Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virus verbreitet sich

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.04.2010, 12:09   #1
raffinator
 
Virus verbreitet sich - Standard

Virus verbreitet sich



Hallo
Seit kurzer Zeit habe ich das Problem dass die Datei Autorun.inf über Usb an angeschlossene Wechseldatenträger verbreitet wird .Ich habe mich informiert und wurde noch nicht wirklich schlau aber eine Datei namens ctfmon.exe soll schuld sein .Desweitern habe ich das problem dass mir beim Start des pcs von Antivir gemeldet wird dass sich im Temp Ordner befallene Dateien befinden.
ICh hoffe ihr könnt mir helfen .

Hijack this sieht so aus

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:07:52, on 26.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\MSI\LAN Utility\DiagAP8169.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DAEMON Tools Lite\DTLite.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [DiagAP8169] C:\Programme\MSI\LAN Utility\DiagAP8169 /hw
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe

--
End of file - 7198 bytes

Alt 27.04.2010, 15:55   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus verbreitet sich - Standard

Virus verbreitet sich



Hallo und

Für die Entfernung der Schädlinge auf Wechselmedien => Flash Disinfector anwenden (alle infizierten USB-Sticks einstecken und Tool ausführen)

Danach einen Vollscan mit Malwarebytes machen und Log posten.
Und anschließend OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 27.04.2010, 22:32   #3
raffinator
 
Virus verbreitet sich - Standard

Virus verbreitet sich



Guten Abend vielen Dank schonmal
Hier habe ich also die Logs



Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4042

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

27.04.2010 21:54:19
mbam-log-2010-04-27 (21-54-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Durchsuchte Objekte: 221045
Laufzeit: 1 Stunde(n), 13 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 2
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\debugger (Security.Hijack) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\Microsoft Common (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\daten\*** Daten 2\Programme\cryptload\CryptLoad_1.0.9\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken.
C:\Programme\Microsoft Common\svchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> No action taken.
C:\WINDOWS\Temp\rdlE3.tmp.exe (Trojan.Dropper) -> No action taken.


Hier noch OTL
OTL logfile created on: 27.04.2010 21:55:24 - Run 1
OTL by OldTimer - Version 3.2.3.0 Folder = C:\daten\Raffi´s Daten 2\Progs\Virenbekämpfung
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.023,00 Mb Total Physical Memory | 373,00 Mb Available Physical Memory | 36,00% Memory free
3,00 Gb Paging File | 2,00 Gb Available in Paging File | 78,00% Paging File free
Paging file location(s): C:\pagefile.sys 1920 3840 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,05 Gb Total Space | 66,54 Gb Free Space | 44,65% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 931,51 Gb Total Space | 867,63 Gb Free Space | 93,14% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
Drive H: | 1,84 Gb Total Space | 1,84 Gb Free Space | 99,99% Space Free | Partition Type: FAT
I: Drive not present or media not loaded

Computer Name: RAFFI-COMP
Current User Name: Raffi
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\WINDOWS\Temp\F1.tmp ()
PRC - C:\daten\Raffi´s Daten 2\Progs\Virenbekämpfung\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
PRC - C:\Programme\iTunes\iTunes.exe (Apple Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe (WDC)
PRC - C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe (WDC)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation)
PRC - C:\Programme\VIA\RAID\raid_tool.exe (VIA Technologies)
PRC - C:\Programme\MSI\LAN Utility\DiagAP8169.exe ()


========== Modules (SafeList) ==========

MOD - C:\daten\***** 2\Progs\Virenbekämpfung\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\wsock32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\rsaenh.dll (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV - (Adobe LM Service) -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (Adobe Systems)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (WDBtnMgrSvc.exe) -- C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe (WDC)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe (Nero AG)


========== Driver Services (SafeList) ==========

DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation )
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (videX32) -- C:\WINDOWS\system32\DRIVERS\videX32.sys (VIA Technologies, Inc.)
DRV - (SideWnd) -- C:\WINDOWS\system32\drivers\innvmini.sys (Innobec Technologies Inc.)
DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
DRV - (LANPkt) -- C:\WINDOWS\system32\drivers\LANPkt.sys (Windows (R) 2000 DDK provider)
DRV - (Diag69xp) -- C:\WINDOWS\system32\drivers\diag69xp.sys (Realtek Semiconductor Corporation)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

========== FireFox ==========

FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.startup.homepage: "google.com"
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.0&q="

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.12 14:57:14 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.14 22:57:57 | 000,000,000 | ---D | M]

[2009.12.24 15:52:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Extensions
[2010.02.22 23:29:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\extensions
[2010.01.25 16:22:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.02.22 23:25:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\extensions\staged-xpis
[2010.04.27 12:20:33 | 000,000,961 | ---- | M] () -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\searchplugins\icqplugin-1.xml
[2008.03.31 13:52:00 | 000,000,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\searchplugins\icqplugin.gif
[2008.03.31 13:52:00 | 000,000,618 | ---- | M] () -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\searchplugins\icqplugin.src
[2010.04.11 12:23:54 | 000,000,955 | ---- | M] () -- C:\Dokumente und Einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\searchplugins\icqplugin.xml
[2010.04.27 15:00:33 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.01.24 17:31:00 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.02.22 23:24:49 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.02.22 23:24:49 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.02.22 23:24:49 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.02.22 23:24:49 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.02.22 23:24:49 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DiagAP8169] C:\Programme\MSI\LAN Utility\DiagAP8169.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe (VIA Technologies)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WD Drive Manager] C:\Programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe (WDC)
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKCU..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Raffi\Startmenü\Programme\Autostart\Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe File not found
O20 - Winlogon\Notify\Antiwpa: DllName - antiwpa.dll - C:\WINDOWS\System32\antiwpa.dll ()
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Raffi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Raffi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O27 - HKLM IFEO\explorer.exe: Debugger - C:\Programme\Microsoft Common\svchost.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.12.22 13:54:18 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.04.27 17:38:01 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010.04.27 17:38:01 | 000,000,000 | RHSD | M] - F:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010.03.31 22:31:56 | 000,124,929 | -H-- | M] () - H:\autorun.exe -- [ FAT ]
O32 - AutoRun File - [2010.04.27 17:38:02 | 000,000,000 | RHSD | M] - H:\autorun.inf -- [ FAT ]
O33 - MountPoints2\{7c4b46b0-1317-11df-877b-0011092c8603}\Shell - "" = AutoRun
O33 - MountPoints2\{7c4b46b0-1317-11df-877b-0011092c8603}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c3cbc360-f175-11de-8ea5-0011092c8603}\Shell - "" = AutoRun
O33 - MountPoints2\{c3cbc360-f175-11de-8ea5-0011092c8603}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.04.27 17:42:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Malwarebytes
[2010.04.27 17:42:12 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.27 17:42:09 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.27 17:42:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.04.27 17:42:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.04.27 17:40:56 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\*****\Recent
[2010.04.27 17:38:01 | 000,000,000 | RHSD | C] -- C:\autorun.inf
[2010.04.27 15:59:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Google
[2010.04.27 15:54:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
[2010.04.27 15:52:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Raffi\Lokale Einstellungen\Anwendungsdaten\Temp
[2010.04.27 15:52:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.04.27 15:52:12 | 000,000,000 | ---D | C] -- C:\Programme\Google
[2010.04.27 15:52:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Google
[2010.04.26 15:07:36 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.04.25 11:42:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2010.04.23 13:23:43 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Common
[2010.04.22 16:38:51 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2010.04.22 16:29:10 | 000,032,128 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbccgp.sys
[2010.04.19 15:11:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Desktop\Fotos kinderbetreuung
[2010.04.12 15:08:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\U3
[2004.11.24 20:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.04.27 21:57:00 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.04.27 17:42:14 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.27 17:36:26 | 000,132,597 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Flash_Disinfector.exe
[2010.04.27 16:55:22 | 000,001,014 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.04.27 15:59:48 | 000,000,359 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Filme.lnk
[2010.04.27 15:59:35 | 005,242,880 | -H-- | M] () -- C:\Dokumente und Einstellungen\*****\NTUSER.DAT
[2010.04.27 15:57:02 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.04.27 11:29:29 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.27 11:29:28 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.26 18:30:47 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\*****\ntuser.ini
[2010.04.26 18:22:14 | 000,002,121 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2010.04.26 18:16:39 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.04.26 18:16:38 | 000,022,016 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.04.26 14:45:12 | 000,000,038 | ---- | M] () -- C:\WINDOWS\AviSplitter.INI
[2010.04.26 14:44:22 | 001,728,943 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\ProcessExplorer.zip
[2010.04.25 14:31:30 | 000,000,347 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\psp.lnk
[2010.04.25 14:31:10 | 000,000,359 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Musik.lnk
[2010.04.25 11:37:38 | 001,043,836 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.04.25 11:37:38 | 000,448,918 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.04.25 11:37:38 | 000,432,856 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.04.25 11:37:38 | 000,080,464 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.04.25 11:37:38 | 000,067,560 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.04.25 11:13:16 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.19 15:36:48 | 230,596,380 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Fotos kinderbetreuung.rar
[2010.04.18 19:13:03 | 000,053,248 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\Predigt+zu+Joh+81-11+5++Fastensonntag+2010.doc
[2010.03.30 17:18:56 | 000,036,864 | ---- | M] () -- C:\Dokumente und Einstellungen\*****\Desktop\handout no country for old men Raffael Armbruster.doc
[2010.03.29 15:24:58 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.03.29 15:24:46 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.04.27 17:42:14 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.27 17:36:25 | 000,132,597 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Flash_Disinfector.exe
[2010.04.27 15:59:48 | 000,000,359 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Filme.lnk
[2010.04.27 15:54:31 | 000,001,014 | ---- | C] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2010.04.27 15:52:28 | 000,001,086 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.04.27 15:52:26 | 000,001,082 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.04.26 14:45:12 | 000,000,038 | ---- | C] () -- C:\WINDOWS\AviSplitter.INI
[2010.04.26 14:43:58 | 001,728,943 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\ProcessExplorer.zip
[2010.04.25 14:31:30 | 000,000,347 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\psp.lnk
[2010.04.25 14:31:10 | 000,000,359 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Musik.lnk
[2010.04.19 15:33:45 | 230,596,380 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Fotos kinderbetreuung.rar
[2010.04.18 19:13:02 | 000,053,248 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\Predigt+zu+Joh+81-11+5++Fastensonntag+2010.doc
[2010.03.30 17:14:16 | 000,036,864 | ---- | C] () -- C:\Dokumente und Einstellungen\*****\Desktop\handout no country for old men Raffael Armbruster.doc
[2010.03.28 14:39:50 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2010.01.24 14:00:12 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010.01.04 12:36:26 | 000,691,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2010.01.01 16:39:30 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
[2009.12.26 13:07:06 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.12.24 15:55:04 | 000,005,376 | ---- | C] () -- C:\WINDOWS\System32\antiwpa.dll
[2009.12.24 13:09:28 | 000,000,169 | ---- | C] () -- C:\WINDOWS\RtlRack.ini
[2009.12.24 13:08:56 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2008.12.19 16:15:58 | 004,338,246 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2008.12.17 18:41:18 | 000,884,237 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll
[2008.12.17 18:22:58 | 000,093,184 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll
[2008.12.17 18:22:48 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008.12.17 18:17:34 | 000,239,247 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll
[2008.12.17 17:59:54 | 000,560,802 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll
[2008.12.11 12:27:02 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
[2004.10.03 18:50:54 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll

========== Alternate Data Streams ==========

@Alternate Data Stream - 24 bytes -> C:\WINDOWS:42260FD4F4D1BB2C
< End of report >


OTL Extras logfile created on: 27.04.2010 21:55:24 - Run 1
OTL by OldTimer - Version 3.2.3.0 Folder = C:\daten\Raffi´s Daten 2\Progs\Virenbekämpfung
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.023,00 Mb Total Physical Memory | 373,00 Mb Available Physical Memory | 36,00% Memory free
3,00 Gb Paging File | 2,00 Gb Available in Paging File | 78,00% Paging File free
Paging file location(s): C:\pagefile.sys 1920 3840 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,05 Gb Total Space | 66,54 Gb Free Space | 44,65% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
Drive F: | 931,51 Gb Total Space | 867,63 Gb Free Space | 93,14% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
Drive H: | 1,84 Gb Total Space | 1,84 Gb Free Space | 99,99% Space Free | Partition Type: FAT
I: Drive not present or media not loaded

Computer Name: RAFFI-COMP
Current User Name: Raffi
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
"C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, LLC.)
"C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player -- ()
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
"C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, LLC.)
"C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{08C0729E-3E50-11DF-9D81-005056806466}" = Google Earth
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{786C5747-0C40-4930-9AFE-113BCE553101}" = Adobe Stock Photos 1.0
"{7B76034B-B3ED-46D5-8C66-DEB102CB830A}" = ATI Catalyst Control Center
"{813EE1F0-D251-4F98-AC91-9B98CF22717E}" = WD Drive Manager (x86)
"{81CB77FF-9789-4337-A46E-185F7876AC40}" = Adobe Photoshop Lightroom 2.6
"{88EB38EF-4D2C-436D-ABD3-56B232674062}" = ICQ7
"{8EDBA74D-0686-4C99-BFDD-F894678E5101}" = Adobe Common File Installer
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}" = QuickTime
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{B607C354-CD79-4D22-86D1-92DC94153F42}" = Apple Application Support
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{B74D4E10-6884-0000-0000-000000000103}" = Adobe Bridge 1.0
"{BE282C23-5484-47FF-B2C1-EBEA5C891031}" = Nero 8
"{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver
"{D1A74FBB-CA8D-4CCA-9B89-BAAA436DB178}" = iTunes
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = Auslogics Disk Defrag
"{E9787678-119F-4D52-B551-6739B2B22101}" = Adobe Help Center 1.0
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FB15BACA-8F2E-421C-A214-F9065EA15A92}" = LAN Utility
"32fsu32_is1" = File Scavenger 3.2 (English)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop CS2 - {236BB7C4-4419-42FD-0409-1E257A25E34D}" = Adobe Photoshop CS2
"All ATI Software" = ATI - Software Uninstall Utility
"AskTBar Uninstall" = Ask Toolbar
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DVD Shrink DE_is1" = DVD Shrink 3.2 deutsch (DeCSS-frei)
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.2
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.2
"Google Updater" = Google Updater
"HijackThis" = HijackThis 2.0.2
"Hype - The Time Quest" = Hype - The Time Quest
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Mozilla Firefox (3.5.9)" = Mozilla Firefox (3.5.9)
"SideWindow" = Innobec SideWindow (remove only)
"SUPER ©" = SUPER © Version 2010.bld.37 (Jan 2, 2010)
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.0.5
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"Xilisoft DVD Copy Express SE" = Xilisoft DVD Copy Express SE
"XP Codec Pack" = XP Codec Pack
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 28.03.2010 15:49:09 | Computer Name = ***** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.

Error - 30.03.2010 16:39:27 | Computer Name = ***** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul avisplitter.ax, Version 1.0.0.9, Fehleradresse 0x00021ea4.

Error - 30.03.2010 16:40:21 | Computer Name = ***** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul avisplitter.ax, Version 1.0.0.9, Fehleradresse 0x00021ea4.

Error - 30.03.2010 16:46:42 | Computer Name = ***** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul avisplitter.ax, Version 1.0.0.9, Fehleradresse 0x00021ea4.

Error - 30.03.2010 16:53:23 | Computer Name = ***** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul avisplitter.ax, Version 1.0.0.9, Fehleradresse 0x00021ea4.

Error - 02.04.2010 08:57:46 | Computer Name = ***** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WINWORD.EXE, Version 10.0.2627.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 02.04.2010 09:00:35 | Computer Name = ***** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung WINWORD.EXE, Version 10.0.2627.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 02.04.2010 15:06:38 | Computer Name = ***** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul avisplitter.ax, Version 1.0.0.9, Fehleradresse 0x00021ea4.

Error - 02.04.2010 15:07:13 | Computer Name = ***** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul avisplitter.ax, Version 1.0.0.9, Fehleradresse 0x00021ea4.

Error - 18.04.2010 13:16:41 | Computer Name = ***** | Source = MsiInstaller | ID = 11706
Description = Produkt: Microsoft Office XP Professional mit FrontPage -- Fehler
1706. Setup kann die benötigten Dateien nicht finden. Überprüfen Sie Ihre Verbindung
mit dem Netzwerk oder dem CD-ROM-Laufwerk. Um mehr über mögliche Lösungen für dieses
Problem zu erfahren, sehen sie bitte nach in C:\Programme\Microsoft Office\Office10\1031\SETUP.HLP.

[ System Events ]
Error - 22.04.2010 11:56:55 | Computer Name = ***** | Source = Cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom0.

Error - 22.04.2010 11:57:02 | Computer Name = ***** | Source = Cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom0.

Error - 22.04.2010 11:57:09 | Computer Name = ***** | Source = Cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom0.

Error - 23.04.2010 06:29:05 | Computer Name = ***** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.35 für die Netzwerkkarte mit der Netzwerkadresse
0011092C8603 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).

Error - 23.04.2010 06:29:23 | Computer Name = *****| Source = Cdrom | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\CdRom1 gefunden.

Error - 23.04.2010 15:52:11 | Computer Name = ***** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.35 für die Netzwerkkarte mit der Netzwerkadresse
0011092C8603 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).

Error - 25.04.2010 05:13:16 | Computer Name = ******| Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.35 für die Netzwerkkarte mit der Netzwerkadresse
0011092C8603 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).

Error - 27.04.2010 05:29:29 | Computer Name = ***** | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.1.35 für die Netzwerkkarte mit der Netzwerkadresse
0011092C8603 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server
hat eine DHCPNACK-Meldung gesendet).

Error - 27.04.2010 08:16:10 | Computer Name = *****| Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Generic STORAGE DEVICE USB Device nicht laden.

Error - 27.04.2010 08:16:12 | Computer Name = ***** | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek Generic STORAGE DEVICE USB Device nicht laden.


< End of report >
__________________

Alt 27.04.2010, 22:45   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus verbreitet sich - Standard

Virus verbreitet sich



Zitat:
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows)
Wo hast Du "Dein" Windows her? Wars vorinstalliert?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.04.2010, 22:55   #5
raffinator
 
Virus verbreitet sich - Standard

Virus verbreitet sich



Hallo
Ja habe so eine version welche mir immer gemeldet habe ich hätte es nicht lizensiert obwohl ich eine cd habe und da hab ich dann antiwpa installiert


Alt 27.04.2010, 23:03   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus verbreitet sich - Standard

Virus verbreitet sich



Starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
Code:
ATTFilter
:OTL
PRC - C:\WINDOWS\Temp\F1.tmp ()
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\sdra64.exe) - C:\WINDOWS\System32\sdra64.exe File not found
O27 - HKLM IFEO\explorer.exe: Debugger - C:\Programme\Microsoft Common\svchost.exe ()
O32 - AutoRun File - [2010.04.27 17:38:01 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010.04.27 17:38:01 | 000,000,000 | RHSD | M] - F:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010.03.31 22:31:56 | 000,124,929 | -H-- | M] () - H:\autorun.exe -- [ FAT ]
O32 - AutoRun File - [2010.04.27 17:38:02 | 000,000,000 | RHSD | M] - H:\autorun.inf -- [ FAT ]
[2010.04.27 17:38:01 | 000,000,000 | RHSD | C] -- C:\autorun.inf
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann auf den Button Run Fixes!
Das Logfilemüsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte.
__________________
--> Virus verbreitet sich

Alt 27.04.2010, 23:29   #7
raffinator
 
Virus verbreitet sich - Standard

Virus verbreitet sich



so sieht das dann aus

All processes killed
========== OTL ==========
No active process named F1.tmp was found!
Prefs.js: "ICQ Search" removed from browser.search.defaultenginename
Prefs.js: "ICQ Search" removed from browser.search.selectedEngine
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\ deleted successfully.
C:\Programme\Microsoft Common\svchost.exe moved successfully.
File not found.
File not found.
H:\autorun.exe moved successfully.
File not found.
C:\autorun.inf folder moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 597428 bytes

User: Raffi
->Temp folder emptied: 957287 bytes
->Temporary Internet Files folder emptied: 147590 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 80487197 bytes
->Flash cache emptied: 635 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 78662341 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 156,00 mb


OTL by OldTimer - Version 3.2.3.0 log created on 04272010_232221

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Alt 28.04.2010, 10:30   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus verbreitet sich - Standard

Virus verbreitet sich



Ok. Dann mach jetzt bitte nen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 28.04.2010, 19:30   #9
raffinator
 
Virus verbreitet sich - Standard

Virus verbreitet sich



Hallo

Also poste jetzt die logdatei


ComboFix 10-04-27.01 - Raffi 28.04.2010 11:18:20.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.566 [GMT 2:00]
ausgeführt von:: c:\daten\Raffi´s Daten 2\Progs\Virenbekämpfung\CoFi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Microsoft Common
c:\windows\system32\AVSredirect.dll
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds
c:\windows\system32\sdra64.exe

.
((((((((((((((((((((((( Dateien erstellt von 2010-03-28 bis 2010-04-28 ))))))))))))))))))))))))))))))
.

2010-04-28 09:56 . 2010-04-28 09:56 -------- d-----w- c:\dokumente und einstellungen\Administrator
2010-04-28 09:11 . 2010-04-28 09:14 -------- d-----w- C:\CoFi
2010-04-27 21:26 . 2010-04-27 21:26 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
2010-04-27 21:22 . 2010-04-27 21:22 -------- d-----w- C:\_OTL
2010-04-27 15:42 . 2010-04-27 15:42 -------- d-----w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Malwarebytes
2010-04-27 15:42 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-27 15:42 . 2010-04-27 15:42 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-04-27 15:42 . 2010-04-27 15:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-04-27 15:42 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-27 13:54 . 2010-04-27 13:54 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-04-27 13:52 . 2010-04-27 18:58 -------- d-----w- c:\dokumente und einstellungen\Raffi\Lokale Einstellungen\Anwendungsdaten\Temp
2010-04-27 13:52 . 2010-04-27 13:52 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
2010-04-27 13:52 . 2010-04-27 19:00 -------- d-----w- c:\programme\Google
2010-04-27 13:52 . 2010-04-27 13:59 -------- d-----w- c:\dokumente und einstellungen\Raffi\Lokale Einstellungen\Anwendungsdaten\Google
2010-04-26 13:07 . 2010-04-26 13:07 -------- d-----w- c:\programme\Trend Micro
2010-04-22 14:38 . 2010-04-27 12:16 -------- d-----w- c:\windows\system32\NtmsData
2010-04-22 14:29 . 2008-04-13 22:15 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-04-22 14:29 . 2008-04-13 22:15 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2010-04-12 13:42 . 2007-10-23 07:27 110592 ----a-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\U3\temp\cleanup.exe
2010-04-12 13:08 . 2007-10-23 07:22 3350528 ---ha-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\U3\temp\Launchpad Removal.exe
2010-04-12 13:08 . 2010-04-12 13:42 -------- d-----w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\U3

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-27 12:15 . 2010-03-28 13:19 -------- d-----w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\vlc
2010-04-25 11:31 . 2010-01-24 15:30 -------- d-----w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\ICQ
2010-04-25 09:37 . 2004-08-04 12:00 80464 ----a-w- c:\windows\system32\perfc007.dat
2010-04-25 09:37 . 2004-08-04 12:00 448918 ----a-w- c:\windows\system32\perfh007.dat
2010-04-14 20:57 . 2009-12-31 11:50 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-04-13 10:53 . 2010-01-24 15:30 -------- d-----w- c:\programme\ICQ7.0
2010-04-13 10:44 . 2009-12-23 11:48 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-03-28 14:21 . 2010-03-28 14:21 -------- d-----w- c:\programme\eRightSoft
2010-03-28 14:18 . 2010-03-28 14:14 -------- d-----w- c:\programme\Wondershare
2010-03-28 13:45 . 2010-03-28 13:45 -------- d-----w- c:\programme\Gemeinsame Dateien\SWF Studio
2010-03-28 13:45 . 2010-03-28 13:45 -------- d-----w- c:\programme\Riva
2010-03-28 12:39 . 2010-03-28 12:39 -------- d-----w- c:\programme\AviSynth 2.5
2010-03-27 14:23 . 2009-12-27 22:26 -------- d-----w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\dvdcss
2010-03-17 12:18 . 2010-03-16 20:56 -------- d-----w- c:\programme\JDownloader
2010-03-17 09:07 . 2010-01-05 11:58 162816 ----a-w- c:\windows\system32\fmod.dll
2010-03-11 19:12 . 2010-03-11 19:12 22288 ---ha-w- c:\windows\system32\mlfcache.dat
2010-03-11 16:24 . 2010-03-11 16:24 -------- d-----w- c:\programme\Western Digital Corporation
2010-03-10 17:26 . 2010-03-10 17:26 -------- d-----w- c:\programme\Western Digital
2010-03-09 14:58 . 2010-03-09 14:58 -------- d-----w- c:\programme\File Scavenger 3.2
2010-03-02 11:35 . 2010-03-02 11:35 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-03-02 11:35 . 2010-03-02 11:35 503808 ----a-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-33c27cae-n\msvcp71.dll
2010-03-02 11:35 . 2010-03-02 11:35 499712 ----a-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-33c27cae-n\jmc.dll
2010-03-02 11:35 . 2010-03-02 11:35 348160 ----a-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-33c27cae-n\msvcr71.dll
2010-03-02 11:35 . 2010-03-02 11:35 61440 ----a-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-17402ea0-n\decora-sse.dll
2010-03-02 11:35 . 2010-03-02 11:35 12800 ----a-w- c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-17402ea0-n\decora-d3d.dll
2010-03-02 11:34 . 2010-03-02 11:34 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-03-02 11:34 . 2010-03-02 11:34 -------- d-----w- c:\programme\Java
2006-05-03 10:06 . 2010-03-28 14:21 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2010-03-28 14:21 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2010-03-28 14:21 216064 --sh--r- c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DiagAP8169"="c:\programme\MSI\LAN Utility\DiagAP8169" [X]
"RaidTool"="c:\programme\VIA\RAID\raid_tool.exe" [2006-05-15 1122304]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-09-05 417792]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2009-10-28 141600]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"WD Drive Manager"="c:\programme\Western Digital\WD Drive Manager\WDBtnMgrUI.exe" [2009-06-26 450560]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Raffi\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\dokumente und einstellungen\Raffi\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\dokumente und einstellungen\Raffi\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

c:\dokumente und einstellungen\Raffi\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [04.01.2010 12:36 691696]
R2 LANPkt;Realtek LANPkt Protocol;c:\windows\system32\drivers\LANPkt.sys [24.12.2009 15:40 8440]
R2 WDBtnMgrSvc.exe;WD Drive Manager Service;c:\programme\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe [26.06.2009 16:56 102400]
R3 Diag69xp;Diag69xp;c:\windows\system32\drivers\diag69xp.sys [24.12.2009 15:40 11266]
R3 SideWnd;SideWnd;c:\windows\system32\drivers\innvmini.sys [12.07.2005 22:20 4480]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [27.04.2010 15:52 136176]
S4 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.12.2009 16:03 108289]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - DIAG69XP
.
Inhalt des "geplante Tasks" Ordners

2010-04-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-04-28 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-04-27 13:54]

2010-04-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-27 13:52]

2010-04-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-04-27 13:52]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Raffi\Anwendungsdaten\Mozilla\Firefox\Profiles\yhst1whw.default\
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - google.com
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.0&q=
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Google Updater\2.4.1739.5352\npCIDetect13.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-Antiwpa - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-28 19:24
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RaidTool = c:\programme\VIA\RAID\raid_tool.exe?????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spxq.sys >>UNKNOWN [0x8678E938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7640f28
\Driver\ACPI -> ACPI.sys @ 0xf73a7cb8
\Driver\atapi -> atapi.sys @ 0xf7362b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80578fa2
ParseProcedure -> ntkrnlpa.exe @ 0x80577c04
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80578fa2
ParseProcedure -> ntkrnlpa.exe @ 0x80577c04
NDIS: Realtek RTL8169/8110 Family Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf7252bb0
PacketIndicateHandler -> NDIS.sys @ 0xf725fa21
SendHandler -> NDIS.sys @ 0xf723d87b
user & kernel MBR OK

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\programme\MSI\LAN Utility\DiagAP8169.exe
c:\windows\SOUNDMAN.EXE
c:\programme\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\MICROS~3\rapimgr.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-28 19:27:24 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-28 17:27

Vor Suchlauf: 13 Verzeichnis(se), 71.545.729.024 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 71.510.552.576 Bytes frei

- - End Of File - - 74E7A1FDE3F34838CB024535284CEE4D

Alt 28.04.2010, 20:58   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus verbreitet sich - Standard

Virus verbreitet sich



Sieht ok aus. Mach bitte Kontrollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.04.2010, 07:12   #11
raffinator
 
Virus verbreitet sich - Standard

Virus verbreitet sich



Hallo
Ich hab jetzt dbeide Durchläufe gemacht und es wurden wieder infizierte dateien gefunden unter anderem antiwpa diese datei brauch ich nicht mehr habe jetzt endlich alle meine originalen lizensen von windows gefunden kann ich das jetzt einfach löschen ?



Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4048

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

28.04.2010 22:18:38
mbam-log-2010-04-28 (22-18-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Durchsuchte Objekte: 229214
Laufzeit: 47 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\daten\Raffi´s Daten 2\Programme\cryptload\CryptLoad_1.0.9\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken.
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken.




SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/29/2010 at 01:13 AM

Application Version : 4.35.1002

Core Rules Database Version : 4864
Trace Rules Database Version: 2676

Scan type : Complete Scan
Total Scan Time : 02:46:38

Memory items scanned : 470
Memory threats detected : 0
Registry items scanned : 6032
Registry threats detected : 0
File items scanned : 122490
File threats detected : 4

Trojan.VXGame-Variant/D
C:\DATEN\RAFFI´S DATEN 2\HANDY\SPB\SPB.SOFTWAREHOUSE.PPC.SOFTWARE.NEWEST.VERSIONS.INCL.SERIAL-HAWK\SPB.TIME.2.1.5.GERMAN.INCL.SKINS.AND.SERIAL-HAWK\SKINS\QVGA_(240X320)\ART_SPBTIMESKIN_SETUP.EXE

Trojan.Agent/Gen-Nullo[Short]
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\SDRA64.EXE.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D209C54C-D467-4F4E-92DF-4C07106F8F6B}\RP91\A0049200.EXE

Trojan.Dropper/SVCHost-Fake
C:\_OTL\MOVEDFILES\04272010_232221\C_PROGRAMME\MICROSOFT COMMON\SVCHOST.EXE

Alt 29.04.2010, 08:55   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus verbreitet sich - Standard

Virus verbreitet sich



Zitat:
C:\DATEN\RAFFI´S DATEN 2\HANDY\SPB\SPB.SOFTWAREHOUSE.PPC.SOFTWARE.NEWEST.VERSIONS.INCL.SERIAL-HAWK\
So, hier ist aber jetzt wirklich Schluss, ich hab schon bei der antiwpa ein Auge zuviel zugedrückt

Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.04.2010, 12:00   #13
raffinator
 
Virus verbreitet sich - Standard

Virus verbreitet sich



Hallo
Ich hab jetzt mit beiden aktualisierten programmen suchläufe gemacht Malwarebytes hat 5 funde glaube ich ,eine davonb ist antiwpa dies hab ich ja mal installiert aber habe jetzt wieder meinen lizenaufklebner gefunden von windows kann ich das dann einfach löschen ?

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/29/2010 at 01:13 AM

Application Version : 4.35.1002

Core Rules Database Version : 4864
Trace Rules Database Version: 2676








Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4048

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

28.04.2010 22:18:38
mbam-log-2010-04-28 (22-18-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Durchsuchte Objekte: 229214
Laufzeit: 47 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\daten\Raffi´s Daten 2\Programme\cryptload\CryptLoad_1.0.9\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken.
C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken.


Scan type : Complete Scan
Total Scan Time : 02:46:38

Memory items scanned : 470
Memory threats detected : 0
Registry items scanned : 6032
Registry threats detected : 0
File items scanned : 122490
File threats detected : 4

Trojan.VXGame-Variant/D
C:\DATEN\RAFFI´S DATEN 2\HANDY\SPB\SPB.SOFTWAREHOUSE.PPC.SOFTWARE.NEWEST.VERSIONS.INCL.SERIAL-HAWK\SPB.TIME.2.1.5.GERMAN.INCL.SKINS.AND.SERIAL-HAWK\SKINS\QVGA_(240X320)\ART_SPBTIMESKIN_SETUP.EXE

Trojan.Agent/Gen-Nullo[Short]
C:\QOOBOX\QUARANTINE\C\WINDOWS\SYSTEM32\SDRA64.EXE.VIR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D209C54C-D467-4F4E-92DF-4C07106F8F6B}\RP91\A0049200.EXE

Trojan.Dropper/SVCHost-Fake
C:\_OTL\MOVEDFILES\04272010_232221\C_PROGRAMME\MICROSOFT COMMON\SVCHOST.EXE

Antwort

Themen zu Virus verbreitet sich
adobe, antivir, antivir guard, avira, bho, bonjour, desktop, excel, explorer, firefox, hijackthis, hkus\s-1-5-18, internet, internet explorer, lan, mozilla, ordner, problem, programme, software, system, temp, usb, virus, windows, windows xp



Ähnliche Themen: Virus verbreitet sich


  1. Virus infiziert mehrere Systeme, verbreitet sich scheinbar auch übers Netzwerk. Virenprogramme "blind"
    Log-Analyse und Auswertung - 04.03.2015 (17)
  2. 2x | Windows 7 - Inkasse Fakemail Datei geöffnet. Trojaner verbreitet sich?
    Mülltonne - 24.08.2013 (1)
  3. Wurm verbreitet sich auf Tumblr
    Nachrichten - 03.12.2012 (0)
  4. Unbekanntes Script verbreitet sich auf Kundenseite
    Plagegeister aller Art und deren Bekämpfung - 21.08.2012 (8)
  5. BKA-Trojaner, wie verbreitet er sich eigentlich?
    Plagegeister aller Art und deren Bekämpfung - 27.01.2012 (6)
  6. Skypevirus: Kontrolliert und verbreitet sich selber...
    Plagegeister aller Art und deren Bekämpfung - 06.12.2011 (1)
  7. Msn Virus verbreitet sich
    Log-Analyse und Auswertung - 28.02.2011 (1)
  8. Angst, dass sich Virus verbreitet mit Emails über GMX ohne Anhang
    Plagegeister aller Art und deren Bekämpfung - 18.11.2010 (1)
  9. Demo zu Twitter-Sicherheitslücke verbreitet sich rasant [2.Update]
    Nachrichten - 21.09.2010 (0)
  10. Demo zu Twitter-Sicherheitslücke verbreitet sich rasant [Update]
    Nachrichten - 21.09.2010 (0)
  11. Demo zu Twitter-Sicherheitslücke verbreitet sich rasant
    Nachrichten - 21.09.2010 (0)
  12. MSN Virus (verbreitet sich über Link)
    Plagegeister aller Art und deren Bekämpfung - 14.09.2010 (12)
  13. Trojaner verbreitet sich über neue Windows-Lücke
    Nachrichten - 15.07.2010 (0)
  14. Exploit für neue Flash-Lücke verbreitet sich schnell
    Antiviren-, Firewall- und andere Schutzprogramme - 15.06.2010 (5)
  15. Exploit für neue Flash-Lücke verbreitet sich schnell
    Nachrichten - 10.06.2010 (0)
  16. Unbekannter Virus oder Trojaner der sich selbst verbreitet
    Plagegeister aller Art und deren Bekämpfung - 11.01.2007 (3)
  17. Eicar verbreitet sich im Netzwerk ???
    Plagegeister aller Art und deren Bekämpfung - 11.07.2004 (8)

Zum Thema Virus verbreitet sich - Hallo Seit kurzer Zeit habe ich das Problem dass die Datei Autorun.inf über Usb an angeschlossene Wechseldatenträger verbreitet wird .Ich habe mich informiert und wurde noch nicht wirklich schlau aber - Virus verbreitet sich...
Archiv
Du betrachtest: Virus verbreitet sich auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.