Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: sdra64.exe und andere Trojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 29.04.2010, 10:20   #1
blackthorne
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



Hi zusammen,

gestern hat antivir bei mir angeschlagen und neun viren gefunden, dich ich dann gelöscht habe.
Nach einen scan mit panda activescan kam allerdings noch das hier:
Code:
ATTFilter
;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-04-28 23:55:09
PROTECTIONS: 1
MALWARE: 7
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                                                            Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@doubleclick[1].txt
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\sascha@doubleclick[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\sascha@atdmt[2].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@atdmt[2].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@serving-sys[1].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@bs.serving-sys[1].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@adtech[1].txt
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@advertising[1].txt
00170554  Cookie/Overture                    TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@overture[2].txt
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
         

dann habe ich noch einen scan mit HijackThis gemacht:


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:29:08, on 29.04.2010
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
C:\Users\Sascha\AppData\Roaming\sdra64.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Hamachi\hamachi-2-ui.exe
C:\Program Files (x86)\Windows Media Player\wmplayer.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Windows\SysWOW64\DllHost.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files (x86)\Hamachi\hamachi-2-ui.exe" --auto-start
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - HKCU\..\Run: [EPSON SX110 Series] C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIFBE.EXE /FU "C:\Windows\TEMP\E_SDA20.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [userinit] C:\Users\Sascha\AppData\Roaming\sdra64.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: acaptuser32.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files (x86)\Hamachi\hamachi-2.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files (x86)\OpenVPN\bin\openvpnserv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8760 bytes
         
Mein Betriebssystem ist Win7 64-bit.

Was muss ich machen, um den oder die Trojaner loszuwerden?

Danke für eure Hilfe

Sascha


/edit

Code:
ATTFilter
OTL logfile created on: 29.04.2010 10:52:35 - Run 1
OTL by OldTimer - Version 3.2.3.0     Folder = C:\Users\Sascha\Desktop
64bit- An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 69,00% Memory free
8,00 Gb Paging File | 7,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 99,76 Gb Total Space | 27,65 Gb Free Space | 27,71% Space Free | Partition Type: NTFS
Drive D: | 353,00 Gb Total Space | 27,60 Gb Free Space | 7,82% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: SUPERLAPTOP
Current User Name: Sascha
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Include 64bit Scans
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Sascha\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Program Files (x86)\Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Windows\SysWOW64\PnkBstrA.exe ()
PRC - C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
PRC - C:\Program Files (x86)\Samsung\Easy Display Manager\dmhkcore.exe (Samsung Electronics Co., Ltd.)
PRC - C:\Users\Sascha\AppData\Roaming\sdra64.exe (eSXi)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Sascha\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\SysWOW64\comdlg32.dll (Microsoft Corporation)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (AMD External Events Utility) -- C:\Windows\SysNative\atiesrxx.exe (AMD)
SRV:64bit: - (WwanSvc) -- C:\Windows\SysNative\wwansvc.dll (Microsoft Corporation)
SRV:64bit: - (WbioSrvc) -- C:\Windows\SysNative\wbiosrvc.dll (Microsoft Corporation)
SRV:64bit: - (UmRdpService) -- C:\Windows\SysNative\umrdp.dll (Microsoft Corporation)
SRV:64bit: - (Power) -- C:\Windows\SysNative\umpo.dll (Microsoft Corporation)
SRV:64bit: - (Themes) -- C:\Windows\SysNative\themeservice.dll (Microsoft Corporation)
SRV:64bit: - (sppuinotify) -- C:\Windows\SysNative\sppuinotify.dll (Microsoft Corporation)
SRV:64bit: - (SensrSvc) -- C:\Windows\SysNative\sensrsvc.dll (Microsoft Corporation)
SRV:64bit: - (StorSvc) -- C:\Windows\SysNative\StorSvc.dll (Microsoft Corporation)
SRV:64bit: - (PeerDistSvc) -- C:\Windows\SysNative\PeerDistSvc.dll (Microsoft Corporation)
SRV:64bit: - (PNRPsvc) -- C:\Windows\SysNative\pnrpsvc.dll (Microsoft Corporation)
SRV:64bit: - (p2pimsvc) -- C:\Windows\SysNative\pnrpsvc.dll (Microsoft Corporation)
SRV:64bit: - (HomeGroupProvider) -- C:\Windows\SysNative\provsvc.dll (Microsoft Corporation)
SRV:64bit: - (RpcEptMapper) -- C:\Windows\SysNative\RpcEpMap.dll (Microsoft Corporation)
SRV:64bit: - (PNRPAutoReg) -- C:\Windows\SysNative\pnrpauto.dll (Microsoft Corporation)
SRV:64bit: - (HomeGroupListener) -- C:\Windows\SysNative\ListSvc.dll (Microsoft Corporation)
SRV:64bit: - (FontCache) -- C:\Windows\SysNative\FntCache.dll (Microsoft Corporation)
SRV:64bit: - (Dhcp) -- C:\Windows\SysNative\dhcpcore.dll (Microsoft Corporation)
SRV:64bit: - (defragsvc) -- C:\Windows\SysNative\defragsvc.dll (Microsoft Corporation)
SRV:64bit: - (CscService) -- C:\Windows\SysNative\cscsvc.dll (Microsoft Corporation)
SRV:64bit: - (bthserv) -- C:\Windows\SysNative\bthserv.dll (Microsoft Corporation)
SRV:64bit: - (BDESVC) -- C:\Windows\SysNative\bdesvc.dll (Microsoft Corporation)
SRV:64bit: - (AxInstSV) -- C:\Windows\SysNative\AxInstSv.dll (Microsoft Corporation)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV:64bit: - (AppIDSvc) -- C:\Windows\SysNative\appidsvc.dll (Microsoft Corporation)
SRV:64bit: - (wbengine) -- C:\Windows\SysNative\wbengine.exe (Microsoft Corporation)
SRV:64bit: - (sppsvc) -- C:\Windows\SysNative\sppsvc.exe (Microsoft Corporation)
SRV:64bit: - (Fax) -- C:\Windows\SysNative\FXSSVC.exe (Microsoft Corporation)
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (Hamachi2Svc) -- C:\Program Files (x86)\Hamachi\hamachi-2.exe (LogMeIn Inc.)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (FLEXnet Licensing Service) -- C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Macrovision Europe Ltd.)
SRV - (PnkBstrA) -- C:\Windows\SysWOW64\PnkBstrA.exe ()
SRV - (OpenVPNService) -- C:\Program Files (x86)\OpenVPN\bin\openvpnserv.exe ()
SRV - (VSS) -- C:\Windows\Vss [2009.07.14 05:20:14 | 000,000,000 | ---D | M]
SRV - (MSDTC) -- C:\Windows\SysWOW64\Msdtc [2009.07.14 05:20:14 | 000,000,000 | ---D | M]
SRV - (HomeGroupProvider) -- C:\Windows\SysWOW64\provsvc.dll (Microsoft Corporation)
SRV - (Dhcp) -- C:\Windows\SysWOW64\dhcpcore.dll (Microsoft Corporation)
SRV - (vds) -- C:\Windows\SysWOW64\wbem\vds.mof ()
SRV - (clr_optimization_v2.0.50727_64) -- C:\Windows\Microsoft.NET\Framework64\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (Microsoft Office Groove Audit Service) -- C:\Program Files (x86)\Microsoft Office\Office12\GrooveAuditService.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH)
DRV:64bit: - (athr) -- C:\Windows\SysNative\drivers\athrx.sys (Atheros Communications, Inc.)
DRV:64bit: - (KSecPkg) -- C:\Windows\SysNative\drivers\ksecpkg.sys (Microsoft Corporation)
DRV:64bit: - (atksgt) -- C:\Windows\SysNative\drivers\atksgt.sys ()
DRV:64bit: - (lirsgt) -- C:\Windows\SysNative\drivers\lirsgt.sys ()
DRV:64bit: - (sptd) -- C:\Windows\SysNative\drivers\sptd.sys ()
DRV:64bit: - (yukonw7) -- C:\Windows\SysNative\drivers\yk62x64.sys ()
DRV:64bit: - (fvevol) -- C:\Windows\SysNative\drivers\fvevol.sys (Microsoft Corporation)
DRV:64bit: - (hamachi) -- C:\Windows\SysNative\drivers\hamachi.sys (LogMeIn, Inc.)
DRV:64bit: - (WmXlCore) -- C:\Windows\SysNative\drivers\WmXlCore.sys (Logitech Inc.)
DRV:64bit: - (WmVirHid) -- C:\Windows\SysNative\drivers\WmVirHid.sys (Logitech Inc.)
DRV:64bit: - (WmHidLo) -- C:\Windows\SysNative\drivers\WmHidLo.sys (Logitech Inc.)
DRV:64bit: - (WmFilter) -- C:\Windows\SysNative\drivers\WmFilter.sys (Logitech Inc.)
DRV:64bit: - (WmBEnum) -- C:\Windows\SysNative\drivers\WmBEnum.sys (Logitech Inc.)
DRV:64bit: - (atikmdag) -- C:\Windows\SysNative\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV:64bit: - (tap0901) -- C:\Windows\SysNative\drivers\tap0901.sys (The OpenVPN Project)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (hwpolicy) -- C:\Windows\SysNative\drivers\hwpolicy.sys (Microsoft Corporation)
DRV:64bit: - (FsDepends) -- C:\Windows\SysNative\drivers\fsdepends.sys (Microsoft Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (WIMMount) -- C:\Windows\SysNative\drivers\wimmount.sys (Microsoft Corporation)
DRV:64bit: - (vhdmp) -- C:\Windows\SysNative\drivers\vhdmp.sys (Microsoft Corporation)
DRV:64bit: - (vmbus) -- C:\Windows\SysNative\drivers\vmbus.sys (Microsoft Corporation)
DRV:64bit: - (storflt) -- C:\Windows\SysNative\drivers\vmstorfl.sys (Microsoft Corporation)
DRV:64bit: - (vdrvroot) -- C:\Windows\SysNative\drivers\vdrvroot.sys (Microsoft Corporation)
DRV:64bit: - (storvsc) -- C:\Windows\SysNative\drivers\storvsc.sys (Microsoft Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (rdyboost) -- C:\Windows\SysNative\drivers\rdyboost.sys (Microsoft Corporation)
DRV:64bit: - (pcw) -- C:\Windows\SysNative\drivers\pcw.sys (Microsoft Corporation)
DRV:64bit: - (CNG) -- C:\Windows\SysNative\drivers\cng.sys (Microsoft Corporation)
DRV:64bit: - (rdpbus) -- C:\Windows\SysNative\drivers\rdpbus.sys (Microsoft Corporation)
DRV:64bit: - (RDPREFMP) -- C:\Windows\SysNative\drivers\RDPREFMP.sys (Microsoft Corporation)
DRV:64bit: - (RasAgileVpn) WAN Miniport (IKEv2) -- C:\Windows\SysNative\drivers\agilevpn.sys (Microsoft Corporation)
DRV:64bit: - (WfpLwf) -- C:\Windows\SysNative\drivers\wfplwf.sys (Microsoft Corporation)
DRV:64bit: - (NdisCap) -- C:\Windows\SysNative\drivers\ndiscap.sys (Microsoft Corporation)
DRV:64bit: - (vwifimp) -- C:\Windows\SysNative\drivers\vwifimp.sys (Microsoft Corporation)
DRV:64bit: - (vwififlt) -- C:\Windows\SysNative\drivers\vwififlt.sys (Microsoft Corporation)
DRV:64bit: - (vwifibus) -- C:\Windows\SysNative\drivers\vwifibus.sys (Microsoft Corporation)
DRV:64bit: - (1394ohci) -- C:\Windows\SysNative\drivers\1394ohci.sys (Microsoft Corporation)
DRV:64bit: - (HdAudAddService) -- C:\Windows\SysNative\drivers\HdAudio.sys (Microsoft Corporation)
DRV:64bit: - (usbvideo) USB-Videogerät (WDM) -- C:\Windows\SysNative\drivers\usbvideo.sys (Microsoft Corporation)
DRV:64bit: - (UmPass) -- C:\Windows\SysNative\drivers\umpass.sys (Microsoft Corporation)
DRV:64bit: - (mshidkmdf) -- C:\Windows\SysNative\drivers\mshidkmdf.sys (Microsoft Corporation)
DRV:64bit: - (WudfPf) -- C:\Windows\SysNative\drivers\WUDFPf.sys (Microsoft Corporation)
DRV:64bit: - (MTConfig) -- C:\Windows\SysNative\drivers\MTConfig.sys (Microsoft Corporation)
DRV:64bit: - (CompositeBus) -- C:\Windows\SysNative\drivers\CompositeBus.sys (Microsoft Corporation)
DRV:64bit: - (Beep) -- C:\Windows\SysNative\drivers\beep.sys (Microsoft Corporation)
DRV:64bit: - (AppID) -- C:\Windows\SysNative\drivers\appid.sys (Microsoft Corporation)
DRV:64bit: - (scfilter) -- C:\Windows\SysNative\drivers\scfilter.sys (Microsoft Corporation)
DRV:64bit: - (s3cap) -- C:\Windows\SysNative\drivers\vms3cap.sys (Microsoft Corporation)
DRV:64bit: - (VMBusHID) -- C:\Windows\SysNative\drivers\VMBusHID.sys (Microsoft Corporation)
DRV:64bit: - (discache) -- C:\Windows\SysNative\drivers\discache.sys (Microsoft Corporation)
DRV:64bit: - (HidBatt) -- C:\Windows\SysNative\drivers\hidbatt.sys (Microsoft Corporation)
DRV:64bit: - (CmBatt) -- C:\Windows\SysNative\drivers\CmBatt.sys (Microsoft Corporation)
DRV:64bit: - (AcpiPmi) -- C:\Windows\SysNative\drivers\acpipmi.sys (Microsoft Corporation)
DRV:64bit: - (CSC) -- C:\Windows\SysNative\drivers\csc.sys (Microsoft Corporation)
DRV:64bit: - (AmdPPM) -- C:\Windows\SysNative\drivers\amdppm.sys (Microsoft Corporation)
DRV:64bit: - (pavboot) -- C:\Windows\SysNative\drivers\pavboot64.sys (Panda Security, S.L.)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (SABI) -- C:\Windows\SysNative\drivers\SABI.sys (SAMSUNG ELECTRONICS)
DRV:64bit: - (VMC326) -- C:\Windows\SysNative\drivers\VMC326.sys (Vimicro Corporation)
DRV:64bit: - (SynTP) -- C:\Windows\SysNative\drivers\SynTP.sys (Synaptics, Inc.)
DRV:64bit: - (KMDFMEMIO) -- C:\Windows\SysNative\drivers\KMDFMEMIO.sys (SAMSUNG ELECTRONICS CO., LTD.)
DRV - (CSC) -- C:\Windows\CSC [2009.11.19 22:29:28 | 000,000,000 | ---D | M]
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
DRV - (NetBIOS) -- C:\Windows\SysWOW64\netbios.dll (Microsoft Corporation)
DRV - (mpsdrv) -- C:\Windows\SysWOW64\wbem\mpsdrv.mof ()
DRV - (Tcpip) -- C:\Windows\SysWOW64\wbem\tcpip.mof ()
DRV - (VMC326) -- C:\Windows\SysWOW64\VMC326.ax (vimicro)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = AC 3E 4C 90 58 69 CA 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Wikipedia (de)"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "google.de"
FF - prefs.js..extensions.enabledItems: allglassv2@ambroos.neowin.net:2.1.4
FF - prefs.js..extensions.enabledItems: piclens@cooliris.com:1.11.7
FF - prefs.js..extensions.enabledItems: {888d99e7-e8b5-46a3-851e-1ec45da1e644}:3.6.3
FF - prefs.js..extensions.enabledItems: {7b13ec3e-999a-4b70-b9cb-2617b8323822}:2.5.6.0
FF - prefs.js..extensions.enabledItems: {ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}:1.3
FF - prefs.js..extensions.enabledItems: qtl.co.il@gmail.com:14.3
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198
FF - prefs.js..extensions.enabledItems: {e001c731-5e37-4538-a5cb-8168736a2360}:0.9.9.18
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2010.04.08 11:41:19 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2010.04.08 11:41:19 | 000,000,000 | ---D | M]
 
[2009.11.19 23:35:53 | 000,000,000 | ---D | M] -- C:\Users\Sascha\AppData\Roaming\mozilla\Extensions
[2010.04.29 08:57:26 | 000,000,000 | ---D | M] -- C:\Users\Sascha\AppData\Roaming\mozilla\Firefox\Profiles\yvdw6sbg.default\extensions
[2010.01.20 20:29:03 | 000,000,000 | ---D | M] (Zynga Toolbar) -- C:\Users\Sascha\AppData\Roaming\mozilla\Firefox\Profiles\yvdw6sbg.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}
[2010.04.15 10:44:22 | 000,000,000 | ---D | M] (ReloadEvery) -- C:\Users\Sascha\AppData\Roaming\mozilla\Firefox\Profiles\yvdw6sbg.default\extensions\{888d99e7-e8b5-46a3-851e-1ec45da1e644}
[2010.04.28 20:17:49 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Sascha\AppData\Roaming\mozilla\Firefox\Profiles\yvdw6sbg.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}
[2010.03.12 15:40:06 | 000,000,000 | ---D | M] (FoxTab) -- C:\Users\Sascha\AppData\Roaming\mozilla\Firefox\Profiles\yvdw6sbg.default\extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a}
[2010.02.15 22:14:25 | 000,000,000 | ---D | M] -- C:\Users\Sascha\AppData\Roaming\mozilla\Firefox\Profiles\yvdw6sbg.default\extensions\allglassv2@ambroos.neowin.net
[2009.11.20 00:00:03 | 000,000,000 | ---D | M] -- C:\Users\Sascha\AppData\Roaming\mozilla\Firefox\Profiles\yvdw6sbg.default\extensions\one@h3j4.com
[2010.03.26 23:42:24 | 000,000,000 | ---D | M] -- C:\Users\Sascha\AppData\Roaming\mozilla\Firefox\Profiles\yvdw6sbg.default\extensions\piclens@cooliris.com
[2010.04.09 16:00:02 | 000,000,000 | ---D | M] -- C:\Users\Sascha\AppData\Roaming\mozilla\Firefox\Profiles\yvdw6sbg.default\extensions\qtl.co.il@gmail.com
[2010.03.24 23:37:53 | 000,002,101 | ---- | M] () -- C:\Users\Sascha\AppData\Roaming\Mozilla\FireFox\Profiles\yvdw6sbg.default\searchplugins\qtl.xml
[2010.01.27 23:39:29 | 000,002,013 | ---- | M] () -- C:\Users\Sascha\AppData\Roaming\Mozilla\FireFox\Profiles\yvdw6sbg.default\searchplugins\urban-dictionary.xml
[2009.11.20 00:16:55 | 000,001,720 | ---- | M] () -- C:\Users\Sascha\AppData\Roaming\Mozilla\FireFox\Profiles\yvdw6sbg.default\searchplugins\youtube-videosuche.xml
[2010.03.31 19:27:06 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Mozilla Firefox\extensions
[2010.03.31 19:27:01 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2010.04.08 11:41:16 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.04.08 11:41:16 | 000,002,344 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.04.08 11:41:16 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.04.08 11:41:17 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.04.08 11:41:17 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Programme\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4:64bit: - HKLM..\Run: [Skytel] C:\Programme\Realtek\Audio\HDA\SkyTel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [LogMeIn Hamachi Ui] C:\Program Files (x86)\Hamachi\hamachi-2-ui.exe (LogMeIn Inc.)
O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKCU..\Run: [EPSON SX110 Series] C:\Windows\SysWow64\spool\DRIVERS\x64\3\E_IATIFBE.EXE File not found
O4 - HKCU..\Run: [RESTART_STICKY_NOTES] C:\Windows\SysWow64\StikyNot.exe File not found
O4 - HKCU..\Run: [userinit] C:\Users\Sascha\AppData\Roaming\sdra64.exe (eSXi)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8:64bit: - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8:64bit: - Extra context menu item: In Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8:64bit: - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8:64bit: - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O13 - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O18:64bit: - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files (x86)\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - AppInit_DLLs: (acaptuser64.dll) - C:\Windows\SysNative\acaptuser64.dll (Adobe Systems, Inc.)
O20 - AppInit_DLLs: (acaptuser32.dll) - C:\Windows\SysWow64\acaptuser32.dll (Adobe Systems Incorporated)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysWow64\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O30:64bit: - LSA: Security Packages - (pku2u) - C:\Windows\SysNative\pku2u.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (pku2u) - C:\Windows\SysWow64\pku2u.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{c3d9ec86-d5ea-11de-b5c8-00245403861e}\Shell - "" = AutoRun
O33 - MountPoints2\{c3d9ec86-d5ea-11de-b5c8-00245403861e}\Shell\AutoRun\command - "" = F:\autorun.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.04.29 10:01:47 | 000,563,712 | ---- | C] (OldTimer Tools) -- C:\Users\Sascha\Desktop\OTL.exe
[2010.04.29 09:26:11 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Trend Micro
[2010.04.29 08:59:22 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Trojancheck 6
[2010.04.28 21:21:11 | 000,033,800 | ---- | C] (Panda Security, S.L.) -- C:\Windows\SysNative\drivers\pavboot64.sys
[2010.04.28 21:20:53 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Panda Security
[2010.04.28 20:17:57 | 000,000,000 | ---D | C] -- C:\Users\Sascha\AppData\Roaming\QuickScan
[2010.04.28 20:10:36 | 000,000,000 | -H-D | C] -- C:\Windows\AxInstSV
[2010.04.28 18:06:44 | 000,223,448 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\fvevol.sys
[2010.04.28 18:06:42 | 001,446,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\lsasrv.dll
[2010.04.28 18:06:42 | 000,153,160 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\ksecpkg.sys
[2010.04.27 14:28:54 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Tunatic
[2010.04.21 23:05:32 | 000,000,000 | ---D | C] -- C:\Users\Sascha\Documents\My Games
[2010.04.21 23:00:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Ubisoft
[2010.04.14 08:15:18 | 000,612,352 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\vbscript.dll
[2010.04.14 08:15:18 | 000,427,520 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\vbscript.dll
[2010.04.14 08:14:48 | 005,509,008 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntoskrnl.exe
[2010.04.14 08:14:47 | 003,954,568 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ntkrnlpa.exe
[2010.04.14 08:14:47 | 003,899,280 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ntoskrnl.exe
[2010.04.14 08:14:22 | 000,220,672 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wintrust.dll
[2010.04.14 08:14:22 | 000,172,032 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\wintrust.dll
[2010.04.14 08:13:59 | 000,139,264 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\cabview.dll
[2010.04.14 08:13:59 | 000,132,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\cabview.dll
[2010.04.12 22:15:32 | 000,033,856 | -H-- | C] (LogMeIn, Inc.) -- C:\Windows\SysNative\hamachi.sys
[2010.04.12 22:15:27 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Hamachi
[2010.04.11 17:30:54 | 000,459,776 | ---- | C] (Seiko Epson Corporation) -- C:\Windows\SysNative\esxwiaud.dll
[2010.04.11 17:30:54 | 000,128,392 | ---- | C] (Seiko Epson Corporation) -- C:\Windows\SysNative\esdevapp.exe
[2010.04.11 17:30:54 | 000,017,408 | ---- | C] (SEIKO EPSON CORP.) -- C:\Windows\SysNative\esxcdev.dll
[2010.04.11 17:30:51 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\epson
[2010.04.05 20:01:57 | 000,000,000 | ---D | C] -- C:\ProgramData\EPSON
[2010.03.31 19:26:51 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Skype
[2010.03.31 09:46:11 | 001,192,960 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\wininet.dll
[2010.03.31 09:46:11 | 001,026,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mstime.dll
[2010.03.31 09:46:11 | 000,606,208 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mstime.dll
[2010.03.31 09:46:10 | 000,977,920 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\wininet.dll
[2010.03.31 09:46:10 | 000,445,952 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iedkcs32.dll
[2010.03.31 09:46:10 | 000,381,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iedkcs32.dll
[2010.03.31 09:46:10 | 000,082,944 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msfeedsbs.dll
[2010.03.31 09:46:10 | 000,064,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msfeedsbs.dll
 
========== Files - Modified Within 30 Days ==========
 
[2010.04.29 10:55:35 | 000,013,248 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2010.04.29 10:55:35 | 000,013,248 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2010.04.29 10:53:02 | 001,472,002 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2010.04.29 10:53:02 | 000,643,866 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2010.04.29 10:53:02 | 000,607,190 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2010.04.29 10:53:02 | 000,126,394 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2010.04.29 10:53:02 | 000,103,568 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2010.04.29 10:48:44 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2010.04.29 10:48:21 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.04.29 10:48:05 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.04.29 10:47:59 | 3193,393,152 | -HS- | M] () -- C:\hiberfil.sys
[2010.04.29 10:47:08 | 002,097,152 | -HS- | M] () -- C:\Users\Sascha\NTUSER.DAT
[2010.04.29 10:43:25 | 003,759,332 | -H-- | M] () -- C:\Users\Sascha\AppData\Local\IconCache.db
[2010.04.29 10:22:00 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2010.04.29 10:01:51 | 000,563,712 | ---- | M] (OldTimer Tools) -- C:\Users\Sascha\Desktop\OTL.exe
[2010.04.29 09:26:11 | 000,002,981 | ---- | M] () -- C:\Users\Sascha\Desktop\HiJackThis.lnk
[2010.04.29 08:59:22 | 000,000,971 | ---- | M] () -- C:\Users\Sascha\Desktop\Trojancheck.lnk
[2010.04.28 19:29:49 | 000,519,372 | ---- | M] () -- C:\Users\Sascha\Desktop\Virus2.png
[2010.04.28 19:29:11 | 000,504,531 | ---- | M] () -- C:\Users\Sascha\Desktop\Virus.png
[2010.04.27 14:28:54 | 000,001,763 | ---- | M] () -- C:\Users\Sascha\Desktop\Tunatic.lnk
[2010.04.26 23:35:49 | 000,103,736 | ---- | M] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2010.04.26 22:31:15 | 000,052,437 | ---- | M] () -- C:\Users\Sascha\Desktop\SQ Plan.pdf
[2010.04.21 22:59:48 | 002,337,865 | ---- | M] () -- C:\Windows\SysWow64\pbsvc.exe
[2010.04.12 22:11:43 | 000,042,331 | ---- | M] () -- C:\Users\Sascha\Desktop\Witze.docx
 
========== Files Created - No Company Name ==========
 
[2010.04.29 09:26:11 | 000,002,981 | ---- | C] () -- C:\Users\Sascha\Desktop\HiJackThis.lnk
[2010.04.29 08:59:22 | 000,000,971 | ---- | C] () -- C:\Users\Sascha\Desktop\Trojancheck.lnk
[2010.04.28 19:29:49 | 000,519,372 | ---- | C] () -- C:\Users\Sascha\Desktop\Virus2.png
[2010.04.28 19:29:10 | 000,504,531 | ---- | C] () -- C:\Users\Sascha\Desktop\Virus.png
[2010.04.27 14:28:54 | 000,001,763 | ---- | C] () -- C:\Users\Sascha\Desktop\Tunatic.lnk
[2010.04.26 22:31:11 | 000,052,437 | ---- | C] () -- C:\Users\Sascha\Desktop\SQ Plan.pdf
[2010.04.21 22:59:48 | 002,337,865 | ---- | C] () -- C:\Windows\SysWow64\pbsvc.exe
[2010.04.11 17:48:36 | 000,000,000 | ---- | C] () -- C:\Users\Sascha\Sti_Trace.log
[2010.04.08 17:54:38 | 000,042,331 | ---- | C] () -- C:\Users\Sascha\Desktop\Witze.docx
[2010.01.02 22:38:42 | 000,000,290 | ---- | C] () -- C:\Windows\game.ini
[2009.11.19 23:21:01 | 000,000,135 | R--- | C] () -- C:\Windows\SysWow64\lngEng.ini
[2009.11.19 23:21:01 | 000,000,117 | ---- | C] () -- C:\Windows\SysWow64\lngKor.ini
[2009.11.19 22:52:55 | 000,000,002 | ---- | C] () -- C:\Windows\HotFixList.ini
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll
[2009.07.13 23:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2008.10.07 10:13:30 | 000,197,912 | ---- | C] () -- C:\Windows\SysWow64\physxcudart_20.dll
[2008.10.07 10:13:22 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelTraditionalChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSwedish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSpanish.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSimplifiedChinese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelPortugese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelKorean.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelJapanese.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelGerman.dll
[2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelFrench.dll
< End of report >
         

Geändert von blackthorne (29.04.2010 um 11:05 Uhr) Grund: QTL logfile hinzugefügt

Alt 29.04.2010, 21:12   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten.
Poste auch das AntiVir Logfile.
__________________

__________________

Alt 30.04.2010, 11:25   #3
blackthorne
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



Code:
ATTFilter
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4051

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

30.04.2010 11:04:49
mbam-log-2010-04-30 (11-04-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 236027
Laufzeit: 46 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
sieht ja ganz gut aus, aber panda online findet immernochwas...

Code:
ATTFilter
;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-04-30 01:26:57
PROTECTIONS: 1
MALWARE: 7
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                                                            Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@doubleclick[1].txt
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\sascha@doubleclick[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\sascha@atdmt[2].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@atdmt[2].txt
00168090  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@serving-sys[1].txt
00168093  Cookie/Serving-sys                 TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@bs.serving-sys[1].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@adtech[1].txt
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@advertising[1].txt
00170554  Cookie/Overture                    TrackingCookie      No        0         Yes            No           c:\users\sascha\appdata\roaming\microsoft\windows\cookies\low\sascha@overture[2].txt
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
         
Grüße Sascha
__________________

Alt 30.04.2010, 11:27   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



Wo ist das AntiVir Logfile?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.04.2010, 17:19   #5
blackthorne
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



voilà!
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 30. April 2010  16:17

Es wird nach 2061062 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : Sascha
Computername   : 

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  19.04.2010 16:27:15
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  19.04.2010 16:27:15
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 16:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 09:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 21:16:24
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 06:00:13
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 21:29:06
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 17:47:10
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 16:31:04
VBASE006.VDF   : 7.10.6.83       2048 Bytes  15.04.2010 16:31:04
VBASE007.VDF   : 7.10.6.84       2048 Bytes  15.04.2010 16:31:05
VBASE008.VDF   : 7.10.6.85       2048 Bytes  15.04.2010 16:31:05
VBASE009.VDF   : 7.10.6.86       2048 Bytes  15.04.2010 16:31:05
VBASE010.VDF   : 7.10.6.87       2048 Bytes  15.04.2010 16:31:05
VBASE011.VDF   : 7.10.6.88       2048 Bytes  15.04.2010 16:31:05
VBASE012.VDF   : 7.10.6.89       2048 Bytes  15.04.2010 16:31:05
VBASE013.VDF   : 7.10.6.90       2048 Bytes  15.04.2010 16:31:05
VBASE014.VDF   : 7.10.6.123    126464 Bytes  19.04.2010 16:57:44
VBASE015.VDF   : 7.10.6.152    123392 Bytes  21.04.2010 16:27:31
VBASE016.VDF   : 7.10.6.178    122880 Bytes  22.04.2010 20:14:36
VBASE017.VDF   : 7.10.6.206    120320 Bytes  26.04.2010 16:44:19
VBASE018.VDF   : 7.10.6.232     99328 Bytes  28.04.2010 16:27:31
VBASE019.VDF   : 7.10.7.2      155648 Bytes  30.04.2010 14:12:28
VBASE020.VDF   : 7.10.7.3        2048 Bytes  30.04.2010 14:12:28
VBASE021.VDF   : 7.10.7.4        2048 Bytes  30.04.2010 14:12:28
VBASE022.VDF   : 7.10.7.5        2048 Bytes  30.04.2010 14:12:28
VBASE023.VDF   : 7.10.7.6        2048 Bytes  30.04.2010 14:12:28
VBASE024.VDF   : 7.10.7.7        2048 Bytes  30.04.2010 14:12:28
VBASE025.VDF   : 7.10.7.8        2048 Bytes  30.04.2010 14:12:28
VBASE026.VDF   : 7.10.7.9        2048 Bytes  30.04.2010 14:12:28
VBASE027.VDF   : 7.10.7.10       2048 Bytes  30.04.2010 14:12:28
VBASE028.VDF   : 7.10.7.11       2048 Bytes  30.04.2010 14:12:28
VBASE029.VDF   : 7.10.7.12       2048 Bytes  30.04.2010 14:12:28
VBASE030.VDF   : 7.10.7.13       2048 Bytes  30.04.2010 14:12:29
VBASE031.VDF   : 7.10.7.15      24576 Bytes  30.04.2010 14:12:29
Engineversion  : 8.2.1.224 
AEVDF.DLL      : 8.1.2.0       106868 Bytes  23.04.2010 20:14:42
AESCRIPT.DLL   : 8.1.3.27     1294714 Bytes  23.04.2010 20:14:42
AESCN.DLL      : 8.1.5.0       127347 Bytes  26.02.2010 11:28:11
AESBX.DLL      : 8.1.3.1       254324 Bytes  23.04.2010 20:14:43
AERDL.DLL      : 8.1.4.6       541043 Bytes  16.04.2010 16:31:08
AEPACK.DLL     : 8.2.1.1       426358 Bytes  28.03.2010 10:57:18
AEOFFICE.DLL   : 8.1.0.41      201083 Bytes  17.03.2010 21:31:00
AEHEUR.DLL     : 8.1.1.24     2613623 Bytes  16.04.2010 16:31:08
AEHELP.DLL     : 8.1.11.3      242039 Bytes  02.04.2010 18:50:22
AEGEN.DLL      : 8.1.3.7       373106 Bytes  16.04.2010 16:31:07
AEEMU.DLL      : 8.1.2.0       393588 Bytes  23.04.2010 20:14:40
AECORE.DLL     : 8.1.13.1      188790 Bytes  02.04.2010 18:50:20
AEBB.DLL       : 8.1.1.0        53618 Bytes  23.04.2010 20:14:38
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 09:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 09:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 14:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  19.04.2010 16:27:15
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  19.04.2010 16:27:15
AVARKT.DLL     : 10.0.0.14     227176 Bytes  19.04.2010 16:27:15
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 07:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 10:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 13:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 12:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 11:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  19.04.2010 16:27:15

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Freitag, 30. April 2010  16:17

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{00020D75-0000-0000-C000-000000000046}\ShellFolder\attributes
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\381b4222-f694-41f0-9685-ff5bb260df2e
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\a1841308-3541-4fab-bc81-f71556f20b4a
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'NOTEPAD.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '127' Modul(e) wurden durchsucht
Durchsuche Prozess 'SkypeNames2.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '141' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '175' Modul(e) wurden durchsucht
Durchsuche Prozess 'hamachi-2-ui.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '132' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Freitag, 30. April 2010  17:14
Benötigte Zeit: 56:40 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  21980 Verzeichnisse wurden überprüft
 474977 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 474977 Dateien ohne Befall
   2299 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 569957 Objekte wurden beim Rootkitscan durchsucht
      3 Versteckte Objekte wurden gefunden
         


Alt 30.04.2010, 17:40   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



Ich wollte das alte Protokoll mit den Funden von AntiVir sehen
__________________
--> sdra64.exe und andere Trojaner

Alt 30.04.2010, 17:47   #7
blackthorne
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



Das?
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 28. April 2010  18:56

Es wird nach 2053123 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : Sascha
Computername   : 

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  19.04.2010 16:27:15
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  19.04.2010 16:27:15
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 16:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 09:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 21:16:24
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 06:00:13
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 21:29:06
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 17:47:10
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 16:31:04
VBASE006.VDF   : 7.10.6.83       2048 Bytes  15.04.2010 16:31:04
VBASE007.VDF   : 7.10.6.84       2048 Bytes  15.04.2010 16:31:05
VBASE008.VDF   : 7.10.6.85       2048 Bytes  15.04.2010 16:31:05
VBASE009.VDF   : 7.10.6.86       2048 Bytes  15.04.2010 16:31:05
VBASE010.VDF   : 7.10.6.87       2048 Bytes  15.04.2010 16:31:05
VBASE011.VDF   : 7.10.6.88       2048 Bytes  15.04.2010 16:31:05
VBASE012.VDF   : 7.10.6.89       2048 Bytes  15.04.2010 16:31:05
VBASE013.VDF   : 7.10.6.90       2048 Bytes  15.04.2010 16:31:05
VBASE014.VDF   : 7.10.6.123    126464 Bytes  19.04.2010 16:57:44
VBASE015.VDF   : 7.10.6.152    123392 Bytes  21.04.2010 16:27:31
VBASE016.VDF   : 7.10.6.178    122880 Bytes  22.04.2010 20:14:36
VBASE017.VDF   : 7.10.6.206    120320 begin_of_the_skype_highlighting**************06 120320******end_of_the_skype_highlighting Bytes  26.04.2010 16:44:19
VBASE018.VDF   : 7.10.6.232     99328 Bytes  28.04.2010 16:27:31
VBASE019.VDF   : 7.10.6.233      2048 Bytes  28.04.2010 16:27:31
VBASE020.VDF   : 7.10.6.234      2048 Bytes  28.04.2010 16:27:31
VBASE021.VDF   : 7.10.6.235      2048 Bytes  28.04.2010 16:27:31
VBASE022.VDF   : 7.10.6.236      2048 Bytes  28.04.2010 16:27:31
VBASE023.VDF   : 7.10.6.237      2048 Bytes  28.04.2010 16:27:31
VBASE024.VDF   : 7.10.6.238      2048 Bytes  28.04.2010 16:27:31
VBASE025.VDF   : 7.10.6.239      2048 Bytes  28.04.2010 16:27:31
VBASE026.VDF   : 7.10.6.240      2048 Bytes  28.04.2010 16:27:31
VBASE027.VDF   : 7.10.6.241      2048 Bytes  28.04.2010 16:27:31
VBASE028.VDF   : 7.10.6.242      2048 Bytes  28.04.2010 16:27:31
VBASE029.VDF   : 7.10.6.243      2048 Bytes  28.04.2010 16:27:31
VBASE030.VDF   : 7.10.6.244      2048 Bytes  28.04.2010 16:27:31
VBASE031.VDF   : 7.10.6.246     59904 Bytes  28.04.2010 16:27:31
Engineversion  : 8.2.1.224 
AEVDF.DLL      : 8.1.2.0       106868 Bytes  23.04.2010 20:14:42
AESCRIPT.DLL   : 8.1.3.27     1294714 Bytes  23.04.2010 20:14:42
AESCN.DLL      : 8.1.5.0       127347 Bytes  26.02.2010 11:28:11
AESBX.DLL      : 8.1.3.1       254324 Bytes  23.04.2010 20:14:43
AERDL.DLL      : 8.1.4.6       541043 Bytes  16.04.2010 16:31:08
AEPACK.DLL     : 8.2.1.1       426358 Bytes  28.03.2010 10:57:18
AEOFFICE.DLL   : 8.1.0.41      201083 Bytes  17.03.2010 21:31:00
AEHEUR.DLL     : 8.1.1.24     2613623 Bytes  16.04.2010 16:31:08
AEHELP.DLL     : 8.1.11.3      242039 Bytes  02.04.2010 18:50:22
AEGEN.DLL      : 8.1.3.7       373106 Bytes  16.04.2010 16:31:07
AEEMU.DLL      : 8.1.2.0       393588 Bytes  23.04.2010 20:14:40
AECORE.DLL     : 8.1.13.1      188790 Bytes  02.04.2010 18:50:20
AEBB.DLL       : 8.1.1.0        53618 Bytes  23.04.2010 20:14:38
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 09:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 09:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 14:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  19.04.2010 16:27:15
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  19.04.2010 16:27:15
AVARKT.DLL     : 10.0.0.14     227176 Bytes  19.04.2010 16:27:15
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 07:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 10:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 13:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 12:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 11:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  19.04.2010 16:27:15

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits und aktiver Malware
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Mittwoch, 28. April 2010  18:56

Der Suchlauf nach versteckten Objekten wird begonnen.
C:\Windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
C:\Windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{00020D75-0000-0000-C000-000000000046}\ShellFolder\attributes
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\381b4222-f694-41f0-9685-ff5bb260df2e
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray\BattMeter\Flyout\a1841308-3541-4fab-bc81-f71556f20b4a
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\offlinedetectionpending
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Search\Tracing\EventThrottleState\000003f5
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Search\Tracing\EventThrottleState\00000bdc
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Tcpip\Parameters\dhcpnameserver
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\Tcpip\Parameters\dhcpdomain
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'hamachi-2-ui.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'sdra64.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '133' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:'
C:\Users\Sascha\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6LIXGORI\oriqbjdp[1].htm
    [FUND]      Ist das Trojanische Pferd TR/Ertfor.A.45
C:\Users\Sascha\AppData\Local\Temp\moewrnscax.exe
[0] Archivtyp: RAR SFX (self extracting)
  [FUND]      Ist das Trojanische Pferd TR/BHO.315392
  --> ezwi152.exe
    [1] Archivtyp: NSIS
--> ProgramFilesDir/[UnknownDir].dll
  [FUND]      Ist das Trojanische Pferd TR/BHO.315392
--> ProgramFilesDir/ffxShot.dll
  [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Bho.LUA.1
  --> smwi152.exe
    [1] Archivtyp: NSIS
--> ProgramFilesDir/[UnknownDir].dll
  [FUND]      Ist das Trojanische Pferd TR/BHO.aftj
C:\Users\Sascha\AppData\Local\Temp\namwreosxc.exe
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.Z.4333
C:\Users\Sascha\AppData\Local\Temp\naxmeosrcw.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.CFI.Gen
C:\Users\Sascha\AppData\Local\Temp\nbmrh.exe
    [FUND]      Ist das Trojanische Pferd TR/Ertfor.A.45
C:\Users\Sascha\AppData\Local\Temp\rmsoaecnwx.exe
    [FUND]      Ist das Trojanische Pferd TR/Kryptik.DXH
C:\Users\Sascha\AppData\Local\Temp\saonewcrmx.exe
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.LB
C:\Users\Sascha\AppData\Local\Temp\RarSFX0\ezwi152.exe
[0] Archivtyp: NSIS
  [FUND]      Ist das Trojanische Pferd TR/BHO.315392
--> ProgramFilesDir/[UnknownDir].dll
  [FUND]      Ist das Trojanische Pferd TR/BHO.315392
--> ProgramFilesDir/ffxShot.dll
  [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Bho.LUA.1
C:\Users\Sascha\AppData\Local\Temp\RarSFX0\smwi152.exe
[0] Archivtyp: NSIS
  [FUND]      Ist das Trojanische Pferd TR/BHO.aftj
--> ProgramFilesDir/[UnknownDir].dll
  [FUND]      Ist das Trojanische Pferd TR/BHO.aftj

Beginne mit der Desinfektion:
C:\Users\Sascha\AppData\Local\Temp\RarSFX0\smwi152.exe
    [FUND]      Ist das Trojanische Pferd TR/BHO.aftj
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Users\Sascha\AppData\Local\Temp\RarSFX0\ezwi152.exe
    [FUND]      Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Bho.LUA.1
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Users\Sascha\AppData\Local\Temp\saonewcrmx.exe
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.LB
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Users\Sascha\AppData\Local\Temp\rmsoaecnwx.exe
    [FUND]      Ist das Trojanische Pferd TR/Kryptik.DXH
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Users\Sascha\AppData\Local\Temp\nbmrh.exe
    [FUND]      Ist das Trojanische Pferd TR/Ertfor.A.45
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Users\Sascha\AppData\Local\Temp\naxmeosrcw.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.CFI.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Users\Sascha\AppData\Local\Temp\namwreosxc.exe
    [FUND]      Ist das Trojanische Pferd TR/PCK.Tdss.Z.4333
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Users\Sascha\AppData\Local\Temp\moewrnscax.exe
    [FUND]      Ist das Trojanische Pferd TR/BHO.aftj
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Users\Sascha\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6LIXGORI\oriqbjdp[1].htm
    [FUND]      Ist das Trojanische Pferd TR/Ertfor.A.45
    [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: Mittwoch, 28. April 2010  19:30
Benötigte Zeit: 30:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  20771 Verzeichnisse wurden überprüft
 355314 Dateien wurden geprüft
     12 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      9 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 355302 Dateien ohne Befall
   1858 Archive wurden durchsucht
      0 Warnungen
      9 Hinweise
 565329 Objekte wurden beim Rootkitscan durchsucht
      9 Versteckte Objekte wurden gefunden
         
oder das:


Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 28. April 2010  18:49

Es wird nach 2053123 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 x64
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : 

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  19.04.2010 16:27:15
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  19.04.2010 16:27:15
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 16:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 09:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 21:16:24
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 06:00:13
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 21:29:06
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 17:47:10
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 16:31:04
VBASE006.VDF   : 7.10.6.83       2048 Bytes  15.04.2010 16:31:04
VBASE007.VDF   : 7.10.6.84       2048 Bytes  15.04.2010 16:31:05
VBASE008.VDF   : 7.10.6.85       2048 Bytes  15.04.2010 16:31:05
VBASE009.VDF   : 7.10.6.86       2048 Bytes  15.04.2010 16:31:05
VBASE010.VDF   : 7.10.6.87       2048 Bytes  15.04.2010 16:31:05
VBASE011.VDF   : 7.10.6.88       2048 Bytes  15.04.2010 16:31:05
VBASE012.VDF   : 7.10.6.89       2048 Bytes  15.04.2010 16:31:05
VBASE013.VDF   : 7.10.6.90       2048 Bytes  15.04.2010 16:31:05
VBASE014.VDF   : 7.10.6.123    126464 Bytes  19.04.2010 16:57:44
VBASE015.VDF   : 7.10.6.152    123392 Bytes  21.04.2010 16:27:31
VBASE016.VDF   : 7.10.6.178    122880 Bytes  22.04.2010 20:14:36
VBASE017.VDF   : 7.10.6.206    120320 Bytes  26.04.2010 16:44:19
VBASE018.VDF   : 7.10.6.232     99328 Bytes  28.04.2010 16:27:31
VBASE019.VDF   : 7.10.6.233      2048 Bytes  28.04.2010 16:27:31
VBASE020.VDF   : 7.10.6.234      2048 Bytes  28.04.2010 16:27:31
VBASE021.VDF   : 7.10.6.235      2048 Bytes  28.04.2010 16:27:31
VBASE022.VDF   : 7.10.6.236      2048 Bytes  28.04.2010 16:27:31
VBASE023.VDF   : 7.10.6.237      2048 Bytes  28.04.2010 16:27:31
VBASE024.VDF   : 7.10.6.238      2048 Bytes  28.04.2010 16:27:31
VBASE025.VDF   : 7.10.6.239      2048 Bytes  28.04.2010 16:27:31
VBASE026.VDF   : 7.10.6.240      2048 Bytes  28.04.2010 16:27:31
VBASE027.VDF   : 7.10.6.241      2048 Bytes  28.04.2010 16:27:31
VBASE028.VDF   : 7.10.6.242      2048 Bytes  28.04.2010 16:27:31
VBASE029.VDF   : 7.10.6.243      2048 Bytes  28.04.2010 16:27:31
VBASE030.VDF   : 7.10.6.244      2048 Bytes  28.04.2010 16:27:31
VBASE031.VDF   : 7.10.6.246     59904 Bytes  28.04.2010 16:27:31
Engineversion  : 8.2.1.224 
AEVDF.DLL      : 8.1.2.0       106868 Bytes  23.04.2010 20:14:42
AESCRIPT.DLL   : 8.1.3.27     1294714 Bytes  23.04.2010 20:14:42
AESCN.DLL      : 8.1.5.0       127347 Bytes  26.02.2010 11:28:11
AESBX.DLL      : 8.1.3.1       254324 Bytes  23.04.2010 20:14:43
AERDL.DLL      : 8.1.4.6       541043 Bytes  16.04.2010 16:31:08
AEPACK.DLL     : 8.2.1.1       426358 Bytes  28.03.2010 10:57:18
AEOFFICE.DLL   : 8.1.0.41      201083 Bytes  17.03.2010 21:31:00
AEHEUR.DLL     : 8.1.1.24     2613623 Bytes  16.04.2010 16:31:08
AEHELP.DLL     : 8.1.11.3      242039 Bytes  02.04.2010 18:50:22
AEGEN.DLL      : 8.1.3.7       373106 Bytes  16.04.2010 16:31:07
AEEMU.DLL      : 8.1.2.0       393588 Bytes  23.04.2010 20:14:40
AECORE.DLL     : 8.1.13.1      188790 Bytes  02.04.2010 18:50:20
AEBB.DLL       : 8.1.1.0        53618 Bytes  23.04.2010 20:14:38
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 09:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 09:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 14:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  19.04.2010 16:27:15
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  19.04.2010 16:27:15
AVARKT.DLL     : 10.0.0.14     227176 Bytes  19.04.2010 16:27:15
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 07:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 10:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 13:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 12:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 11:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  19.04.2010 16:27:15

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_65b2c5eb\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Mittwoch, 28. April 2010  18:49
Die Reparatur von Rootkits ist nur im interaktiven Modus möglich!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'moewrnscax.exe' - '1' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\Users\Sascha\AppData\Local\Temp\moewrnscax.exe>
Durchsuche Prozess 'gmfrxpgv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rknfl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mshta.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SkypeNames2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Acrobat.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FNPLicensingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IELowutil.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DTLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Sascha\AppData\Local\Temp\maxcwseorn.exe'
C:\Users\Sascha\AppData\Local\Temp\maxcwseorn.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '486cc643.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 28. April 2010  18:49
Benötigte Zeit: 00:12 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     33 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     29 Dateien ohne Befall
      4 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
         

Alt 30.04.2010, 19:00   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [RESTART_STICKY_NOTES] C:\Windows\SysWow64\StikyNot.exe File not found
O4 - HKCU..\Run: [userinit] C:\Users\Sascha\AppData\Roaming\sdra64.exe (eSXi)
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.04.2010, 19:46   #9
blackthorne
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\RESTART_STICKY_NOTES deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\userinit not found.
File C:\Users\Sascha\AppData\Roaming\sdra64.exe not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: Sascha
->Temp folder emptied: 208293096 bytes
->Temporary Internet Files folder emptied: 6238236191 bytes
->Java cache emptied: 17127276 bytes
->FireFox cache emptied: 99358478 bytes
->Flash cache emptied: 123241 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 81710876 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 3799450196 bytes
 
Total Files Cleaned = 9.961,00 mb
 
 
OTL by OldTimer - Version 3.2.3.0 log created on 04302010_193842

Files\Folders moved on Reboot...
C:\Users\Sascha\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...
         

Alt 30.04.2010, 19:49   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



Ok. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!! (Malwarebytes hat seit kurzem Version 1.46)
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.04.2010, 21:01   #11
blackthorne
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

30.04.2010 20:45:11
mbam-log-2010-04-30 (20-45-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 241332
Laufzeit: 43 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Ich habe noch 8 Schädlinge in Quarantäne, soll ich die löschen?

Der andere log kommt nachher...

Alt 30.04.2010, 23:47   #12
blackthorne
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/30/2010 at 11:41 PM

Application Version : 4.35.1002

Core Rules Database Version : 4874
Trace Rules Database Version: 2686

Scan type       : Complete Scan
Total Scan Time : 01:39:25

Memory items scanned      : 473
Memory threats detected   : 0
Registry items scanned    : 7015
Registry threats detected : 0
File items scanned        : 125614
File threats detected     : 3

Adware.Tracking Cookie
	C:\Users\Sascha\AppData\Roaming\Microsoft\Windows\Cookies\sascha@doubleclick[1].txt
	C:\Users\Sascha\AppData\Roaming\Microsoft\Windows\Cookies\sascha@atdmt[2].txt
	C:\Users\Sascha\AppData\Roaming\Microsoft\Windows\Cookies\sascha@www.windowsmedia[2].txt
         

Alt 01.05.2010, 15:02   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



Sieht gut aus. Das in Quarantäne braucht man nicht unbedingt zu löschen, da Schädlinge in Quarantäne keinen Schaden anrichten können!

Wenn der Rechner nun wieder ok ist, bitte die Updates prüfen:


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 01.05.2010, 15:23   #14
blackthorne
 
sdra64.exe und andere Trojaner - Standard

sdra64.exe und andere Trojaner



Ok, danke für deine Hilfe! Ist ja schön, dass es so einfach geklappt hat! Ich werde den PC noch eine Weile beobachten... Wie hoch schätzt du das Risiko ein, dass noch malware auf meinem PC ist?

Antwort

Themen zu sdra64.exe und andere Trojaner
0 bytes, adobe, antivir, antivir guard, avg, avgntflt.sys, avira, bho, browser, components, desktop, explorer, firefox, firefox 3.6.3, fontcache, google, gupdate, hdaudio.sys, hijack, hijackthis, hängen, internet, internet explorer, langs, logfile, mozilla, oldtimer, otl logfile, otl.exe, pdf-datei, programdata, scan, searchplugins, senden, software, sptd.sys, syswow64, temp, trojane, trojaner, usbvideo.sys, viren, webcheck, windows



Ähnliche Themen: sdra64.exe und andere Trojaner


  1. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 03.05.2015 (1)
  2. Google.de nicht erreichbar - andere Seiten sehr langsam - andere normal DNS-Provider Problem oder Trojaner?
    Log-Analyse und Auswertung - 05.09.2012 (2)
  3. sdra64.exe auf dem laptop aber malwarebytes stürzt ab.
    Plagegeister aller Art und deren Bekämpfung - 26.01.2012 (21)
  4. SDRA64.exe, Trojan-Downloader.Win32.Piker.ciq
    Plagegeister aller Art und deren Bekämpfung - 26.07.2010 (10)
  5. C:\WINDOWS\system32\sdra64.exe u.v.a.
    Plagegeister aller Art und deren Bekämpfung - 25.07.2010 (3)
  6. Trojaner sdra64
    Plagegeister aller Art und deren Bekämpfung - 19.07.2010 (12)
  7. sdra64.exe wird andauernd von Malwarebytes gefunden
    Plagegeister aller Art und deren Bekämpfung - 31.05.2010 (2)
  8. trojan.js agent apa /sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (3)
  9. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 28.05.2010 (15)
  10. Trojaner TR/Dropper.Gen in C:\\windows\system32\sdra64.exe - was muss ich tun?
    Plagegeister aller Art und deren Bekämpfung - 21.05.2010 (34)
  11. sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (28)
  12. sdra64 entfernen, aber wie?
    Plagegeister aller Art und deren Bekämpfung - 20.05.2010 (6)
  13. sdra64.exe ++
    Log-Analyse und Auswertung - 01.05.2010 (17)
  14. Infektion durch Exploit mit sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 29.04.2010 (20)
  15. sdra64.exe, msmsgrs.exe
    Plagegeister aller Art und deren Bekämpfung - 08.04.2010 (10)
  16. sdra64.exe... was nun?
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (1)
  17. Trojaner Trojan-Spy.Win32.Zbot.gen in C:\windows\system32\sdra64.exe
    Plagegeister aller Art und deren Bekämpfung - 19.03.2010 (4)

Zum Thema sdra64.exe und andere Trojaner - Hi zusammen, gestern hat antivir bei mir angeschlagen und neun viren gefunden, dich ich dann gelöscht habe. Nach einen scan mit panda activescan kam allerdings noch das hier: Code: Alles - sdra64.exe und andere Trojaner...
Archiv
Du betrachtest: sdra64.exe und andere Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.