| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Virus verbreitet sichWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
27.04.2010, 11:09
| #1 |
 |  Virus verbreitet sich Hallo Seit kurzer Zeit habe ich das Problem dass die Datei Autorun.inf über Usb an angeschlossene Wechseldatenträger verbreitet wird .Ich habe mich informiert und wurde noch nicht wirklich schlau aber eine Datei namens ctfmon.exe soll schuld sein .Desweitern habe ich das problem dass mir beim Start des pcs von Antivir gemeldet wird dass sich im Temp Ordner befallene Dateien befinden. ICh hoffe ihr könnt mir helfen . Hijack this sieht so aus Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:07:52, on 26.04.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\IoctlSvc.exe C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\MSI\LAN Utility\DiagAP8169.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\DAEMON Tools Lite\DTLite.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [DiagAP8169] C:\Programme\MSI\LAN Utility\DiagAP8169 /hw O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe -- End of file - 7198 bytes |
|
27.04.2010, 14:55
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Virus verbreitet sich Hallo und
__________________ Für die Entfernung der Schädlinge auf Wechselmedien => Flash Disinfector anwenden (alle infizierten USB-Sticks einstecken und Tool ausführen) Danach einen Vollscan mit Malwarebytes machen und Log posten. Und anschließend OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
|
27.04.2010, 21:32
| #3 |
| | Virus verbreitet sich Guten Abend vielen Dank schonmal
__________________Hier habe ich also die Logs Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 4042 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 27.04.2010 21:54:19 mbam-log-2010-04-27 (21-54-19).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|) Durchsuchte Objekte: 221045 Laufzeit: 1 Stunde(n), 13 Minute(n), 18 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 2 Infizierte Dateien: 7 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (Trojan.Agent) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\debugger (Security.Hijack) -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken. Infizierte Verzeichnisse: C:\Programme\Microsoft Common (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken. Infizierte Dateien: C:\daten\*** Daten 2\Programme\cryptload\CryptLoad_1.0.9\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken. C:\Programme\Microsoft Common\svchost.exe (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken. C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken. C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> No action taken. C:\WINDOWS\Temp\rdlE3.tmp.exe (Trojan.Dropper) -> No action taken. Hier noch OTL OTL logfile created on: 27.04.2010 21:55:24 - Run 1 OTL by OldTimer - Version 3.2.3.0 Folder = C:\daten\Raffi´s Daten 2\Progs\Virenbekämpfung Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.023,00 Mb Total Physical Memory | 373,00 Mb Available Physical Memory | 36,00% Memory free 3,00 Gb Paging File | 2,00 Gb Available in Paging File | 78,00% Paging File free Paging file location(s): C:\pagefile.sys 1920 3840 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 149,05 Gb Total Space | 66,54 Gb Free Space | 44,65% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded Drive F: | 931,51 Gb Total Space | 867,63 Gb Free Space | 93,14% Space Free | Partition Type: NTFS G: Drive not present or media not loaded Drive H: | 1,84 Gb Total Space | 1,84 Gb Free Space | 99,99% Space Free | Partition Type: FAT I: Drive not present or media not loaded Computer Name: RAFFI-COMP Current User Name: Raffi Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\WINDOWS\Temp\F1.tmp () PRC - C:\daten\Raffi´s Daten 2\Progs\Virenbekämpfung\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) PRC - C:\Programme\iTunes\iTunes.exe (Apple Inc.) PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe (WDC) PRC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe (WDC) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.) PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation) PRC - C:\Programme\VIA\RAID\raid_tool.exe (VIA Technologies) PRC - C:\Programme\MSI\LAN Utility\DiagAP8169.exe () ========== Modules (SafeList) ========== MOD - C:\daten\***** 2\Progs\Virenbekämpfung\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\wsock32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\rsaenh.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems) SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (WDBtnMgrSvc.exe) -- C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe (WDC) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (Nero AG) ========== Driver Services (SafeList) ========== DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation) DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation ) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (videX32) -- C:\WINDOWS\system32\DRIVERS\videX32.sys (VIA Technologies, Inc.) DRV - (SideWnd) -- C:\WINDOWS\system32\drivers\innvmini.sys (Innobec Technologies Inc.) DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices) DRV - (LANPkt) -- C:\WINDOWS\system32\drivers\LANPkt.sys (Windows (R) 2000 DDK provider) DRV - (Diag69xp) -- C:\WINDOWS\system32\drivers\diag69xp.sys (Realtek Semiconductor Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.selectedEngine: "ICQ Search" FF - prefs.js..browser.startup.homepage: "google.com" FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:2 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.0&q=" FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.12 14:57:14 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.14 22:57:57 | 000,000,000 | ---D | M] [2009.12.24 15:52:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Extensions [2010.02.22 23:29:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\extensions [2010.01.25 16:22:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2010.02.22 23:25:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\extensions\staged-xpis [2010.04.27 12:20:33 | 000,000,961 | ---- | M] () -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\searchplugins\icqplugin-1.xml [2008.03.31 13:52:00 | 000,000,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\searchplugins\icqplugin.gif [2008.03.31 13:52:00 | 000,000,618 | ---- | M] () -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\searchplugins\icqplugin.src [2010.04.11 12:23:54 | 000,000,955 | ---- | M] () -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\searchplugins\icqplugin.xml [2010.04.27 15:00:33 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.01.24 17:31:00 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2010.02.22 23:24:49 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.02.22 23:24:49 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.02.22 23:24:49 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.02.22 23:24:49 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.02.22 23:24:49 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [DiagAP8169] C:\Programme\MSI\LAN Utility\DiagAP8169.exe () O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe (VIA Technologies) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe (WDC) O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation) O4 - Startup: C:\Dokumente und Einstellungen\Raffi\Startmenü\Programme\Autostart\Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe File not found O20 - Winlogon\Notify\Antiwpa: DllName - antiwpa.dll - C:\WINDOWS\System32\antiwpa.dll () O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Raffi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Raffi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O27 - HKLM IFEO\explorer.exe: Debugger - C:\Programme\Microsoft Common\svchost.exe () O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.12.22 13:54:18 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2010.04.27 17:38:01 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2010.04.27 17:38:01 | 000,000,000 | RHSD | M] - F:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2010.03.31 22:31:56 | 000,124,929 | -H-- | M] () - H:\autorun.exe -- [ FAT ] O32 - AutoRun File - [2010.04.27 17:38:02 | 000,000,000 | RHSD | M] - H:\autorun.inf -- [ FAT ] O33 - MountPoints2\{7c4b46b0-1317-11df-877b-0011092c8603}\Shell - "" = AutoRun O33 - MountPoints2\{7c4b46b0-1317-11df-877b-0011092c8603}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{c3cbc360-f175-11de-8ea5-0011092c8603}\Shell - "" = AutoRun O33 - MountPoints2\{c3cbc360-f175-11de-8ea5-0011092c8603}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\F\Shell - "" = AutoRun O33 - MountPoints2\F\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.04.27 17:42:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes [2010.04.27 17:42:12 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.04.27 17:42:09 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.04.27 17:42:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.04.27 17:42:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.04.27 17:40:56 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\*****\Recent [2010.04.27 17:38:01 | 000,000,000 | RHSD | C] -- C:\autorun.inf [2010.04.27 15:59:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Google [2010.04.27 15:54:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater [2010.04.27 15:52:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Raffi\Lokale Einstellungen\Anwendungsdaten\Temp [2010.04.27 15:52:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google [2010.04.27 15:52:12 | 000,000,000 | ---D | C] -- C:\Programme\Google [2010.04.27 15:52:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Google [2010.04.26 15:07:36 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2010.04.25 11:42:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [2010.04.23 13:23:43 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Common [2010.04.22 16:38:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2010.04.22 16:29:10 | 000,032,128 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbccgp.sys [2010.04.19 15:11:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\Fotos kinderbetreuung [2010.04.12 15:08:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\U3 [2004.11.24 20:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.04.27 21:57:00 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.04.27 17:42:14 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.04.27 17:36:26 | 000,132,597 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Flash_Disinfector.exe [2010.04.27 16:55:22 | 000,001,014 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job [2010.04.27 15:59:48 | 000,000,359 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Filme.lnk [2010.04.27 15:59:35 | 005,242,880 | -H-- | M] () -- C:\Dokumente und Einstellungen\*****\NTUSER.DAT [2010.04.27 15:57:02 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.04.27 11:29:29 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.04.27 11:29:28 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.04.26 18:30:47 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\*****\ntuser.ini [2010.04.26 18:22:14 | 000,002,121 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk [2010.04.26 18:16:39 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.04.26 18:16:38 | 000,022,016 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.04.26 14:45:12 | 000,000,038 | ---- | M] () -- C:\WINDOWS\AviSplitter.INI [2010.04.26 14:44:22 | 001,728,943 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\ProcessExplorer.zip [2010.04.25 14:31:30 | 000,000,347 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\psp.lnk [2010.04.25 14:31:10 | 000,000,359 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Musik.lnk [2010.04.25 11:37:38 | 001,043,836 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.04.25 11:37:38 | 000,448,918 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.04.25 11:37:38 | 000,432,856 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.04.25 11:37:38 | 000,080,464 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.04.25 11:37:38 | 000,067,560 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.04.25 11:13:16 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.04.19 15:36:48 | 230,596,380 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Fotos kinderbetreuung.rar [2010.04.18 19:13:03 | 000,053,248 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Predigt+zu+Joh+81-11+5++Fastensonntag+2010.doc [2010.03.30 17:18:56 | 000,036,864 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\handout no country for old men Raffael Armbruster.doc [2010.03.29 15:24:58 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.03.29 15:24:46 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.04.27 17:42:14 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.04.27 17:36:25 | 000,132,597 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Flash_Disinfector.exe [2010.04.27 15:59:48 | 000,000,359 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Filme.lnk [2010.04.27 15:54:31 | 000,001,014 | ---- | C] () -- C:\WINDOWS\tasks\Google Software Updater.job [2010.04.27 15:52:28 | 000,001,086 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.04.27 15:52:26 | 000,001,082 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.04.26 14:45:12 | 000,000,038 | ---- | C] () -- C:\WINDOWS\AviSplitter.INI [2010.04.26 14:43:58 | 001,728,943 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\ProcessExplorer.zip [2010.04.25 14:31:30 | 000,000,347 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\psp.lnk [2010.04.25 14:31:10 | 000,000,359 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Musik.lnk [2010.04.19 15:33:45 | 230,596,380 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Fotos kinderbetreuung.rar [2010.04.18 19:13:02 | 000,053,248 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Predigt+zu+Joh+81-11+5++Fastensonntag+2010.doc [2010.03.30 17:14:16 | 000,036,864 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\handout no country for old men Raffael Armbruster.doc [2010.03.28 14:39:50 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2010.01.24 14:00:12 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2010.01.04 12:36:26 | 000,691,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2010.01.01 16:39:30 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll [2009.12.26 13:07:06 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.12.24 15:55:04 | 000,005,376 | ---- | C] () -- C:\WINDOWS\System32\antiwpa.dll [2009.12.24 13:09:28 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini [2009.12.24 13:08:56 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2008.12.19 16:15:58 | 004,338,246 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll [2008.12.17 18:41:18 | 000,884,237 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll [2008.12.17 18:22:58 | 000,093,184 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll [2008.12.17 18:22:48 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2008.12.17 18:17:34 | 000,239,247 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll [2008.12.17 17:59:54 | 000,560,802 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll [2008.12.11 12:27:02 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest [2004.10.03 18:50:54 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll ========== Alternate Data Streams ========== @Alternate Data Stream - 24 bytes -> C:\WINDOWS:42260FD4F4D1BB2C < End of report > OTL Extras logfile created on: 27.04.2010 21:55:24 - Run 1 OTL by OldTimer - Version 3.2.3.0 Folder = C:\daten\Raffi´s Daten 2\Progs\Virenbekämpfung Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.023,00 Mb Total Physical Memory | 373,00 Mb Available Physical Memory | 36,00% Memory free 3,00 Gb Paging File | 2,00 Gb Available in Paging File | 78,00% Paging File free Paging file location(s): C:\pagefile.sys 1920 3840 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 149,05 Gb Total Space | 66,54 Gb Free Space | 44,65% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded Drive F: | 931,51 Gb Total Space | 867,63 Gb Free Space | 93,14% Space Free | Partition Type: NTFS G: Drive not present or media not loaded Drive H: | 1,84 Gb Total Space | 1,84 Gb Free Space | 99,99% Space Free | Partition Type: FAT I: Drive not present or media not loaded Computer Name: RAFFI-COMP Current User Name: Raffi Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 0 "DoNotAllowExceptions" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation) "C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation) "C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation) "C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, LLC.) "C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player -- () "C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.) "C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation) "C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation) "C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation) "C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, LLC.) "C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC) "C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour "{08C0729E-3E50-11DF-9D81-005056806466}" = Google Earth "{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu "{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform "{236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2 "{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18 "{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1 "{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update "{786C5747-0C40-4930-9AFE-113BCE553101}" = Adobe Stock Photos 1.0 "{7B76034B-B3ED-46D5-8C66-DEB102CB830A}" = ATI Catalyst Control Center "{813EE1F0-D251-4F98-AC91-9B98CF22717E}" = WD Drive Manager (x86) "{81CB77FF-9789-4337-A46E-185F7876AC40}" = Adobe Photoshop Lightroom 2.6 "{88EB38EF-4D2C-436D-ABD3-56B232674062}" = ICQ7 "{8EDBA74D-0686-4C99-BFDD-F894678E5101}" = Adobe Common File Installer "{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System "{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage "{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU "{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU "{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}" = QuickTime "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support "{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1 "{B607C354-CD79-4D22-86D1-92DC94153F42}" = Apple Application Support "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player "{B74D4E10-6884-0000-0000-000000000103}" = Adobe Bridge 1.0 "{BE282C23-5484-47FF-B2C1-EBEA5C891031}" = Nero 8 "{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver "{D1A74FBB-CA8D-4CCA-9B89-BAAA436DB178}" = iTunes "{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = Auslogics Disk Defrag "{E9787678-119F-4D52-B551-6739B2B22101}" = Adobe Help Center 1.0 "{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio "{FB15BACA-8F2E-421C-A214-F9065EA15A92}" = LAN Utility "32fsu32_is1" = File Scavenger 3.2 (English) "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Photoshop CS2 - {236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2 "All ATI Software" = ATI - Software Uninstall Utility "AskTBar Uninstall" = Ask Toolbar "ATI Display Driver" = ATI Display Driver "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CCleaner" = CCleaner "DVD Shrink DE_is1" = DVD Shrink 3.2 deutsch (DeCSS-frei) "Free Audio CD Burner_is1" = Free Audio CD Burner version 1.2 "Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.2 "Google Updater" = Google Updater "HijackThis" = HijackThis 2.0.2 "Hype - The Time Quest" = Hype - The Time Quest "InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5 "Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU "Mozilla Firefox (3.5.9)" = Mozilla Firefox (3.5.9) "SideWindow" = Innobec SideWindow (remove only) "SUPER ©" = SUPER © Version 2010.bld.37 (Jan 2, 2010) "Uninstall_is1" = Uninstall 1.0.0.1 "VLC media player" = VLC media player 1.0.5 "Windows Media Format Runtime" = Windows Media Format Runtime "Windows XP Service Pack" = Windows XP Service Pack 3 "WinRAR archiver" = WinRAR "Xilisoft DVD Copy Express SE" = Xilisoft DVD Copy Express SE "XP Codec Pack" = XP Codec Pack "XpsEPSC" = XML Paper Specification Shared Components Pack 1.0 "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 28.03.2010 15:49:09 | Computer Name = ***** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d. Error - 30.03.2010 16:39:27 | Computer Name = ***** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes Modul avisplitter.ax, Version 1.0.0.9, Fehleradresse 0x00021ea4. Error - 30.03.2010 16:40:21 | Computer Name = ***** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes Modul avisplitter.ax, Version 1.0.0.9, Fehleradresse 0x00021ea4. Error - 30.03.2010 16:46:42 | Computer Name = ***** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes Modul avisplitter.ax, Version 1.0.0.9, Fehleradresse 0x00021ea4. Error - 30.03.2010 16:53:23 | Computer Name = ***** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes Modul avisplitter.ax, Version 1.0.0.9, Fehleradresse 0x00021ea4. Error - 02.04.2010 08:57:46 | Computer Name = ***** | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung WINWORD.EXE, Version 10.0.2627.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 02.04.2010 09:00:35 | Computer Name = ***** | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung WINWORD.EXE, Version 10.0.2627.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 02.04.2010 15:06:38 | Computer Name = ***** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes Modul avisplitter.ax, Version 1.0.0.9, Fehleradresse 0x00021ea4. Error - 02.04.2010 15:07:13 | Computer Name = ***** | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes Modul avisplitter.ax, Version 1.0.0.9, Fehleradresse 0x00021ea4. Error - 18.04.2010 13:16:41 | Computer Name = ***** | Source = MsiInstaller | ID = 11706 Description = Produkt: Microsoft Office XP Professional mit FrontPage -- Fehler 1706. Setup kann die benötigten Dateien nicht finden. Überprüfen Sie Ihre Verbindung mit dem Netzwerk oder dem CD-ROM-Laufwerk. Um mehr über mögliche Lösungen für dieses Problem zu erfahren, sehen sie bitte nach in C:\Programme\Microsoft Office\Office10\1031\SETUP.HLP. [ System Events ] Error - 22.04.2010 11:56:55 | Computer Name = ***** | Source = Cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 22.04.2010 11:57:02 | Computer Name = ***** | Source = Cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 22.04.2010 11:57:09 | Computer Name = ***** | Source = Cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 23.04.2010 06:29:05 | Computer Name = ***** | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.1.35 für die Netzwerkkarte mit der Netzwerkadresse 0011092C8603 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 23.04.2010 06:29:23 | Computer Name = *****| Source = Cdrom | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom1 gefunden. Error - 23.04.2010 15:52:11 | Computer Name = ***** | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.1.35 für die Netzwerkkarte mit der Netzwerkadresse 0011092C8603 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 25.04.2010 05:13:16 | Computer Name = ******| Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.1.35 für die Netzwerkkarte mit der Netzwerkadresse 0011092C8603 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 27.04.2010 05:29:29 | Computer Name = ***** | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.1.35 für die Netzwerkkarte mit der Netzwerkadresse 0011092C8603 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 27.04.2010 08:16:10 | Computer Name = *****| Source = Wechselmediendienst | ID = 262255 Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der Bibliothek Generic STORAGE DEVICE USB Device nicht laden. Error - 27.04.2010 08:16:12 | Computer Name = ***** | Source = Wechselmediendienst | ID = 262255 Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der Bibliothek Generic STORAGE DEVICE USB Device nicht laden. < End of report > |
|
27.04.2010, 21:45
| #4 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virus verbreitet sichZitat:
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
27.04.2010, 21:55
| #5 |
| | Virus verbreitet sich Hallo Ja habe so eine version welche mir immer gemeldet habe ich hätte es nicht lizensiert obwohl ich eine cd habe und da hab ich dann antiwpa installiert |
|
27.04.2010, 22:03
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virus verbreitet sich Starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
PRC - C:\WINDOWS\Temp\F1.tmp ()
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe File not found
O27 - HKLM IFEO\explorer.exe: Debugger - C:\Programme\Microsoft Common\svchost.exe ()
O32 - AutoRun File - [2010.04.27 17:38:01 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010.04.27 17:38:01 | 000,000,000 | RHSD | M] - F:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010.03.31 22:31:56 | 000,124,929 | -H-- | M] () - H:\autorun.exe -- [ FAT ]
O32 - AutoRun File - [2010.04.27 17:38:02 | 000,000,000 | RHSD | M] - H:\autorun.inf -- [ FAT ]
[2010.04.27 17:38:01 | 000,000,000 | RHSD | C] -- C:\autorun.inf
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfilemüsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte.
__________________ --> Virus verbreitet sich |
|
27.04.2010, 22:29
| #7 |
| | Virus verbreitet sich so sieht das dann aus All processes killed ========== OTL ========== No active process named F1.tmp was found! Prefs.js: "ICQ Search" removed from browser.search.defaultenginename Prefs.js: "ICQ Search" removed from browser.search.selectedEngine Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\ deleted successfully. C:\Programme\Microsoft Common\svchost.exe moved successfully. File not found. File not found. H:\autorun.exe moved successfully. File not found. C:\autorun.inf folder moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 597428 bytes User: Raffi ->Temp folder emptied: 957287 bytes ->Temporary Internet Files folder emptied: 147590 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 80487197 bytes ->Flash cache emptied: 635 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2134333 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 78662341 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 156,00 mb OTL by OldTimer - Version 3.2.3.0 log created on 04272010_232221 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
|
28.04.2010, 09:30
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virus verbreitet sich Ok. Dann mach jetzt bitte nen Durchgang mit CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
28.04.2010, 18:30
| #9 |
| | Virus verbreitet sich Hallo Also poste jetzt die logdatei ComboFix 10-04-27.01 - Raffi 28.04.2010 11:18:20.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.566 [GMT 2:00] ausgeführt von:: c:\daten\Raffi´s Daten 2\Progs\Virenbekämpfung\CoFi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . ADS - WINDOWS: deleted 24 bytes in 1 streams. (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programme\Microsoft Common c:\windows\system32\AVSredirect.dll c:\windows\system32\lowsec c:\windows\system32\lowsec\local.ds c:\windows\system32\lowsec\user.ds c:\windows\system32\sdra64.exe . ((((((((((((((((((((((( Dateien erstellt von 2010-03-28 bis 2010-04-28 )))))))))))))))))))))))))))))) . 2010-04-28 09:56 . 2010-04-28 09:56 -------- d-----w- c:\dokumente und einstellungen\Administrator 2010-04-28 09:11 . 2010-04-28 09:14 -------- d-----w- C:\CoFi 2010-04-27 21:26 . 2010-04-27 21:26 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google 2010-04-27 21:22 . 2010-04-27 21:22 -------- d-----w- C:\_OTL 2010-04-27 15:42 . 2010-04-27 15:42 -------- d-----w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Malwarebytes 2010-04-27 15:42 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-27 15:42 . 2010-04-27 15:42 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-04-27 15:42 . 2010-04-27 15:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-04-27 15:42 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-27 13:54 . 2010-04-27 13:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater 2010-04-27 13:52 . 2010-04-27 18:58 -------- d-----w- c:\dokumente und einstellungen\Raffi\Lokale Einstellungen\Anwendungsdaten\Temp 2010-04-27 13:52 . 2010-04-27 13:52 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google 2010-04-27 13:52 . 2010-04-27 19:00 -------- d-----w- c:\programme\Google 2010-04-27 13:52 . 2010-04-27 13:59 -------- d-----w- c:\dokumente und einstellungen\Raffi\Lokale Einstellungen\Anwendungsdaten\Google 2010-04-26 13:07 . 2010-04-26 13:07 -------- d-----w- c:\programme\Trend Micro 2010-04-22 14:38 . 2010-04-27 12:16 -------- d-----w- c:\windows\system32\NtmsData 2010-04-22 14:29 . 2008-04-13 22:15 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys 2010-04-22 14:29 . 2008-04-13 22:15 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys 2010-04-12 13:42 . 2007-10-23 07:27 110592 ----a-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\U3\temp\cleanup.exe 2010-04-12 13:08 . 2007-10-23 07:22 3350528 ---ha-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\U3\temp\Launchpad Removal.exe 2010-04-12 13:08 . 2010-04-12 13:42 -------- d-----w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\U3 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-27 12:15 . 2010-03-28 13:19 -------- d-----w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\vlc 2010-04-25 11:31 . 2010-01-24 15:30 -------- d-----w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\ICQ 2010-04-25 09:37 . 2004-08-04 12:00 80464 ----a-w- c:\windows\system32\perfc007.dat 2010-04-25 09:37 . 2004-08-04 12:00 448918 ----a-w- c:\windows\system32\perfh007.dat 2010-04-14 20:57 . 2009-12-31 11:50 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2010-04-13 10:53 . 2010-01-24 15:30 -------- d-----w- c:\programme\ICQ7.0 2010-04-13 10:44 . 2009-12-23 11:48 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-03-28 14:21 . 2010-03-28 14:21 -------- d-----w- c:\programme\eRightSoft 2010-03-28 14:18 . 2010-03-28 14:14 -------- d-----w- c:\programme\Wondershare 2010-03-28 13:45 . 2010-03-28 13:45 -------- d-----w- c:\programme\Gemeinsame Dateien\SWF Studio 2010-03-28 13:45 . 2010-03-28 13:45 -------- d-----w- c:\programme\Riva 2010-03-28 12:39 . 2010-03-28 12:39 -------- d-----w- c:\programme\AviSynth 2.5 2010-03-27 14:23 . 2009-12-27 22:26 -------- d-----w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\dvdcss 2010-03-17 12:18 . 2010-03-16 20:56 -------- d-----w- c:\programme\JDownloader 2010-03-17 09:07 . 2010-01-05 11:58 162816 ----a-w- c:\windows\system32\fmod.dll 2010-03-11 19:12 . 2010-03-11 19:12 22288 ---ha-w- c:\windows\system32\mlfcache.dat 2010-03-11 16:24 . 2010-03-11 16:24 -------- d-----w- c:\programme\Western Digital Corporation 2010-03-10 17:26 . 2010-03-10 17:26 -------- d-----w- c:\programme\Western Digital 2010-03-09 14:58 . 2010-03-09 14:58 -------- d-----w- c:\programme\File Scavenger 3.2 2010-03-02 11:35 . 2010-03-02 11:35 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2010-03-02 11:35 . 2010-03-02 11:35 503808 ----a-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-33c27cae-n\msvcp71.dll 2010-03-02 11:35 . 2010-03-02 11:35 499712 ----a-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-33c27cae-n\jmc.dll 2010-03-02 11:35 . 2010-03-02 11:35 348160 ----a-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-33c27cae-n\msvcr71.dll 2010-03-02 11:35 . 2010-03-02 11:35 61440 ----a-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-17402ea0-n\decora-sse.dll 2010-03-02 11:35 . 2010-03-02 11:35 12800 ----a-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-17402ea0-n\decora-d3d.dll 2010-03-02 11:34 . 2010-03-02 11:34 411368 ----a-w- c:\windows\system32\deploytk.dll 2010-03-02 11:34 . 2010-03-02 11:34 -------- d-----w- c:\programme\Java 2006-05-03 10:06 . 2010-03-28 14:21 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 11:47 . 2010-03-28 14:21 31232 --sh--r- c:\windows\system32\msfDX.dll 2008-03-16 13:30 . 2010-03-28 14:21 216064 --sh--r- c:\windows\system32\nbDX.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DiagAP8169"="c:\programme\MSI\LAN Utility\DiagAP8169" [X] "RaidTool"="c:\programme\VIA\RAID\raid_tool.exe" [2006-05-15 1122304] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-05 417792] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-10-28 141600] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 570664] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040] "WD Drive Manager"="c:\programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2009-06-26 450560] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Raffi\Startmen\Programme\Autostart\ Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664] c:\dokumente und einstellungen\Raffi\Startmen\Programme\Autostart\ Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664] c:\dokumente und einstellungen\Raffi\Startmen\Programme\Autostart\ Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] c:\dokumente und einstellungen\Raffi\Startmen\Programme\Autostart\ Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\VideoLAN\\VLC\\vlc.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Programme\\ICQ7.0\\ICQ.exe"= "c:\\Programme\\ICQ7.0\\aolload.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.01.2010 12:36 691696] R2 LANPkt;Realtek LANPkt Protocol;c:\windows\system32\drivers\LANPkt.sys [24.12.2009 15:40 8440] R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [26.06.2009 16:56 102400] R3 Diag69xp;Diag69xp;c:\windows\system32\drivers\diag69xp.sys [24.12.2009 15:40 11266] R3 SideWnd;SideWnd;c:\windows\system32\drivers\innvmini.sys [12.07.2005 22:20 4480] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [27.04.2010 15:52 136176] S4 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.12.2009 16:03 108289] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - DIAG69XP . Inhalt des "geplante Tasks" Ordners 2010-04-28 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2010-04-28 c:\windows\Tasks\Google Software Updater.job - c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-04-27 13:54] 2010-04-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-04-27 13:52] 2010-04-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-04-27 13:52] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\ FF - prefs.js: browser.search.selectedEngine - FF - prefs.js: browser.startup.homepage - google.com FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.0&q= FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Google\Google Updater\2.4.1739.5352\npCIDetect13.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - Notify-Antiwpa - (no file) ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-04-28 19:24 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run RaidTool = c:\programme\VIA\RAID\raid_tool.exe????? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spxq.sys >>UNKNOWN [0x8678E938]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf7640f28 \Driver\ACPI -> ACPI.sys @ 0xf73a7cb8 \Driver\atapi -> atapi.sys @ 0xf7362b40 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80578fa2 ParseProcedure -> ntkrnlpa.exe @ 0x80577c04 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80578fa2 ParseProcedure -> ntkrnlpa.exe @ 0x80577c04 NDIS: Realtek RTL8169/8110 Family Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf7252bb0 PacketIndicateHandler -> NDIS.sys @ 0xf725fa21 SendHandler -> NDIS.sys @ 0xf723d87b user & kernel MBR OK ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(656) c:\windows\system32\Ati2evxx.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe c:\windows\system32\IoctlSvc.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\wscntfy.exe c:\programme\MSI\LAN Utility\DiagAP8169.exe c:\windows\SOUNDMAN.EXE c:\programme\Microsoft ActiveSync\wcescomm.exe c:\progra~1\MICROS~3\rapimgr.exe c:\programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-04-28 19:27:24 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-04-28 17:27 Vor Suchlauf: 13 Verzeichnis(se), 71.545.729.024 Bytes frei Nach Suchlauf: 14 Verzeichnis(se), 71.510.552.576 Bytes frei - - End Of File - - 74E7A1FDE3F34838CB024535284CEE4D |
|
28.04.2010, 19:58
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virus verbreitet sich Sieht ok aus. Mach bitte Kontrollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
29.04.2010, 06:12
| #11 |
| | Virus verbreitet sich Hallo Ich hab jetzt dbeide Durchläufe gemacht und es wurden wieder infizierte dateien gefunden unter anderem antiwpa diese datei brauch ich nicht mehr habe jetzt endlich alle meine originalen lizensen von windows gefunden kann ich das jetzt einfach löschen ? Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 4048 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 28.04.2010 22:18:38 mbam-log-2010-04-28 (22-18-38).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|) Durchsuchte Objekte: 229214 Laufzeit: 47 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\daten\Raffi´s Daten 2\Programme\cryptload\CryptLoad_1.0.9\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken. C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken. SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 04/29/2010 at 01:13 AM Application Version : 4.35.1002 Core Rules Database Version : 4864 Trace Rules Database Version: 2676 Scan type : Complete Scan Total Scan Time : 02:46:38 Memory items scanned : 470 Memory threats detected : 0 Registry items scanned : 6032 Registry threats detected : 0 File items scanned : 122490 File threats detected : 4 Trojan.VXGame-Variant/D C:\DATEN\RAFFI´S DATEN 2\HANDY\SPB\SPB.SOFTWAREHOUSE.PPC.SOFTWARE.NEWEST.VERSIONS.INCL.SERIAL-HAWK\SPB.TIME.2.1.5.GERMAN.INCL.SKINS.AND.SERIAL-HAWK\SKINS\QVGA_(240X320)\ART_SPBTIMESKIN_SETUP.EXE Trojan.Agent/Gen-Nullo[Short] C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\SDRA64.EXE.VIR C:\SYSTEM VOLUME INFORMATION\_RESTORE{D209C54C-D467-4F4E-92DF-4C07106F8F6B}\RP91\A0049200.EXE Trojan.Dropper/SVCHost-Fake C:\_OTL\MOVEDFILES\04272010_232221\C_PROGRAMME\MICROSOFT COMMON\SVCHOST.EXE |
|
29.04.2010, 07:55
| #12 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virus verbreitet sichZitat:
 Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr. Für Dich geht es hier weiter => Neuaufsetzen des Systems Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken. Danach nie wieder sowas anrühren!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
29.04.2010, 11:00
| #13 |
| | Virus verbreitet sich Hallo Ich hab jetzt mit beiden aktualisierten programmen suchläufe gemacht Malwarebytes hat 5 funde glaube ich ,eine davonb ist antiwpa dies hab ich ja mal installiert aber habe jetzt wieder meinen lizenaufklebner gefunden von windows kann ich das dann einfach löschen ? SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 04/29/2010 at 01:13 AM Application Version : 4.35.1002 Core Rules Database Version : 4864 Trace Rules Database Version: 2676 Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 4048 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 28.04.2010 22:18:38 mbam-log-2010-04-28 (22-18-38).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|) Durchsuchte Objekte: 229214 Laufzeit: 47 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\daten\Raffi´s Daten 2\Programme\cryptload\CryptLoad_1.0.9\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken. C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken. Scan type : Complete Scan Total Scan Time : 02:46:38 Memory items scanned : 470 Memory threats detected : 0 Registry items scanned : 6032 Registry threats detected : 0 File items scanned : 122490 File threats detected : 4 Trojan.VXGame-Variant/D C:\DATEN\RAFFI´S DATEN 2\HANDY\SPB\SPB.SOFTWAREHOUSE.PPC.SOFTWARE.NEWEST.VERSIONS.INCL.SERIAL-HAWK\SPB.TIME.2.1.5.GERMAN.INCL.SKINS.AND.SERIAL-HAWK\SKINS\QVGA_(240X320)\ART_SPBTIMESKIN_SETUP.EXE Trojan.Agent/Gen-Nullo[Short] C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\SDRA64.EXE.VIR C:\SYSTEM VOLUME INFORMATION\_RESTORE{D209C54C-D467-4F4E-92DF-4C07106F8F6B}\RP91\A0049200.EXE Trojan.Dropper/SVCHost-Fake C:\_OTL\MOVEDFILES\04272010_232221\C_PROGRAMME\MICROSOFT COMMON\SVCHOST.EXE |
|
| Themen zu Virus verbreitet sich |
| adobe, antivir, antivir guard, avira, bho, bonjour, desktop, excel, explorer, firefox, hijackthis, hkus\s-1-5-18, internet, internet explorer, lan, mozilla, ordner, problem, programme, software, system, temp, usb, virus, windows, windows xp |
Linear-Darstellung
