Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Antimalware Doctor - "idstrf" kommt immer wieder

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.04.2010, 22:52   #1
mikl
 
Antimalware Doctor - "idstrf" kommt immer wieder - Standard

Antimalware Doctor - "idstrf" kommt immer wieder



Hallo zusammen,

wie viele andere teile ich das Antimalware -Doctor Problem. EIniges habe ich mit Hilfe des Forums auch schon gelernt und gemacht.
1) rkill
2) ccleaner
3) Malwarebytes mit aktueller Datenbak 4016

Malwarebytes habe ich mehrfach laufen lassen. Jedes Mal wurde etwas gefunden und entfernt. Nun bin ich aber an einem Punkt, wo es nicht weiter geht, da immer wieder derselbe infizierte Registrierungswert auftaucht:

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.

Antimalware Doctor taucht aktiv nicht mehr auf, allerdings finde ich es beunruhigend, dass Malwarebytes nach jedem Neustart dasselbe findet.

Wer kann weiter helfen?

Hier meine Logs:

***********************************

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4016

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

21.04.2010 23:53:22
mbam-log-2010-04-21 (23-53-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 147563
Laufzeit: 19 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)





*******************************************************




OTL


OTL logfile created on: 22.04.2010 21:32:31 - Run 1
OTL by OldTimer - Version 3.2.2.0 Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

735,00 Mb Total Physical Memory | 359,00 Mb Available Physical Memory | 49,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 78,00% Paging File free
Paging file location(s): D:\pagefile.sys 1000 1104 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 4,00 Gb Total Space | 0,62 Gb Free Space | 15,51% Space Free | Partition Type: NTFS
Drive D: | 33,25 Gb Total Space | 16,44 Gb Free Space | 49,45% Space Free | Partition Type: NTFS
Unable to calculate disk information.
Drive F: | 241,71 Mb Total Space | 162,34 Mb Free Space | 67,16% Space Free | Partition Type: FAT
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: LAPPI
Current User Name: ***
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)
PRC - D:\Programme\Herbert\herbert.exe (Malwarebytes Corporation)
PRC - D:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe ()
PRC - D:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - D:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - D:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - D:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
PRC - D:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation)
PRC - D:\Programme\HPQ\Quick Launch Buttons\eabservr.exe (Hewlett-Packard )
PRC - D:\Programme\HPQ\Shared\HpqToaster.exe ()
PRC - C:\WINDOWS\system32\bcmntray.EXE (Broadcom Corporation)
PRC - D:\Programme\palmOne\HOTSYNC.EXE (Palm, Inc.)


========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools)


========== Win32 Services (SafeList) ==========

SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (odserv) -- D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- D:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)


========== Driver Services (SafeList) ==========

DRV - (Ser2pl) -- C:\WINDOWS\system32\drivers\ser2pl.sys (Prolific Technology Inc.)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- D:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (tifm21) -- C:\WINDOWS\system32\drivers\tifm21.sys (Texas Instruments)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (CAMCHALA) -- C:\WINDOWS\system32\drivers\camc6hal.sys (Conexant Systems Inc.)
DRV - (CAMCAUD) -- C:\WINDOWS\system32\drivers\camc6aud.sys (Conexant Systems Inc.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (BCM43XX) -- C:\WINDOWS\system32\drivers\BCMWL5.SYS (Broadcom Corporation)
DRV - (eabfiltr) -- C:\WINDOWS\system32\drivers\eabfiltr.sys (Hewlett-Packard Development Company, L.P.)
DRV - (eabusb) -- C:\WINDOWS\system32\drivers\EabUsb.sys (Hewlett-Packard Development Company, L.P.)
DRV - (HSF_DP) -- C:\WINDOWS\system32\drivers\HSF_DP.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.)
DRV - (HSFHWATI) -- C:\WINDOWS\system32\drivers\HSFHWATI.sys (Conexant Systems, Inc.)
DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
DRV - (b57w2k) Broadcom NetLink (TM) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "www.web.de"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: D:\Programme\Mozilla Firefox\components [2010.04.18 23:08:47 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2010.04.18 23:08:47 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Components: D:\Programme\Mozilla Thunderbird\components [2010.04.06 22:47:11 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Plugins: D:\Programme\Mozilla Thunderbird\plugins

[2010.02.04 22:58:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.02.04 22:58:22 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010.02.03 23:16:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\h19togks.default\extensions
[2010.04.20 21:26:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\qfbrfcrs.default\extensions
[2010.02.16 11:08:14 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\qfbrfcrs.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.02.15 22:17:08 | 000,000,000 | ---D | M] -- D:\Programme\Mozilla Firefox\extensions
[2010.01.20 11:49:24 | 000,164,120 | ---- | M] (Tracker Software Products Ltd.) -- D:\Programme\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll
[2010.01.16 03:15:29 | 000,001,392 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.16 03:15:29 | 000,002,344 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.01.16 03:15:29 | 000,006,805 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.16 03:15:29 | 000,001,178 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.16 03:15:29 | 000,001,105 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (C:\WINDOWS\system32\ezcimf5.dll) - {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - C:\WINDOWS\system32\ezcimf5.dll ()
O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\System32\bcmntray.exe (Broadcom Corporation)
O4 - HKLM..\Run: [eabconfg.cpl] D:\Programme\HPQ\Quick Launch Buttons\EabServr.exe (Hewlett-Packard )
O4 - HKCU..\Run: [H/PC Connection Agent] D:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
O4 - HKCU..\Run: [mcexecwin] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\aq13xh59.dll ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk = D:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Sparbuch heute.lnk = D:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\HotSync Manager.lnk = D:\Programme\palmOne\HOTSYNC.EXE (Palm, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = D:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - D:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Java Plug-in 1.5.0_04)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O22 - SharedTaskScheduler: {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - kjsfi8sjefiuoshiefyhiusdhfdf - C:\WINDOWS\system32\ezcimf5.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - D:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.02.03 09:13:42 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.04.22 21:32:04 | 000,562,176 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.04.22 00:03:15 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2010.04.20 23:16:11 | 000,000,000 | ---D | C] -- D:\Programme\Herbert
[2010.04.20 22:35:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2010.04.20 22:35:06 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.20 22:35:04 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.20 22:35:04 | 000,000,000 | ---D | C] -- D:\Programme\Malwarebytes' Anti-Malware
[2010.04.20 22:35:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.04.20 21:37:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\89489776028B56333CA1BC863035958F
[2010.04.20 21:29:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun
[2010.04.18 09:14:07 | 000,000,000 | ---D | C] -- D:\Programme\cdex_151
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.04.22 21:38:16 | 000,562,176 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2010.04.22 21:17:23 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.22 21:17:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.22 00:03:21 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2010.04.22 00:03:20 | 003,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2010.04.20 23:44:31 | 000,000,523 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.20 22:03:11 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.20 21:37:07 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\ezcimf5.dll
[2010.04.18 10:23:35 | 000,072,640 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.04.18 08:47:06 | 000,002,083 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft ActiveSync.lnk
[2010.04.12 22:51:04 | 000,000,567 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Hotsync Manager.lnk
[2010.04.12 22:39:42 | 000,000,541 | ---- | M] () -- C:\WINDOWS\wiso.ini
[2010.04.07 06:57:34 | 001,086,472 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.07 06:57:34 | 000,477,378 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.07 06:57:34 | 000,435,594 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.07 06:57:34 | 000,091,122 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.07 06:57:34 | 000,068,490 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.04.06 22:44:48 | 000,001,527 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Thunderbird.lnk
[2010.03.29 15:24:58 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.29 15:24:46 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.03.25 01:21:14 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\UMDF\Msft_User_WpdMtpDr_01_00_00.Wdf
[2010.03.25 00:52:38 | 000,010,752 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.04.20 22:35:08 | 000,000,523 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.20 21:37:07 | 000,030,000 | ---- | C] () -- C:\WINDOWS\System32\ezcimf5.dll
[2010.04.12 22:51:04 | 000,000,567 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Hotsync Manager.lnk
[2010.04.06 22:44:48 | 000,001,527 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Thunderbird.lnk
[2010.03.25 00:50:42 | 000,010,752 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.13 13:02:27 | 000,000,541 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2010.02.03 11:56:19 | 000,000,234 | ---- | C] () -- C:\WINDOWS\apis-iq.ini
[2010.02.03 11:47:50 | 001,212,416 | ---- | C] () -- C:\WINDOWS\System32\bcmwcfg.dll
[2010.02.03 11:47:50 | 000,950,272 | ---- | C] () -- C:\WINDOWS\System32\bcmacfg.dll
[2010.02.03 11:47:50 | 000,913,408 | ---- | C] () -- C:\WINDOWS\System32\bcmctrls.dll
[2010.02.03 11:47:50 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\preflib.dll
[2010.02.03 11:42:01 | 000,000,027 | ---- | C] () -- C:\WINDOWS\SmartAudio.INI
[2008.05.26 23:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 23:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 23:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2004.11.30 10:19:45 | 000,000,618 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2004.01.13 20:46:34 | 000,172,032 | ---- | C] () -- C:\WINDOWS\System32\tifmicon.dll
< End of report >




********************************************************




OTL Extras logfile created on: 22.04.2010 21:32:31 - Run 1
OTL by OldTimer - Version 3.2.2.0 Folder = C:\Dokumente und Einstellungen\Michael\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

735,00 Mb Total Physical Memory | 359,00 Mb Available Physical Memory | 49,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 78,00% Paging File free
Paging file location(s): D:\pagefile.sys 1000 1104 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 4,00 Gb Total Space | 0,62 Gb Free Space | 15,51% Space Free | Partition Type: NTFS
Drive D: | 33,25 Gb Total Space | 16,44 Gb Free Space | 49,45% Space Free | Partition Type: NTFS
Unable to calculate disk information.
Drive F: | 241,71 Mb Total Space | 162,34 Mb Free Space | 67,16% Space Free | Partition Type: FAT
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: LAPPI
Current User Name: Michael
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "D:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- Reg Error: Key error.
htmlfile [opennew] -- Reg Error: Key error.
htmlfile [print] -- "D:\Programme\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome File not found
https [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome File not found
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- Reg Error: Key error.
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Programme\Internet Explorer\iexplore.exe" File not found

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNetisabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNetisabled:@xpsp2res.dll,-22008
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"D:\Programme\Microsoft ActiveSync\rapimgr.exe" = D:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"D:\Programme\Microsoft ActiveSync\wcescomm.exe" = D:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"D:\Programme\Microsoft ActiveSync\WCESMgr.exe" = D:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Programme\Opera\opera.exe" = D:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- File not found
"D:\Programme\TVAnts\Tvants.exe" = D:\Programme\TVAnts\Tvants.exe:*:Enabled:TVAnts -- (Zhejiang University)
"D:\Programme\SopCast\adv\SopAdver.exe" = D:\Programme\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver -- (www.sopcast.com)
"D:\Programme\SopCast\SopCast.exe" = D:\Programme\SopCast\SopCast.exe:*:Enabled:SopCast Main Application -- (www.sopcast.com)
"D:\Programme\Microsoft ActiveSync\rapimgr.exe" = D:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"D:\Programme\Microsoft ActiveSync\wcescomm.exe" = D:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"D:\Programme\Microsoft ActiveSync\WCESMgr.exe" = D:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
"D:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = D:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}" = WISO Sparbuch 2009
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Systemsteuerung
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{3248F0A8-6813-11D6-A77B-00B0D0150040}" = J2SE Runtime Environment 5.0 Update 4
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4302B2DD-D958-40E3-BAF3-B07FFE1978CE}" = HP Wireless Assistant 2.00 B1
"{76ee9069-4bd0-5010-9753-7852aa9b060a}" = APIS IQ-RM PRO Version 5.1
"{7B6CF9EB-CB2B-4A1A-81A9-BE1A9044690A}" = TIPCI
"{8D273DE5-ABFA-4BD0-A9D7-EE9C971438C4}_is1" = PDF-Viewer
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{91120000-0014-0000-0000-0000000FF1CE}" = Microsoft Office Professional 2007
"{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9B7EBE71-677B-11D4-BD0F-0001020A5D35}" = DAO 3.6 Installation
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{B7F54262-AB66-44B3-88BF-9FC69941B643}" = Broadcom NetXtreme Ethernet Controller
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CEB326EC-8F40-47B2-BA22-BB092565D66F}" = Quick Launch Buttons 5.20 G1
"{E89D78B8-28F7-412F-8B26-C684739CBBDC}" = Palm Desktop
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Broadcom 802.11 Application" = Broadcom Wireless Utility
"Broadcom 802.11b Network Adapter" = Broadcom 802.11 Wireless LAN Adapter
"CCleaner" = CCleaner
"CNXT_AUDIO" = Conexant AC-Link Audio
"CNXT_MODEM_PCI_VEN_1002&DEV_4378&SUBSYS_308x103C" = SoftV.90 Data Fax Modem with SmartCP
"FastStone Capture" = FastStone Capture 5.3
"InstallShield_{7B6CF9EB-CB2B-4A1A-81A9-BE1A9044690A}" = Texas Instruments PCIxx21/x515/xx12 drivers.
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4)
"MP3Cover" = MP3Cover
"Mp3tag" = Mp3tag v2.46a
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"PROR" = Microsoft Office Professional 2007
"SopCast" = SopCast 3.2.4
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TVAnts 1.0" = TVAnts 1.0
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows Mobile Device Handbook" = Windows Mobile®-MDA Compact V Handbuch
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"xp-AntiSpy" = xp-AntiSpy 3.97-8

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 17.02.2010 17:48:14 | Computer Name = LAPPI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung wmain09.dll, Version 16.14.0.6537, fehlgeschlagenes
Modul qtcore4.dll, Version 4.4.2.8283, Fehleradresse 0x000a5715.

Error - 20.03.2010 03:42:07 | Computer Name = LAPPI | Source = Windows Search Service | ID = 3024
Description = Die Aktualisierung kann nicht gestartet werden, da kein Zugriff auf
die Inhaltsquellen bestand. Beheben Sie die Fehler, und starten Sie die Aktualisierung
erneut. Kontext: Anwendung, SystemIndex Katalog

[ System Events ]
Error - 22.04.2010 15:17:23 | Computer Name = LAPPI | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC90.CRT fehlgeschlagen.
Referenzfehlermeldung:
Die referenzierte Assemblierung ist nicht auf dem Computer installiert. .

Error - 22.04.2010 15:17:23 | Computer Name = LAPPI | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für D:\Programme\Avira\AntiVir Desktop\sched.exe
fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. .

Error - 22.04.2010 15:17:23 | Computer Name = LAPPI | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC90.CRT" konnte nicht gefunden
werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
installiert.

Error - 22.04.2010 15:17:23 | Computer Name = LAPPI | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC90.CRT fehlgeschlagen.
Referenzfehlermeldung:
Die referenzierte Assemblierung ist nicht auf dem Computer installiert. .

Error - 22.04.2010 15:17:23 | Computer Name = LAPPI | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für D:\Programme\Avira\AntiVir Desktop\avguard.exe
fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. .

Error - 22.04.2010 15:18:12 | Computer Name = LAPPI | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC90.CRT" konnte nicht gefunden
werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
installiert.

Error - 22.04.2010 15:18:12 | Computer Name = LAPPI | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC90.CRT fehlgeschlagen.
Referenzfehlermeldung:
Die referenzierte Assemblierung ist nicht auf dem Computer installiert. .

Error - 22.04.2010 15:18:12 | Computer Name = LAPPI | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für D:\Programme\Avira\AntiVir Desktop\avgnt.exe
fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. .

Error - 22.04.2010 15:18:21 | Computer Name = LAPPI | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Avira AntiVir Planer" wurde aufgrund folgenden Fehlers
nicht gestartet: %%14001

Error - 22.04.2010 15:18:21 | Computer Name = LAPPI | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Avira AntiVir Guard" wurde aufgrund folgenden Fehlers
nicht gestartet: %%14001


< End of report >


********************************************************

Alt 24.04.2010, 17:10   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antimalware Doctor - "idstrf" kommt immer wieder - Standard

Antimalware Doctor - "idstrf" kommt immer wieder



Hallo und

Starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
Code:
ATTFilter
:OTL
O2 - BHO: (C:\WINDOWS\system32\ezcimf5.dll) - {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - C:\WINDOWS\system32\ezcimf5.dll ()
O4 - HKCU..\Run: [mcexecwin] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\aq13xh59.dll ()
O22 - SharedTaskScheduler: {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - kjsfi8sjefiuoshiefyhiusdhfdf - C:\WINDOWS\system32\ezcimf5.dll ()
[2010.04.20 21:37:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\89489776028B56333CA1BC863035958F
[2010.04.20 21:37:07 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\ezcimf5.dll
:Commands
[resethosts]
[emptytemp]
         
Klick dann auf den Button Run Fixes!
Das Logfilemüsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte.
__________________

__________________

Alt 25.04.2010, 21:19   #3
mikl
 
Antimalware Doctor - "idstrf" kommt immer wieder - Standard

Antimalware Doctor - "idstrf" kommt immer wieder



Hallo Arne,

zunächst Mal großes danke vorab Toll,das ich jemand mit meinem Problem beschäftigt. Ich wäre sonst ziemlich ratlos. Gerne würde ich ja auch verstehen, was mit meinem Rechner passiert, warum Malbytes nicht wie beschrieben alles killt und vor allem, wie ich mich besser schützen kann. Aber eins nach dem anderen. Hier das Logfile. Beim Booten kamm noch eine Rundll Fehlermeldung : "Fehler beim Laden von C:\Dokume...\aq13x59.dll"

*********************************

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A2BA40A0-74F1-52BD-F411-00B15A2C8953}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A2BA40A0-74F1-52BD-F411-00B15A2C8953}\ deleted successfully.
C:\WINDOWS\system32\ezcimf5.dll moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mcexecwin deleted successfully.
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\aq13xh59.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\\{A2BA40A0-74F1-52BD-F411-00B15A2C8953} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A2BA40A0-74F1-52BD-F411-00B15A2C8953}\ not found.
File C:\WINDOWS\system32\ezcimf5.dll not found.
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\89489776028B56333CA1BC863035958F folder moved successfully.
File C:\WINDOWS\System32\ezcimf5.dll not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Michael
->Temp folder emptied: 147311140 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 58824087 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Surfer
->Temp folder emptied: 12126913 bytes
->Temporary Internet Files folder emptied: 146903 bytes
->Java cache emptied: 13310071 bytes
->FireFox cache emptied: 116518485 bytes
->Flash cache emptied: 0 bytes

Gruß mikl
__________________

Alt 25.04.2010, 21:38   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antimalware Doctor - "idstrf" kommt immer wieder - Standard

Antimalware Doctor - "idstrf" kommt immer wieder



Zitat:
warum Malbytes nicht wie beschrieben alles killt und vor allem, wie ich mich besser schützen kann.
Darüber musst Du Dir v.a. in Zukunft besser klar sein: Virenscanner allein helfen nicht! Mehr dazu später.

Mach bitte erstmal nen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 26.04.2010, 11:48   #5
mikl
 
Antimalware Doctor - "idstrf" kommt immer wieder - Standard

Antimalware Doctor - "idstrf" kommt immer wieder



Hallo Arne,

hier der log, danke vorab Gruß Michael

*********************************************

ComboFix 10-04-21.01 - Michael 26.04.2010 11:34:15.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\cofi.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

Infizierte Kopie von c:\windows\system32\drivers\eabfiltr.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS
-------\Legacy_SVCHOST


((((((((((((((((((((((( Dateien erstellt von 2010-03-26 bis 2010-04-26 ))))))))))))))))))))))))))))))
.

2010-04-25 19:02 . 2010-04-25 19:02 -------- d-----w- C:\_OTL
2010-04-21 19:53 . 2010-04-21 19:53 -------- d-----w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\Malwarebytes
2010-04-20 21:16 . 2010-04-21 21:52 -------- d-----w- d:\programme\Herbert
2010-04-20 20:35 . 2010-04-20 20:35 -------- d-----w- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Malwarebytes
2010-04-20 20:35 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-20 20:35 . 2010-04-20 21:07 -------- d-----w- d:\programme\Malwarebytes' Anti-Malware
2010-04-20 20:35 . 2010-04-20 20:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-20 20:35 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-20 20:15 . 2010-04-20 20:16 -------- d-sh--w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\lowsec
2010-04-20 19:29 . 2010-04-20 19:29 -------- d-----w- c:\windows\Sun
2010-04-18 07:14 . 2010-04-18 09:57 -------- d-----w- d:\programme\cdex_151
2010-04-11 19:34 . 2010-04-11 19:46 -------- d-----w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\Mp3tag
2010-04-06 20:19 . 2010-04-06 20:19 -------- d-----w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\Windows Search

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-26 09:39 . 2008-04-14 12:00 91122 ----a-w- c:\windows\system32\perfc007.dat
2010-04-26 09:39 . 2008-04-14 12:00 477378 ----a-w- c:\windows\system32\perfh007.dat
2010-04-26 09:21 . 2010-02-14 09:43 -------- d-----w- d:\programme\CCleaner
2010-04-20 18:53 . 2010-02-04 20:57 -------- d-----w- d:\programme\Mozilla Thunderbird
2010-04-18 08:23 . 2010-02-03 12:25 72640 ----a-w- c:\dokumente und einstellungen\Michael\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-04-06 22:07 . 2010-03-20 09:33 -------- d-----w- d:\programme\MP3Cover
2010-04-06 21:05 . 2010-03-21 13:19 -------- d-----w- d:\programme\palmOne
2010-04-06 20:35 . 2010-02-04 21:55 72640 ----a-w- c:\dokumente und einstellungen\Surfer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-21 21:43 . 2010-03-21 21:43 65536 ----a-r- c:\dokumente und einstellungen\Urthe\Anwendungsdaten\Microsoft\Installer\{E89D78B8-28F7-412F-8B26-C684739CBBDC}\PalmDesktopShortcut.exe
2010-03-21 21:43 . 2010-03-21 21:43 65536 ----a-r- c:\dokumente und einstellungen\Urthe\Anwendungsdaten\Microsoft\Installer\{E89D78B8-28F7-412F-8B26-C684739CBBDC}\ARPPRODUCTICON.exe
2010-03-21 21:38 . 2010-03-21 21:38 -------- d-----w- c:\dokumente und einstellungen\Urthe\Anwendungsdaten\Windows Search
2010-03-21 13:19 . 2010-03-21 13:19 65536 ----a-r- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{E89D78B8-28F7-412F-8B26-C684739CBBDC}\PalmDesktopShortcut.exe
2010-03-21 13:19 . 2010-03-21 13:19 65536 ----a-r- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{E89D78B8-28F7-412F-8B26-C684739CBBDC}\ARPPRODUCTICON.exe
2010-03-21 12:41 . 2010-03-21 12:41 -------- d-----w- c:\dokumente und einstellungen\Urthe\Anwendungsdaten\Windows Desktop Search
2010-03-20 21:07 . 2010-03-21 12:32 39552 ----a-w- c:\windows\system32\drivers\ser2pl.sys
2010-03-20 19:42 . 2010-03-20 19:42 -------- d-----w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\Windows Desktop Search
2010-03-20 11:24 . 2010-03-20 11:24 -------- d-----w- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Windows Search
2010-03-20 11:16 . 2010-03-20 09:41 -------- d-----w- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mp3tag
2010-03-20 09:40 . 2010-03-20 09:40 -------- d-----w- d:\programme\Mp3tag
2010-03-20 07:51 . 2010-03-19 21:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-03-19 22:47 . 2010-03-19 22:47 -------- d-----w- d:\programme\Windows Media Connect 2
2010-03-19 21:49 . 2010-03-19 21:49 -------- d-----w- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Windows Desktop Search
2010-03-19 21:48 . 2010-03-19 21:48 -------- d-----w- d:\programme\Windows Desktop Search
2010-03-19 21:29 . 2010-03-19 21:29 -------- d-----w- d:\programme\Microsoft Works
2010-03-19 21:27 . 2010-03-19 21:27 -------- d-----w- d:\programme\Microsoft.NET
2010-03-19 20:40 . 2010-03-19 20:40 -------- d-----w- d:\programme\Microsoft ActiveSync
2010-03-19 20:39 . 2010-03-19 20:39 -------- d-----w- d:\programme\Windows Mobile-MDA Compact V Handbuch
2010-03-16 20:21 . 2010-02-16 09:12 1 ----a-w- c:\dokumente und einstellungen\Michael\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-14 19:34 . 2010-03-02 20:54 1 ----a-w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-14 10:09 . 2010-02-05 21:56 1 ----a-w- c:\dokumente und einstellungen\Urthe\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-12 19:33 . 2010-03-12 19:33 -------- d-----w- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Thunderbird
2010-03-02 20:52 . 2010-03-02 20:52 -------- d-----w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\OpenOffice.org
2010-02-05 21:47 . 2010-02-05 21:48 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-02-04 20:58 . 2010-02-04 20:58 0 ----a-w- c:\windows\nsreg.dat
2010-02-04 11:38 . 2010-02-03 21:06 4212 ---h--w- c:\windows\system32\zllictbl.dat
2010-02-03 09:47 . 2010-02-03 09:47 17801 ----a-w- c:\windows\system32\drivers\AegisP.sys
2010-02-03 08:12 . 2010-02-03 07:12 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-02-03 07:09 . 2010-02-03 07:09 21740 ----a-w- c:\windows\system32\emptyregdb.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\bcmntray" [X]
"SynTPEnh"="d:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-06-20 729178]
"ATIPTA"="d:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-09 344064]
"SunJavaUpdateSched"="d:\programme\Java\jre6\bin\jusched.exe" [2010-02-05 149280]
"hpWirelessAssistant"="d:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-10-24 499712]
"eabconfg.cpl"="d:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2005-12-22 405504]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IQ Data Setup"="d:\programme\Apis\IQRMPRO51\setup.exe" [2006-11-09 1112545]

c:\dokumente und einstellungen\Surfer\Startmen\Programme\Autostart\
OpenOffice.org 3.1.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\dokumente und einstellungen\Urthe\Startmen\Programme\Autostart\
HotSync Manager.lnk - d:\programme\palmOne\HOTSYNC.EXE [2004-4-13 299008]
OpenOffice.org 3.1.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\dokumente und einstellungen\Michael\Startmen\Programme\Autostart\
HotSync Manager.lnk - d:\programme\palmOne\HOTSYNC.EXE [2004-4-13 299008]
OpenOffice.org 3.1.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Windows Search.lnk - d:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
WISO Mein Sparbuch heute.lnk - d:\programme\WISO\Sparbuch 2009\meinsparbuchheute.exe [2010-2-13 1140008]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "d:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Programme\\TVAnts\\Tvants.exe"=
"d:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"d:\\Programme\\SopCast\\SopCast.exe"=
"d:\programme\Microsoft ActiveSync\rapimgr.exe"= d:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"d:\programme\Microsoft ActiveSync\wcescomm.exe"= d:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"d:\programme\Microsoft ActiveSync\WCESMgr.exe"= d:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [03.02.2010 11:42 200576]
S0 cwzcszxh;cwzcszxh; [x]
S2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [03.02.2010 20:42 108289]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\qfbrfcrs.default\
FF - prefs.js: browser.startup.homepage - WEB.DE - E-Mail - Suche - DSL - Modem - Shopping - Entertainment
FF - plugin: d:\programme\PDF\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com");
d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-04-26 11:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(868)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1836)
d:\programme\Windows Desktop Search\deskbar.dll
d:\programme\Windows Desktop Search\de-de\dbres.dll.mui
d:\programme\Windows Desktop Search\dbres.dll
d:\programme\Windows Desktop Search\wordwheel.dll
d:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui
d:\programme\Windows Desktop Search\msnlExtRes.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\wltrysvc.exe
c:\windows\System32\bcmwltry.exe
d:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\SearchIndexer.exe
d:\programme\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\bcmntray.exe
d:\programme\Microsoft ActiveSync\wcescomm.exe
d:\progra~1\HPQ\SHARED\HPQTOA~1.EXE
d:\programme\HPQ\Shared\hpqwmi.exe
d:\progra~1\MICROS~2\rapimgr.exe
d:\programme\OpenOffice.org 3\program\soffice.exe
d:\programme\OpenOffice.org 3\program\soffice.bin
c:\\?\c:\windows\system32\WBEM\WMIADAP.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-26 11:43:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-26 09:43

Vor Suchlauf: 1.082.494.976 Bytes frei
Nach Suchlauf: 1.006.362.624 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - E70F1650083471377586ABD4CFA60247


Alt 26.04.2010, 12:02   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antimalware Doctor - "idstrf" kommt immer wieder - Standard

Antimalware Doctor - "idstrf" kommt immer wieder



Ok. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
--> Antimalware Doctor - "idstrf" kommt immer wieder

Alt 26.04.2010, 12:10   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antimalware Doctor - "idstrf" kommt immer wieder - Standard

Antimalware Doctor - "idstrf" kommt immer wieder



@Computerfan:
Solche Tipps von Dir sind kontraproduktiv!
Bitte AVG nicht installieren! Das bringt einen Hintergrundwächter mit, deswegen müsste
AntiVir zuerst deinstalliert werden! Außerdem stört das jetzt nur, ich will die Kontrollscans von den anderen Tools sehen, die sich wohlgemerkt mit einem anderen aktiven Virenscanner "verstehen".

Nein. Ich möchte erst die Logs der anderen Tools sehen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.04.2010, 12:44   #8
mikl
 
Antimalware Doctor - "idstrf" kommt immer wieder - Standard

Antimalware Doctor - "idstrf" kommt immer wieder



Hallo Arne,

habe soeben beide Scans gemacht. Malwarebytes hat drei Infektionen gefunden. Log Folgt. Die habe ich entfernen lassen, dann Neustart. Dann habe ich SUPERAntiSpyware laufen lassen, der hat nichts gefunden, dann habe ich noch mal Malwarebytes losgeschickt und der hat dann auch nichts gefunden. Die Logs kommen also in folgender Rehenfolge:
Malwrebtes - SASW - Malwarebytes
gruß mikl

*********************************************

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4044

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

28.04.2010 09:35:00
mbam-log-2010-04-28 (09-35-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 147353
Laufzeit: 25 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a2ba40a0-74f1-52bd-f411-00b15a2c8953} (Trojan.Ertfor) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\_OTL\MovedFiles\04252010_210232\C_Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\aq13xh59.dll (Trojan.Agent) -> No action taken.
C:\_OTL\MovedFiles\04252010_210232\C_WINDOWS\system32\ezcimf5.dll (Trojan.Agent) -> No action taken.



**********************************************


SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 04/28/2010 bei 09:58 AM

Version der Applikation : 4.35.1002

Version der Kern-Datenbank : 4744
Version der Spur-Datenbank : 2673

Scan Art : kompletter Scann
Totale Scann-Zeit : 00:07:59

Gescannte Speicherelemente : 565
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 4882
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 5084
Erfasste Datei-Elemente : 0



****************************************************

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4044

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

28.04.2010 12:34:47
mbam-log-2010-04-28 (12-34-47).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 147428
Laufzeit: 24 Minute(n), 55 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Alt 30.04.2010, 08:42   #9
mikl
 
Antimalware Doctor - "idstrf" kommt immer wieder - Standard

Antimalware Doctor - "idstrf" kommt immer wieder



Hallo Arne,

kannst Du nochmal kurz eine Rückmeldung geben, ob Deiner Meinung nach der Rechner jetzt sauber ist? Und dann hatte ich ja noch die Frage, was ich auf meinem Rechner falsch gemacht habe und mir den Virus eingefangen habe. Danke vorab, Gruß MIchael

Alt 30.04.2010, 13:32   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antimalware Doctor - "idstrf" kommt immer wieder - Standard

Antimalware Doctor - "idstrf" kommt immer wieder



Die Logs sind jetzt ok. Läuft der Rechner wieder normal unauffällig?

Zitat:
Und dann hatte ich ja noch die Frage, was ich auf meinem Rechner falsch gemacht habe und mir den Virus eingefangen habe
Du musst eine Reihe von Sicherheitsregeln einhalten. Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 02.05.2010, 00:39   #11
mikl
 
Antimalware Doctor - "idstrf" kommt immer wieder - Standard

Antimalware Doctor - "idstrf" kommt immer wieder



Hallo Arne,

zunächst mal musste ich Virenscanner neu installieren, der lief nicht mehr, dann die Firewall neu aktivieren, dabei hat der Rehner ein bisschen gemeckert mit Fehlermeldungen, nun läuft aber beides wieder.
Dann habe ich einen AntiVir Scan gemacht, dabei wurde wieder etwas gefunden. s.u. anschließend SASW -> 79 Funde!!!???, dann Malwarebytes keine Funde.... Ist das normal?

Gruß Michael

*********************************************************

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 1. Mai 2010 22:48

Es wird nach 2062283 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : LAPPI

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 08:22:25
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 08:22:38
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 08:22:43
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 20:46:54
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 20:46:54
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 20:46:54
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 20:46:54
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 20:46:54
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 20:46:54
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 20:46:54
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 20:46:55
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 20:46:55
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 20:46:56
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 20:46:56
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 20:46:57
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 20:46:57
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 20:46:58
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 20:46:59
VBASE020.VDF : 7.10.7.3 2048 Bytes 30.04.2010 20:46:59
VBASE021.VDF : 7.10.7.4 2048 Bytes 30.04.2010 20:46:59
VBASE022.VDF : 7.10.7.5 2048 Bytes 30.04.2010 20:46:59
VBASE023.VDF : 7.10.7.6 2048 Bytes 30.04.2010 20:46:59
VBASE024.VDF : 7.10.7.7 2048 Bytes 30.04.2010 20:46:59
VBASE025.VDF : 7.10.7.8 2048 Bytes 30.04.2010 20:46:59
VBASE026.VDF : 7.10.7.9 2048 Bytes 30.04.2010 20:46:59
VBASE027.VDF : 7.10.7.10 2048 Bytes 30.04.2010 20:46:59
VBASE028.VDF : 7.10.7.11 2048 Bytes 30.04.2010 20:46:59
VBASE029.VDF : 7.10.7.12 2048 Bytes 30.04.2010 20:46:59
VBASE030.VDF : 7.10.7.13 2048 Bytes 30.04.2010 20:46:59
VBASE031.VDF : 7.10.7.16 43520 Bytes 30.04.2010 20:47:00
Engineversion : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 01.05.2010 20:47:10
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 01.05.2010 20:47:10
AESCN.DLL : 8.1.5.0 127347 Bytes 25.02.2010 17:38:41
AESBX.DLL : 8.1.3.1 254324 Bytes 01.05.2010 20:47:11
AERDL.DLL : 8.1.4.6 541043 Bytes 01.05.2010 20:47:09
AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 11:34:51
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17.03.2010 10:09:46
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 01.05.2010 20:47:07
AEHELP.DLL : 8.1.11.3 242039 Bytes 01.04.2010 15:05:25
AEGEN.DLL : 8.1.3.7 373106 Bytes 01.05.2010 20:47:02
AEEMU.DLL : 8.1.2.0 393588 Bytes 01.05.2010 20:47:02
AECORE.DLL : 8.1.13.1 188790 Bytes 01.04.2010 15:05:25
AEBB.DLL : 8.1.1.0 53618 Bytes 01.05.2010 20:47:01
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: D:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 1. Mai 2010 22:48

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmi.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPQTOA~1.EXE' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'HOTSYNC.EXE' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'meinsparbuchheute.exe' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'WindowsSearch.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'EabServr.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'bcmntray.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'HP Wireless Assistant.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'bcmwltry.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'wltrysvc.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '165' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '381' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\eabfiltr.sys.vir
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
Beginne mit der Suche in 'D:\' <Daten>

Beginne mit der Desinfektion:
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\eabfiltr.sys.vir
[FUND] Ist das Trojanische Pferd TR/Patched.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b23927.qua' verschoben!


Ende des Suchlaufs: Samstag, 1. Mai 2010 23:29
Benötigte Zeit: 37:28 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4160 Verzeichnisse wurden überprüft
348834 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
348833 Dateien ohne Befall
2955 Archive wurden durchsucht
0 Warnungen
1 Hinweise
240095 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

************************************************************

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 05/01/2010 at 11:51 PM

Application Version : 4.35.1002

Core Rules Database Version : 4878
Trace Rules Database Version: 2690

Scan type : Quick Scan
Total Scan Time : 00:10:05

Memory items scanned : 626
Memory threats detected : 0
Registry items scanned : 359
Registry threats detected : 0
File items scanned : 4814
File threats detected : 79

Adware.Tracking Cookie
.doubleclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
tracking.mlsat02.de [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.tradedoubler.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.tradedoubler.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.tradedoubler.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.tradedoubler.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
rotator.adjuggler.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
rotator.adjuggler.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.bs.serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.mediaplex.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.mediaplex.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
ad.zanox.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.zanox.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
ad.zanox.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
Suchmaschinenoptimierung (SEO) & Online Marketing Services [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.atdmt.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.atdmt.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
Discountfan - Alles andere können Sie sich sparen! [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
Discountfan - Alles andere können Sie sich sparen! [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
adsrv.admediate.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
adsrv.admediate.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
cdn5.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
cdn5.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.questionmarket.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.questionmarket.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.adviva.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.bluestreak.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.zanox-affiliate.de [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.traffictrack.de [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.e-2dj6wfkyeidzeko.stats.esomniture.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.e-2dj6wfk4ckdzikp.stats.esomniture.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
statse.webtrendslive.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.im.banner.t-online.de [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.e-2dj6wjlyqgdzodp.stats.esomniture.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.tracking.quisma.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.unitymedia.de [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.tracking.quisma.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.adtech.de [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.paypal.112.2o7.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
ad.yieldmanager.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
ad.yieldmanager.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
ad.yieldmanager.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.content.yieldmanager.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.adfarm1.adition.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.advertising.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.advertising.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.advertising.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.advertising.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.apmebf.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.e-2dj6wamyojazmeo.stats.esomniture.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
data.coremetrics.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.ehg-adidas.hitbox.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.hitbox.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
.ehg-adidas.hitbox.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]
adserver.sensusdata.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ]


***************************************************************

Malwarebytes' Anti-Malware 1.45
Malwarebytes

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

02.05.2010 00:21:52
mbam-log-2010-05-02 (00-21-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 148864
Laufzeit: 27 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 03.05.2010, 08:38   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Antimalware Doctor - "idstrf" kommt immer wieder - Standard

Antimalware Doctor - "idstrf" kommt immer wieder



Zitat:
s.u. anschließend SASW -> 79 Funde!!!??
SASW hat nur harmlose Cookies gefunden!

Zitat:
Beginne mit der Suche in 'C:\'
C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\eabfiltr.sys.vir
...während AntiVir nur bei der schon mit Combofix unschädlich gemachten Datei was zu meckern hatte

Zitat:
Malwarebytes' Anti-Malware 1.45
Malwarebytes

Datenbank Version: 4052
Und Malwarebytes war leider nicht aktuell. Du musst auf Version 1.46 und Datenbank Version 4060 updaten und den Vollscan wiederholen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Antimalware Doctor - "idstrf" kommt immer wieder
.com, 0x00000001, adobe, antivir guard, assembly, avgntflt.sys, avira, bho, components, einstellungen, error, excel.exe, firefox, firefox 3.6.3, firefox.exe, flash player, format, iexplore.exe, infizierte, internet browser, kommt immer wieder, launch, location, logfile, microsoft office word, mozilla, mozilla thunderbird, oldtimer, opera.exe, otl.exe, registry, rundll, saver, sched.exe, searchplugins, security, shell32.dll, software, sparbuch, starten, tcp, tracker, udp, windows, wireless lan, wiso



Ähnliche Themen: Antimalware Doctor - "idstrf" kommt immer wieder


  1. win 7 firefox langsam "keine Rückmeldung" immer wieder Meldung "ein skript auf dieser Seite ist eventuell beschädigt...."
    Plagegeister aller Art und deren Bekämpfung - 14.01.2015 (11)
  2. Win 8: TR/Trash.Gen kommt immer wieder und "istart.websearch" als Google Chrome Startseite.
    Log-Analyse und Auswertung - 01.08.2014 (3)
  3. Avira Meldet "C:\WINDOWS\system32\Skype.scr\Skype.exe" und kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.05.2013 (11)
  4. Avira findet Malware "TR/ATRAPS.Gen", kann nicht gelöscht werden, kommt immer wieder?
    Plagegeister aller Art und deren Bekämpfung - 28.06.2012 (3)
  5. Mein Pc ist von einem "TR/Sirefef.BV.2" Virus befallen. Kommt immer wieder auch nach Löschen!
    Log-Analyse und Auswertung - 27.02.2012 (3)
  6. "antimalware doctor" malware
    Plagegeister aller Art und deren Bekämpfung - 02.02.2011 (3)
  7. Antimalware Doctor - auch ich habe diesen "Akademiker"
    Plagegeister aller Art und deren Bekämpfung - 13.09.2010 (11)
  8. "Sie werden in Kürze abgemeldet", Antimalware doctor, keine Internetverbindung möglich
    Log-Analyse und Auswertung - 06.09.2010 (33)
  9. Antimalware Doctor + "in einer Minute wird der rechner runtergefahren"
    Plagegeister aller Art und deren Bekämpfung - 27.08.2010 (3)
  10. Nach "Antimalware Doctor" weiterhin Probleme
    Log-Analyse und Auswertung - 08.08.2010 (33)
  11. Nach "Antimalware Doctor"-Befall weiterhin Probleme
    Log-Analyse und Auswertung - 27.07.2010 (7)
  12. Antimalware Doctor startet immer wieder neu
    Plagegeister aller Art und deren Bekämpfung - 14.06.2010 (41)
  13. Antimalware Doctor kommt immer wieder!
    Plagegeister aller Art und deren Bekämpfung - 10.06.2010 (9)
  14. Antimalware Doctor kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 08.06.2010 (6)
  15. Habe Laptop meines Freundes mit dem "Antimalware Doctor" infiziert!
    Plagegeister aller Art und deren Bekämpfung - 08.06.2010 (1)
  16. Trojaner: "Trojan.DNSchanger.hg" kommt immer wieder zurück
    Log-Analyse und Auswertung - 14.12.2006 (3)
  17. AntiVir findet und löscht "TR/Dldr.Small.ayl.0" -Der Trojaner kommt aber immer wieder
    Log-Analyse und Auswertung - 24.02.2006 (9)

Zum Thema Antimalware Doctor - "idstrf" kommt immer wieder - Hallo zusammen, wie viele andere teile ich das Antimalware -Doctor Problem. EIniges habe ich mit Hilfe des Forums auch schon gelernt und gemacht. 1) rkill 2) ccleaner 3) Malwarebytes mit - Antimalware Doctor - "idstrf" kommt immer wieder...
Archiv
Du betrachtest: Antimalware Doctor - "idstrf" kommt immer wieder auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.