa@*Inc©)
 :Files
C:\Users\L***\AppData\Roaming\Identities\{12F3D2F6-6A84-4891-92FB-D35158947B02}
:Commands
[Reboot]
         


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
öffne avira, berichte, poste alle logs.
öffne avira, ereignisse, poste alle fundmeldungen.
öffne bitte malwarebytes, berichte, poste alle logs
__________________

__________________

Alt 09.08.2012, 22:02   #3
Schnuddel
 
rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite - Standard

rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite



Was sollte die Textdatei denn ungefähr für einen Namen haben? Sehe jetzt auf dem Desktop nur eine Datei, die mir neu vorkommt und die heißt Desktop.ini existiert aber laut Eigenschaften schon seit 2 Jahren. Nach dem Neustart ging übrigens gleich wieder ohne Anklicken der Internet Explorer auf. Soll ich den Movedfiles Ordner schonmal hochladen, oder erst zusammen mit der Textdatei uploaden?

Vielen Dank für deine Hilfe!

1. Antivir Log:


Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 9. August 2012 01:48

Es wird nach 4079953 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : L***-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1167 40870 Bytes 18.07.2012 19:07:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 08.08.2012 23:02:17
AVSCAN.DLL : 12.3.0.15 66256 Bytes 09.05.2012 15:34:20
LUKE.DLL : 12.3.0.15 68304 Bytes 09.05.2012 15:34:21
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 15:34:21
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 18:16:14
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:13:10
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 18:40:54
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 00:15:35
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 00:15:35
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 00:15:35
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 00:15:35
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 00:15:35
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 00:15:35
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 00:15:35
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 00:15:35
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 00:15:35
VBASE014.VDF : 7.11.38.18 2554880 Bytes 30.07.2012 21:20:31
VBASE015.VDF : 7.11.38.70 556032 Bytes 31.07.2012 21:20:31
VBASE016.VDF : 7.11.38.143 171008 Bytes 02.08.2012 21:20:32
VBASE017.VDF : 7.11.38.221 178176 Bytes 06.08.2012 23:02:14
VBASE018.VDF : 7.11.39.37 168448 Bytes 08.08.2012 23:02:15
VBASE019.VDF : 7.11.39.38 2048 Bytes 08.08.2012 23:02:15
VBASE020.VDF : 7.11.39.39 2048 Bytes 08.08.2012 23:02:15
VBASE021.VDF : 7.11.39.40 2048 Bytes 08.08.2012 23:02:15
VBASE022.VDF : 7.11.39.41 2048 Bytes 08.08.2012 23:02:15
VBASE023.VDF : 7.11.39.42 2048 Bytes 08.08.2012 23:02:15
VBASE024.VDF : 7.11.39.43 2048 Bytes 08.08.2012 23:02:15
VBASE025.VDF : 7.11.39.44 2048 Bytes 08.08.2012 23:02:15
VBASE026.VDF : 7.11.39.45 2048 Bytes 08.08.2012 23:02:15
VBASE027.VDF : 7.11.39.46 2048 Bytes 08.08.2012 23:02:15
VBASE028.VDF : 7.11.39.47 2048 Bytes 08.08.2012 23:02:15
VBASE029.VDF : 7.11.39.48 2048 Bytes 08.08.2012 23:02:16
VBASE030.VDF : 7.11.39.49 2048 Bytes 08.08.2012 23:02:16
VBASE031.VDF : 7.11.39.68 74752 Bytes 08.08.2012 23:02:16
Engineversion : 8.2.10.130
AEVDF.DLL : 8.1.2.10 102772 Bytes 12.07.2012 20:15:15
AESCRIPT.DLL : 8.1.4.38 455033 Bytes 03.08.2012 21:20:27
AESCN.DLL : 8.1.8.2 131444 Bytes 02.03.2012 14:13:22
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 21:13:06
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37
AEPACK.DLL : 8.3.0.24 811381 Bytes 07.08.2012 23:02:14
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 19.07.2012 21:17:53
AEHEUR.DLL : 8.1.4.84 5112182 Bytes 03.08.2012 21:20:27
AEHELP.DLL : 8.1.23.2 258422 Bytes 29.06.2012 00:15:32
AEGEN.DLL : 8.1.5.34 434548 Bytes 19.07.2012 21:17:51
AEEXP.DLL : 8.1.0.74 86387 Bytes 03.08.2012 21:20:27
AEEMU.DLL : 8.1.3.2 393587 Bytes 12.07.2012 20:15:14
AECORE.DLL : 8.1.27.4 201078 Bytes 07.08.2012 23:02:13
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33
AVWINLL.DLL : 12.3.0.15 27344 Bytes 09.05.2012 15:34:20
AVPREF.DLL : 12.3.0.15 51920 Bytes 09.05.2012 15:34:20
AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 15:34:21
AVARKT.DLL : 12.3.0.15 211408 Bytes 09.05.2012 15:34:20
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 09.05.2012 15:34:20
SQLITE3.DLL : 3.7.0.1 398288 Bytes 09.05.2012 15:34:21
AVSMTP.DLL : 12.3.0.32 63480 Bytes 08.08.2012 23:02:17
NETNT.DLL : 12.3.0.15 17104 Bytes 09.05.2012 15:34:21
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 08.08.2012 23:02:14
RCTEXT.DLL : 12.3.0.31 100088 Bytes 08.08.2012 23:02:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_5022f01b\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 9. August 2012 01:48

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclMSBTSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_270.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_270.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WPFFontCache_v0400.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMail.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBFiltr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACEngSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACMON.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryLife.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcourier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerofa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsgTranAgt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Direct Console.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'P4P.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerhid.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sensorsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aspg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DCHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reinstall_svc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsUsbExService.Exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GFNEXSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASLDRSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADSMSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\ProgramData\cwrhylxg.exe'
C:\ProgramData\cwrhylxg.exe
[FUND] Ist das Trojanische Pferd TR/Barys.5939.6
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '550454c9.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 9. August 2012 01:49
Benötigte Zeit: 00:32 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
101 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
100 Dateien ohne Befall
1 Archive wurden durchsucht
0 Warnungen
1 Hinweise



2.Antivir Log

vira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 9. August 2012 06:10

Es wird nach 4079953 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : L***-PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1167 40870 Bytes 18.07.2012 19:07:00
AVSCAN.EXE : 12.3.0.33 468472 Bytes 08.08.2012 23:02:17
AVSCAN.DLL : 12.3.0.15 66256 Bytes 09.05.2012 15:34:20
LUKE.DLL : 12.3.0.15 68304 Bytes 09.05.2012 15:34:21
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 15:34:21
AVREG.DLL : 12.3.0.17 232200 Bytes 10.05.2012 18:16:14
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 14:13:10
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 18:40:54
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 00:15:35
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 00:15:35
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 00:15:35
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 00:15:35
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 00:15:35
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 00:15:35
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 00:15:35
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 00:15:35
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 00:15:35
VBASE014.VDF : 7.11.38.18 2554880 Bytes 30.07.2012 21:20:31
VBASE015.VDF : 7.11.38.70 556032 Bytes 31.07.2012 21:20:31
VBASE016.VDF : 7.11.38.143 171008 Bytes 02.08.2012 21:20:32
VBASE017.VDF : 7.11.38.221 178176 Bytes 06.08.2012 23:02:14
VBASE018.VDF : 7.11.39.37 168448 Bytes 08.08.2012 23:02:15
VBASE019.VDF : 7.11.39.38 2048 Bytes 08.08.2012 23:02:15
VBASE020.VDF : 7.11.39.39 2048 Bytes 08.08.2012 23:02:15
VBASE021.VDF : 7.11.39.40 2048 Bytes 08.08.2012 23:02:15
VBASE022.VDF : 7.11.39.41 2048 Bytes 08.08.2012 23:02:15
VBASE023.VDF : 7.11.39.42 2048 Bytes 08.08.2012 23:02:15
VBASE024.VDF : 7.11.39.43 2048 Bytes 08.08.2012 23:02:15
VBASE025.VDF : 7.11.39.44 2048 Bytes 08.08.2012 23:02:15
VBASE026.VDF : 7.11.39.45 2048 Bytes 08.08.2012 23:02:15
VBASE027.VDF : 7.11.39.46 2048 Bytes 08.08.2012 23:02:15
VBASE028.VDF : 7.11.39.47 2048 Bytes 08.08.2012 23:02:15
VBASE029.VDF : 7.11.39.48 2048 Bytes 08.08.2012 23:02:16
VBASE030.VDF : 7.11.39.49 2048 Bytes 08.08.2012 23:02:16
VBASE031.VDF : 7.11.39.68 74752 Bytes 08.08.2012 23:02:16
Engineversion : 8.2.10.130
AEVDF.DLL : 8.1.2.10 102772 Bytes 12.07.2012 20:15:15
AESCRIPT.DLL : 8.1.4.38 455033 Bytes 03.08.2012 21:20:27
AESCN.DLL : 8.1.8.2 131444 Bytes 02.03.2012 14:13:22
AESBX.DLL : 8.2.5.12 606578 Bytes 14.06.2012 21:13:06
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37
AEPACK.DLL : 8.3.0.24 811381 Bytes 07.08.2012 23:02:14
AEOFFICE.DLL : 8.1.2.42 201083 Bytes 19.07.2012 21:17:53
AEHEUR.DLL : 8.1.4.84 5112182 Bytes 03.08.2012 21:20:27
AEHELP.DLL : 8.1.23.2 258422 Bytes 29.06.2012 00:15:32
AEGEN.DLL : 8.1.5.34 434548 Bytes 19.07.2012 21:17:51
AEEXP.DLL : 8.1.0.74 86387 Bytes 03.08.2012 21:20:27
AEEMU.DLL : 8.1.3.2 393587 Bytes 12.07.2012 20:15:14
AECORE.DLL : 8.1.27.4 201078 Bytes 07.08.2012 23:02:13
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33
AVWINLL.DLL : 12.3.0.15 27344 Bytes 09.05.2012 15:34:20
AVPREF.DLL : 12.3.0.15 51920 Bytes 09.05.2012 15:34:20
AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 15:34:21
AVARKT.DLL : 12.3.0.15 211408 Bytes 09.05.2012 15:34:20
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 09.05.2012 15:34:20
SQLITE3.DLL : 3.7.0.1 398288 Bytes 09.05.2012 15:34:21
AVSMTP.DLL : 12.3.0.32 63480 Bytes 08.08.2012 23:02:17
NETNT.DLL : 12.3.0.15 17104 Bytes 09.05.2012 15:34:21
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 08.08.2012 23:02:14
RCTEXT.DLL : 12.3.0.31 100088 Bytes 08.08.2012 23:02:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 9. August 2012 06:10

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\adsm_pdata_0150\dragwait.exe
c:\adsm_pdata_0150\dragwait.exe
[HINWEIS] Die Datei ist nicht sichtbar.
c:\adsm_pdata_0150\_avt
c:\adsm_pdata_0150\_avt
[HINWEIS] Die Datei ist nicht sichtbar.
c:\adsm_pdata_0150\db\si.db
c:\adsm_pdata_0150\db\si.db
[HINWEIS] Die Datei ist nicht sichtbar.
c:\adsm_pdata_0150\db\ul.db
c:\adsm_pdata_0150\db\ul.db
[HINWEIS] Die Datei ist nicht sichtbar.
c:\adsm_pdata_0150\db\vl.db
c:\adsm_pdata_0150\db\vl.db
[HINWEIS] Die Datei ist nicht sichtbar.
c:\adsm_pdata_0150\db\_avt
c:\adsm_pdata_0150\db\_avt
[HINWEIS] Die Datei ist nicht sichtbar.
c:\program files\asus\asus data security manager\driver\x86\asdsm.sys
c:\program files\asus\asus data security manager\driver\x86\asdsm.sys
[HINWEIS] Die Datei ist nicht sichtbar.
c:\program files\asus\asus data security manager\driver\x86\_avt
c:\program files\asus\asus data security manager\driver\x86\_avt
[HINWEIS] Die Datei ist nicht sichtbar.
c:\adsm_pdata_0150
c:\adsm_pdata_0150
[HINWEIS] Das Verzeichnis ist nicht sichtbar.
c:\adsm_pdata_0150\db
c:\adsm_pdata_0150\db
[HINWEIS] Das Verzeichnis ist nicht sichtbar.
c:\program files\asus\asus data security manager\driver\x86
c:\program files\asus\asus data security manager\driver\x86
[HINWEIS] Das Verzeichnis ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_270.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'FlashPlayerPlugin_11_3_300_270.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclMSBTSrv.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclRSSrv.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'NclUSBSrv.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'PresentationFontCache.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'ServiceLayer.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'WPFFontCache_v0400.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '118' Modul(e) wurden durchsucht
Durchsuche Prozess 'BtStackServer.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinMail.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDC.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBFiltr.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerofa.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACEngSvr.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'ACMON.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryLife.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcourier.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsgTranAgt.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'Direct Console.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'P4P.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'razerhid.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'sensorsrv.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALU.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'aspg.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '147' Modul(e) wurden durchsucht
Durchsuche Prozess 'DCHelper.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'reinstall_svc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'spmgr.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsUsbExService.Exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'GFNEXSrv.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASLDRSrv.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADSMSrv.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '150' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '103' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '3432' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <VistaOS>
C:\Program Files\WinRAR\rarnew.dat
[WARNUNG] Das Archiv ist unbekannt oder defekt
C:\Users\L***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\GOME50GV\install_flashplayer11x32ax_gtbd_aih[1].exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\L***\AppData\Local\Temp\jar_cache2998894297346434680.tmp
[0] Archivtyp: ZIP
--> ha/ha.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.CW
--> ha/hb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.CX
--> ha/hc.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Karamel.B
--> ha/hd.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.CY
C:\Users\L***\AppData\Local\Temp\jar_cache3873330943232584767.tmp
[0] Archivtyp: ZIP
--> Applet.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Irota.Gen
C:\Users\L***\AppData\Local\Temp\jar_cache6126363737294810318.tmp
[0] Archivtyp: ZIP
--> Applet.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Irota.Gen
C:\Users\L***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\57ac526e-140083af
[0] Archivtyp: ZIP
--> pita/a2.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.AP
--> pita/C.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.AQ
--> pita/pita.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
--> pita/pitc.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.AU
--> pita/tt.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
C:\Users\L***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\2cff4a75-7bf13515
[0] Archivtyp: ZIP
--> pita/a2.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/12-0507.BJ.2.A
--> pita/C.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.BV
--> pita/pita.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
--> pita/pitb.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.BX
--> pita/pitc.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/12-0507.BC.2
--> pita/tt.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
C:\Users\L***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\7aac5307-12a58960
[0] Archivtyp: ZIP
--> z.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.DD
--> x.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
C:\Users\L***\Desktop\Neuer Ordner\Willi\Fwd Why you should always carry a camera.eml
[WARNUNG] Die maximale Archiv Rekursionstiefe wurde erreicht.
C:\Users\L***\Downloads\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\L***\Downloads\Disk Director v11.0.2121.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part01.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part02.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part03.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part04.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part05.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part06.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part07.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part08.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part09.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part10.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part11.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part12.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part13.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part14.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part15.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part16.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part17.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part18.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part19.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part20.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part21(1).rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part21.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part22.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part23.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part24.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part25.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part26.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part27.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part28.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part29.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part30.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part31.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part32.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\GRRM_S0nG.part33.rar
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\L***\Downloads\hfca031107s4r1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\L***\Music\Musik\0_Verschiedenes\VA_-_Loveparade_The_Compilation_2006_The_Love_Is_Back-2CD-2006-CannaPower.rar.r00
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Users\L***\Music\Musik\0_Verschiedenes\VA_-_Loveparade_The_Compilation_2006_The_Love_Is_Back-2CD-2006-CannaPower.rar.r01
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Users\L***\Music\Musik\0_Verschiedenes\VA_-_Loveparade_The_Compilation_2006_The_Love_Is_Back-2CD-2006-CannaPower.rar.rar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Users\L***\Pictures\Willi\Fwd Why you should always carry a camera.eml
[WARNUNG] Die maximale Archiv Rekursionstiefe wurde erreicht.

Beginne mit der Desinfektion:
C:\Users\L***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\7aac5307-12a58960
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ivinest.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '559cf051.qua' verschoben!
C:\Users\L***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\2cff4a75-7bf13515
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d06dff0.qua' verschoben!
C:\Users\L***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\57ac526e-140083af
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f548534.qua' verschoben!
C:\Users\L***\AppData\Local\Temp\jar_cache6126363737294810318.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Irota.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7972cadd.qua' verschoben!
C:\Users\L***\AppData\Local\Temp\jar_cache3873330943232584767.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Irota.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3cf6e7e3.qua' verschoben!
C:\Users\L***\AppData\Local\Temp\jar_cache2998894297346434680.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.CY
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43edd582.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 9. August 2012 07:52
Benötigte Zeit: 1:41:41 Stunde(n)

Der Suchlauf wurde abgebrochen!

16053 Verzeichnisse wurden überprüft
500160 Dateien wurden geprüft
19 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
500141 Dateien ohne Befall
7235 Archive wurden durchsucht
44 Warnungen
17 Hinweise
515879 Objekte wurden beim Rootkitscan durchsucht
11 Versteckte Objekte wurden gefunden


Malwarebyte Log:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.02.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
Le*** :: L***-PC [Administrator]

09.08.2012 01:45:17
mbam-log-2012-08-09 (01-45-17).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 200734
Laufzeit: 11 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|UpgradeChecker (Trojan.FakeAlert) -> Daten: C:\Users\L***\AppData\Roaming\Mozilla\{38F7F291-0EBA-4104-8EF8-53316A804501}\UpgradeChecker.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\L***\AppData\Roaming\Mozilla\{38F7F291-0EBA-4104-8EF8-53316A804501}\UpgradeChecker.exe (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\cwrhylxg.exe (Trojan.Winlock.P) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
__________________

Alt 09.08.2012, 22:31   #4
markusg
/// Malware-holic
 
rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite - Standard

rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite



hi der cache ordner fehlt noch :-)
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 10.08.2012, 05:30   #5
Schnuddel
 
rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite - Standard

rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite



Hi,
bin gestern dann vorm Rechner eingeschlafen
Welchen Cache Ordner meinst du jetzt? Den Movedfiles hatte ich bei der uploadseite hochgeladen. Beim Textdokument, dass nach dem Neustart da sein soll, hab ich ja nichts gefunden. Wäre lieb, wenn du nochmal für mich als Depp kurz erklären könntest, was du noch brauchst und wo ich das finde.
Vielen Dank und liebe Grüße
Leonie


Antwort

Themen zu rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite
ad-aware, antivir, antivirus, avira, bho, desktop, dringend, firefox, google, home, homepage, internet, internet explorer, logfile, mozilla, object, programm, realtek, registry, scan, security, software, trojaner, vista



Ähnliche Themen: rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite


  1. PC startet immer wieder WIN 8.1
    Plagegeister aller Art und deren Bekämpfung - 09.06.2015 (3)
  2. V9-Virus - Internet Explorer startet immer mit V9-Seite
    Plagegeister aller Art und deren Bekämpfung - 31.08.2014 (11)
  3. WIN7 - Chrome startet immer mit websearches Seite
    Log-Analyse und Auswertung - 13.06.2014 (16)
  4. Windows 7, Browser leitet immer wieder auf falsche Java Seite um
    Log-Analyse und Auswertung - 27.05.2014 (9)
  5. rundll32.exe prozess kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 10.01.2014 (9)
  6. PC startet immer wieder neu
    Alles rund um Windows - 17.05.2012 (8)
  7. Firefox startet immer bestimmte Seite
    Plagegeister aller Art und deren Bekämpfung - 05.06.2011 (37)
  8. Werde bei Google immer auf andere Seite weitergeleitet...
    Log-Analyse und Auswertung - 01.10.2010 (13)
  9. Firefox startet automatisch (immer und immer wieder)
    Log-Analyse und Auswertung - 09.01.2010 (9)
  10. PC verseucht? - Opera sammelt immer wieder zig seltsame Cookies
    Log-Analyse und Auswertung - 10.07.2009 (5)
  11. Browser jumpt immer auf andere Seite
    Log-Analyse und Auswertung - 20.12.2008 (0)
  12. Immer wieder Tronjaner und andere Probleme
    Log-Analyse und Auswertung - 17.11.2008 (1)
  13. XP startet immer wieder neu???
    Mülltonne - 13.05.2008 (0)
  14. Immer wieder TR/Crypt.XPACK.Gen und andere Attaken!
    Plagegeister aller Art und deren Bekämpfung - 30.01.2008 (1)
  15. Seite öffnet sich immer wieder!
    Log-Analyse und Auswertung - 02.08.2007 (5)
  16. Pc startet immer wieder neu...
    Plagegeister aller Art und deren Bekämpfung - 19.10.2005 (5)
  17. PC startet immer wieder neu
    Log-Analyse und Auswertung - 11.12.2004 (3)

Zum Thema rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite - Hallo ihr (hoffentlich meine Helden in Spe), zunächste sage ich gleich vorweg: Ich bin ein totaler Depp was sowas hier angeht und versuche wirklich mein Bestes, wenn es darum geht - rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite...
Archiv
Du betrachtest: rundll32.exe und andere seltsame Prozesse, IE startet immer wieder mit leerer Seite auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.