Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.05.2010, 15:39   #1
Kalle
 
Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32 - Standard

Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32



Hallo Leute,

seit ein paar Tagen habe ich Malware auf meinem PC, die zwar noch nicht allzu schädlich ist, sich aber dennoch nicht löschen lassen will.

Ich habe mich diesbezüglich schon in vielen Foren umgeschaut und daher auch schon mehrere Viren- und Spyware-Programme (Malwarebytes, Ad-Aware, Spybot, Spyware-Terminator, Antivir) installiert und angewendet.
Die Programme haben auch schon viele Trojaner entdecken und anscheinend auch löschen können. Leider aber vermehren sich die Trojaner immer wieder recht schnell.

Der Antivir-Guard zählt beispielsweise folgende Viren/Trojaner auf:
TR/Downloader.Gen
Oder TR/Crypt ... irgendwas

Zudem öffnen sich in kurzen, unregelmäßigen Abständen unten rechts an der Taskleiste Warn-Hinweise von Spyware-Terminator und von Antivir. Beide melden verdächtiges Verhalten. Spyware-T. entdeckt oft "verdächtiges Verhalten", "begonnen von Generic Host Process for Win32 Services", der Prozess ist "Svchost.exe". Diese Vorgänge verbiete ich dann immer.

Malwarebytes hat beim ersten Scan mehrere Dutzend infizierte Prozesse erkannt. Mittlerweile erkennt M. immer nur einen infizierten Prozess, der eigentlich bei einem Neustart gelöscht werden soll. Das passiert aber irgendwie nicht: nach einem Neustart und einem weiteren Scan ist das selbe Problem immer noch vorhanden.
Die Malware ist ein "Rootkit.Agent", gefunden in:
C:\WINDOWS\system32\drivers\zgdrb.sys

Die Trojaner weisen typischen Verhalten auf, zum Beispiel wird mein PC oft verlangsamt. Was für einen Schaden sie "im Hintergrund" anrichten, kann ich leider nicht beurteilen. Daher bin ich ziemlich verunsichert, was meinen PC und meine Daten angeht.

Ich habe auch schon HijackThis, CCleaner und RSIT heruntergeladen. Falls ihr davon irgendwelche Log-Daten braucht, dann kann ich sie gerne posten.


Vielen Dank schon einmal im Voraus,

Kalle

Alt 01.05.2010, 16:30   #2
streetking77
 
Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32 - Standard

Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32



Den hatte ich auch einmal du wirst eigentlich nur rumkommen wenn du das system neu aufsetzt ich konnte ihn zwar nach etlchen versuchen loschen doch danach waren fast alle datein infiziert einfach system neu aufsetzten dann geht das schon
__________________


Alt 01.05.2010, 19:20   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32 - Standard

Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32



Hallo und

bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
__________________

Alt 02.05.2010, 15:08   #4
Kalle
 
Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32 - Standard

Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32



Danke schonmal für die Tipps. Hier die Malware-Logdatei:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

02.05.2010 16:08:00
mbam-log-2010-05-02 (16-08-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Durchsuchte Objekte: 265214
Laufzeit: 37 Minute(n), 13 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\zgdrb.sys (Rootkit.Agent) -> Delete on reboot.

Alt 02.05.2010, 15:09   #5
Kalle
 
Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32 - Standard

Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32



Und hier die Logs von OTL - Otl.Txt:

OTL logfile created on: 02.05.2010 15:34:01 - Run 1
OTL by OldTimer - Version 3.2.4.0 Folder = C:\Dokumente und Einstellungen\King Arndt\Desktop
Windows XP Media Center Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 75,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 24,41 Gb Total Space | 7,62 Gb Free Space | 31,22% Space Free | Partition Type: NTFS
Unable to calculate disk information.
Drive E: | 195,31 Gb Total Space | 100,13 Gb Free Space | 51,27% Space Free | Partition Type: NTFS
Drive F: | 246,03 Gb Total Space | 41,86 Gb Free Space | 17,01% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ARNDT
Current User Name: King Arndt
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\King Arndt\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Spyware Terminator\SpywareTerminatorUpdate.exe (Crawler.com)
PRC - C:\Programme\Spyware Terminator\sp_rsser.exe (Crawler.com)
PRC - C:\Programme\Spyware Terminator\SpywareTerminatorShield.Exe (Crawler.com)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Hotspot Shield\bin\openvpnas.exe ()
PRC - C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe (AnchorFree Inc.)
PRC - C:\Programme\Winamp\winamp.exe (Nullsoft)
PRC - C:\WINDOWS\system32\PSIService.exe ()
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\uwdf.exe (Microsoft Corporation)


========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\King Arndt\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
SRV - (sp_rssrv) -- C:\Programme\Spyware Terminator\sp_rsser.exe (Crawler.com)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (HssTrayService) -- C:\Programme\Hotspot Shield\bin\HssTrayService.exe ()
SRV - (HotspotShieldService) -- C:\Programme\Hotspot Shield\bin\openvpnas.exe ()
SRV - (HssSrv) -- C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe (AnchorFree Inc.)
SRV - (getPlusHelper) getPlus(R) -- C:\Programme\NOS\bin\getPlus_Helper.dll (NOS Microsystems Ltd.)
SRV - (TuneUp.Defrag) -- C:\WINDOWS\system32\TuneUpDefragService.exe (TuneUp Software GmbH)
SRV - (ES lite Service) -- C:\Programme\Gigabyte\EasySaver\ESSVR.EXE ()
SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software GmbH)
SRV - (ProtexisLicensing) -- C:\WINDOWS\system32\PSIService.exe ()
SRV - (AVP) -- C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe (Kaspersky Lab)
SRV - (FirebirdServerMAGIXInstance) -- C:\Programme\MAGIX\Common\Database\bin\fbserver.exe (MAGIX®)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)


========== Driver Services (SafeList) ==========

DRV - (gdrv) -- C:\WINDOWS\gdrv.sys (Windows (R) 2000 DDK provider)
DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (sp_rsdrv2) -- C:\WINDOWS\system32\drivers\sp_rsdrv2.sys ()
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB)
DRV - (taphss) -- C:\WINDOWS\system32\drivers\taphss.sys (AnchorFree Inc)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation )
DRV - (RTLTEAMING) -- C:\WINDOWS\system32\drivers\RTLTEAMING.SYS (Realtek Semiconductor Corporation)
DRV - (RtNdPt5x) -- C:\WINDOWS\system32\drivers\RtNdPt5x.sys (Realtek Semiconductor Corporation )
DRV - (RTLVLAN) -- C:\WINDOWS\system32\drivers\RTLVLAN.SYS (Realtek Semiconductor Corporation )
DRV - (klif) -- C:\WINDOWS\system32\drivers\klif.sys (Kaspersky Lab)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-1409082233-412668190-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
IE - HKU\S-1-5-21-1409082233-412668190-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKU\S-1-5-21-1409082233-412668190-725345543-1003\..\URLSearchHook: {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll (DeviceVM Inc.)
IE - HKU\S-1-5-21-1409082233-412668190-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.3
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {35106bca-6c78-48c7-ac28-56df30b51d2a}:1.3.8


FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.27 15:49:15 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.18 19:23:40 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.03.18 21:50:18 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: C:\Programme\CDex\Plugins [2010.04.18 19:23:40 | 000,000,000 | ---D | M]

[2009.07.14 20:54:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\King Arndt\Anwendungsdaten\Mozilla\Extensions
[2010.05.01 16:12:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\King Arndt\Anwendungsdaten\Mozilla\Firefox\Profiles\6iy5p4gt.default\extensions
[2010.02.20 19:51:54 | 000,000,000 | ---D | M] (Linkification) -- C:\Dokumente und Einstellungen\King Arndt\Anwendungsdaten\Mozilla\Firefox\Profiles\6iy5p4gt.default\extensions\{35106bca-6c78-48c7-ac28-56df30b51d2a}
[2010.04.15 22:32:16 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\King Arndt\Anwendungsdaten\Mozilla\Firefox\Profiles\6iy5p4gt.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.05.01 16:12:21 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\King Arndt\Anwendungsdaten\Mozilla\Firefox\Profiles\6iy5p4gt.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2009.11.07 17:30:36 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\King Arndt\Anwendungsdaten\Mozilla\Firefox\Profiles\6iy5p4gt.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2010.05.01 16:12:26 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.04.06 18:08:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.09.21 11:24:16 | 000,001,329 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\crawlersrch.xml
[2010.04.06 18:08:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.04.06 18:08:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.04.06 18:08:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.04.06 18:08:38 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.04.28 21:03:54 | 000,393,206 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 www.casinoswebbest.net
O1 - Hosts: 127.0.0.1 casinoswebbest.net
O1 - Hosts: 127.0.0.1 www.lifebestgamezs.net
O1 - Hosts: 127.0.0.1 lifebestgamezs.net
O1 - Hosts: 127.0.0.1 www.monthnos.com
O1 - Hosts: 127.0.0.1 monthnos.com
O1 - Hosts: 127.0.0.1 www.starsvipplayz.net
O1 - Hosts: 127.0.0.1 starsvipplayz.net
O1 - Hosts: 127.0.0.1 www.webgamez888.net
O1 - Hosts: 127.0.0.1 webgamez888.net
O1 - Hosts: 127.0.0.1 GOLDEN MUMMY CASINO
O1 - Hosts: 127.0.0.1 webgamezbest.net
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 13576 more lines...
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [SpywareTerminator] C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe (Crawler.com)
O4 - HKU\S-1-5-21-1409082233-412668190-725345543-1003..\Run: [SpywareTerminatorUpdate] C:\Programme\Spyware Terminator\SpywareTerminatorUpdate.exe (Crawler.com)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1409082233-412668190-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\King Arndt\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\King Arndt\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 0
O32 - AutoRun File - [2009.07.14 20:00:06 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.05.02 15:23:27 | 000,570,880 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\King Arndt\Desktop\OTL.exe
[2010.05.02 15:08:47 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\King Arndt\UserData
[2010.05.01 16:10:59 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\King Arndt\Recent
[2010.05.01 16:09:59 | 000,000,000 | ---D | C] -- C:\rsit
[2010.05.01 16:08:20 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.05.01 16:07:59 | 001,140,800 | ---- | C] (Piriform Ltd) -- C:\Dokumente und Einstellungen\King Arndt\Desktop\ccsetup231_slim.exe
[2010.04.27 20:47:09 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.04.27 20:20:24 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010.04.27 20:20:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\61D3AAE1D5214CD7939B37813DE8F955.TMP
[2010.04.27 14:51:47 | 000,064,288 | ---- | C] (Lavasoft AB) -- C:\WINDOWS\System32\drivers\Lbd.sys
[2010.04.27 14:50:06 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}
[2010.04.26 20:55:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\King Arndt\Anwendungsdaten\Spyware Terminator
[2010.04.26 20:54:49 | 000,000,000 | ---D | C] -- C:\Programme\Spyware Terminator
[2010.04.26 20:54:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
[2010.04.26 20:50:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\King Arndt\Anwendungsdaten\Malwarebytes
[2010.04.26 20:50:13 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.26 20:50:10 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.26 20:50:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.04.26 20:50:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.04.26 20:45:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia
[2010.04.26 20:45:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[2010.04.23 18:40:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\King Arndt\Desktop\sampler
[2010.04.11 20:55:51 | 000,000,000 | ---D | C] -- C:\Programme\JDownloader
[2010.04.05 22:10:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\King Arndt\Desktop\Ox 90
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.05.02 15:36:32 | 000,823,808 | ---- | M] () -- C:\WINDOWS\System32\drivers\zgdrb.sys
[2010.05.02 15:28:46 | 040,042,528 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2010.05.02 15:28:37 | 001,651,232 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.dat
[2010.05.02 15:27:59 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.05.02 15:27:12 | 000,016,608 | ---- | M] (Windows (R) 2000 DDK provider) -- C:\WINDOWS\gdrv.sys
[2010.05.02 15:27:08 | 000,253,748 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.05.02 15:26:58 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.05.02 15:26:55 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.05.02 15:26:03 | 009,961,472 | -H-- | M] () -- C:\Dokumente und Einstellungen\King Arndt\NTUSER.DAT
[2010.05.02 15:26:02 | 000,480,548 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx
[2010.05.02 15:26:02 | 000,159,812 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.idx
[2010.05.02 15:23:28 | 000,570,880 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\King Arndt\Desktop\OTL.exe
[2010.05.01 19:01:53 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\King Arndt\ntuser.ini
[2010.05.01 17:02:52 | 000,006,645 | ---- | M] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\Vangelis - Chariots of fire.gp5
[2010.05.01 16:12:37 | 000,032,168 | ---- | M] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\cc_20100501_161220.reg
[2010.05.01 16:09:22 | 000,781,909 | ---- | M] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\RSIT.exe
[2010.05.01 16:08:21 | 000,001,512 | ---- | M] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\CCleaner.lnk
[2010.05.01 16:08:00 | 001,140,800 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\King Arndt\Desktop\ccsetup231_slim.exe
[2010.05.01 00:54:47 | 000,046,628 | ---- | M] () -- C:\Dokumente und Einstellungen\King Arndt\Anwendungsdaten\wklnhst.dat
[2010.04.30 21:26:22 | 000,000,412 | ---- | M] () -- C:\WINDOWS\wininit.ini
[2010.04.29 15:39:38 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.04.29 15:39:26 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.04.29 14:54:34 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\Vorname Nachname.doc
[2010.04.28 21:03:54 | 000,393,206 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.04.28 18:58:31 | 178,331,773 | ---- | M] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\Hellfire 23.4.2010 - die parasiten.mp3
[2010.04.27 20:47:10 | 000,001,698 | ---- | M] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\HijackThis.lnk
[2010.04.27 20:19:22 | 000,392,846 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20100428-210354.backup
[2010.04.27 16:01:21 | 000,392,788 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20100427-195828.backup
[2010.04.27 14:51:41 | 000,095,024 | ---- | M] (Sunbelt Software) -- C:\WINDOWS\System32\drivers\SBREDrv.sys
[2010.04.27 14:51:40 | 000,015,880 | ---- | M] () -- C:\WINDOWS\System32\lsdelete.exe
[2010.04.27 14:50:05 | 000,000,847 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.04.26 20:56:29 | 000,000,769 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Spyware Terminator.lnk
[2010.04.26 20:55:31 | 000,142,592 | ---- | M] () -- C:\WINDOWS\System32\drivers\sp_rsdrv2.sys
[2010.04.26 20:50:42 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.04.26 20:50:16 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes.lnk
[2010.04.26 14:26:38 | 000,024,944 | ---- | M] () -- C:\WINDOWS\System32\drivers\GVTDrv.sys
[2010.04.26 01:38:02 | 000,108,544 | ---- | M] () -- C:\Dokumente und Einstellungen\King Arndt\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.04.23 17:16:54 | 000,000,392 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2010.04.22 16:46:42 | 000,002,278 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.20 14:59:04 | 000,037,376 | ---- | M] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\2010 Wohnungssuche.doc
[2010.04.16 20:11:26 | 000,392,030 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20100426-212151.backup
[2010.04.15 19:12:28 | 000,003,297 | ---- | M] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\Studenplan 2010.rtf
[2010.04.11 20:56:11 | 000,000,740 | ---- | M] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\JDownloader.lnk
[2010.04.05 22:38:15 | 000,385,986 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20100416-201125.backup
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.05.01 17:02:52 | 000,006,645 | ---- | C] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\Vangelis - Chariots of fire.gp5
[2010.05.01 16:12:24 | 000,032,168 | ---- | C] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\cc_20100501_161220.reg
[2010.05.01 16:09:22 | 000,781,909 | ---- | C] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\RSIT.exe
[2010.05.01 16:08:21 | 000,001,512 | ---- | C] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\CCleaner.lnk
[2010.04.29 14:54:33 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\Vorname Nachname.doc
[2010.04.28 18:50:18 | 000,015,880 | ---- | C] () -- C:\WINDOWS\System32\lsdelete.exe
[2010.04.27 21:23:00 | 178,331,773 | ---- | C] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\Hellfire 23.4.2010 - die parasiten.mp3
[2010.04.27 20:47:10 | 000,001,698 | ---- | C] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\HijackThis.lnk
[2010.04.27 14:50:05 | 000,000,847 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Ad-Aware.lnk
[2010.04.26 21:20:59 | 000,000,412 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2010.04.26 20:56:29 | 000,000,769 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Spyware Terminator.lnk
[2010.04.26 20:55:31 | 000,142,592 | ---- | C] () -- C:\WINDOWS\System32\drivers\sp_rsdrv2.sys
[2010.04.26 20:50:42 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.04.26 20:50:16 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes.lnk
[2010.04.26 20:40:10 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\zgdrb.sys
[2010.04.20 14:28:45 | 000,037,376 | ---- | C] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\2010 Wohnungssuche.doc
[2010.04.15 19:12:28 | 000,003,297 | ---- | C] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\Studenplan 2010.rtf
[2010.04.11 20:56:11 | 000,000,740 | ---- | C] () -- C:\Dokumente und Einstellungen\King Arndt\Desktop\JDownloader.lnk
[2009.11.01 14:22:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\syscheck.INI
[2009.11.01 14:19:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\pcfriend.INI
[2009.10.22 18:53:55 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2009.10.22 18:53:55 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2009.09.03 16:33:26 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.08.03 01:21:54 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2009.08.03 01:21:54 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2009.08.03 01:21:52 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2009.08.03 01:21:52 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2009.07.30 18:01:16 | 000,000,352 | ---- | C] () -- C:\WINDOWS\Sam9_D.INI
[2009.07.22 20:03:32 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\mgxasio2.dll
[2009.07.14 22:33:38 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll
[2009.07.14 22:33:24 | 000,007,119 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2009.07.14 20:54:29 | 000,002,516 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2009.07.14 20:54:29 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\54BE66C5E5.sys
[2009.07.14 20:38:56 | 000,024,944 | ---- | C] () -- C:\WINDOWS\System32\drivers\GVTDrv.sys
[2008.10.28 17:40:48 | 000,173,552 | ---- | C] () -- C:\WINDOWS\System32\xlive.dll.cat
[2004.08.10 14:00:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
< End of report >


Alt 02.05.2010, 15:10   #6
Kalle
 
Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32 - Standard

Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32



Hier die zweite OTL-Datei - Extras.Txt:

OTL Extras logfile created on: 02.05.2010 15:34:01 - Run 1
OTL by OldTimer - Version 3.2.4.0 Folder = C:\Dokumente und Einstellungen\King Arndt\Desktop
Windows XP Media Center Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 75,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 24,41 Gb Total Space | 7,62 Gb Free Space | 31,22% Space Free | Partition Type: NTFS
Unable to calculate disk information.
Drive E: | 195,31 Gb Total Space | 100,13 Gb Free Space | 51,27% Space Free | Partition Type: NTFS
Drive F: | 246,03 Gb Total Space | 41,86 Gb Free Space | 17,01% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: ARNDT
Current User Name: King Arndt
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_USERS\S-1-5-21-1409082233-412668190-725345543-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"F:\Eigene Spiele\Star Wars Battlefront\GameData\battlefront.exe" = F:\Eigene Spiele\Star Wars Battlefront\GameData\battlefront.exe:*:Enabled:Star Wars(TM): Battlefront(TM) -- ()
"C:\Programme\Gigabyte\GBTUpd\RunUpd.exe" = C:\Programme\Gigabyte\GBTUpd\RunUpd.exe:*isabled:RunUpd -- (Gigabyte)
"F:\Eigene Spiele\Sid Meier's Civilization IV Colonization\Colonization.exe" = F:\Eigene Spiele\Sid Meier's Civilization IV Colonization\Colonization.exe:*:Enabled:Sid Meier's Civilization IV Colonization -- (Firaxis Games)
"F:\Eigene Spiele\Sid Meier's Civilization 4\Civilization4.exe" = F:\Eigene Spiele\Sid Meier's Civilization 4\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4 Complete -- (Firaxis Games)
"F:\Eigene Spiele\Sid Meier's Civilization 4\Warlords\Civ4Warlords.exe" = F:\Eigene Spiele\Sid Meier's Civilization 4\Warlords\Civ4Warlords.exe:*:Enabled:Sid Meier's Civilization 4: Warlords -- (Firaxis Games)
"F:\Eigene Spiele\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword.exe" = F:\Eigene Spiele\Sid Meier's Civilization 4\Beyond the Sword\Civ4BeyondSword.exe:*:Enabled:Sid Meier's Civilization 4: Beyond the Sword -- (Firaxis Games)
"F:\Eigene Spiele\Herr der Ringe - Die Schlacht um Mittelerde 2\game.dat" = F:\Eigene Spiele\Herr der Ringe - Die Schlacht um Mittelerde 2\game.dat:*:Enabled:***FATAL*** String Manager failed to initialized properly -- (Electronic Arts Inc.)
"C:\Programme\Electronic Arts\Die Schlacht um Mittelerde II\game.dat" = C:\Programme\Electronic Arts\Die Schlacht um Mittelerde II\game.dat:*:Enabled:***FATAL*** String Manager failed to initialized properly -- File not found
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser
"{07300F01-89CA-4CF8-92BD-2A605EB83C95}" = EasySaver B8.1224.1
"{15095BF3-A3D7-4DDF-B193-3A496881E003}" = Microsoft .NET Framework 3.0
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 13
"{2A9F95AB-65A3-432c-8631-B8BC5BF7477A}" = The Battle for Middle-earth (tm) II
"{30D1F3D2-54CF-481D-A005-F94B0E98FEEC}" = Sid Meier's Civilization 4 Complete
"{338F08AB-C262-42C7-B000-34DE1A475273}" = Ad-Aware Email Scanner for Outlook
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3D374523-CFDE-461A-827E-2A102E2AB365}" = Star Wars Battlefront II
"{3EE1008C-11A1-4F4F-8DB7-27573924DE78}" = DMIView B8.0717.01
"{457D7505-D665-4F95-91C3-ECB8C56E9ACA}" = Easy Tune 6 B08.1224.1
"{491DD792-AD81-429C-9EB4-86DD3D22E333}" = Windows Communication Foundation
"{4AA3D64E-9EC3-4B0F-AB91-5885AC55641F}" = Microsoft Games for Windows - LIVE
"{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B}" = Adobe® Photoshop® Album Starter Edition 3.0
"{4E25C468-7745-4051-8B37-4A2C6635BA8B}" = Update Manager B08.1027.1
"{5888428E-699C-4E71-BF71-94EE06B497DA}" = TuneUp Utilities 2008
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7236672F-6430-439E-9B27-27EDEAF1D676}" = Diagnostic Utility
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}" = Windows Workflow Foundation
"{8FDC1610-3FB5-4EF2-A0D0-CEDC3A525A25}" = DIE SIEDLER - Das Erbe der Könige
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{974C4B12-4D02-4879-85E0-61C95CC63E9E}" = Fallout 3
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A062A15F-9CAC-4B88-98DF-87628A0BD721}" = Corel MediaOne
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch
"{B26E3B0D-C2FA-4370-B068-7C476766F029}" = Microsoft Works
"{B2DC3F08-2EB2-49A5-AA24-15DFC8B1CB83}" = @BIOS Ver.2.03
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C438DF2B-C5DF-4783-9CA5-9B89E501FA62}" = Works Update
"{C5C1C0F0-D62F-4DBF-81D4-D7EF397C228B}" = NVIDIA PhysX
"{C6A12D9B-D86A-4ee6-B980-95E4B26A2E13}" = Microsoft Works Suite-Add-Ins für Microsoft Word
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{C79CB9C7-10A4-4814-8402-F574672C2192}" = Star Wars Battlefront
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240B5}" = WinZip 11.1
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{E76FCE6B-9999-4250-8C75-B2DA4AD41268}" = Face_Wizard B08.0908.01
"{E8AEA11B-E60A-455E-B008-E4E763604612}" = Browser Configuration Utility
"{EF36A836-BF89-4A4F-B079-057B0C68C1E0}" = Sid Meier's Civilization IV Colonization
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{FD052FB9-FE90-4438-B355-15EDC89D8FB1}" = Microsoft Games for Windows - LIVE Redistributable
"Ad-Aware" = Ad-Aware
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"CDex" = CDex extraction audio
"Civitas3" = Grand Ages Rome 1.01
"Fallout Mod Manager_is1" = Fallout Mod Manager 0.9.15
"Firebird SQL Server D" = Firebird SQL Server - MAGIX Edition
"Guitar Pro 5_is1" = Guitar Pro 5.0
"Hamachi" = Hamachi 1.0.3.0
"HijackThis" = HijackThis 2.0.2
"HotspotShield" = Hotspot Shield 1.34
"InstallShield_{457D7505-D665-4F95-91C3-ECB8C56E9ACA}" = Easy Tune 6 B08.1224.1
"InstallShield_{4E25C468-7745-4051-8B37-4A2C6635BA8B}" = Update Manager B08.1027.1
"IrfanView" = IrfanView (remove only)
"JDownloader" = JDownloader
"MAGIX Screenshare D" = MAGIX Screenshare 4.3.6.1987 (D)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft .NET Framework 3.0" = Microsoft .NET Framework 3.0
"MozBackup" = MozBackup 1.4.9
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)
"Nero - Burning Rom!UninstallKey" = Ahead Nero Burning ROM
"NVIDIA Drivers" = NVIDIA Drivers
"Registry First Aid_is1" = Registry First Aid
"S2TNG" = Die Siedler II - Die nächste Generation
"Samplitude SE No.9 D" = Samplitude SE No.9 9.1.1.1 (D)
"Spyware Terminator_is1" = Spyware Terminator
"SystemRequirementsLab" = System Requirements Lab
"VLC media player" = VLC media player 1.0.0
"WIC" = Windows Imaging Component
"Winamp" = Winamp
"WinRAR archiver" = WinRAR
"Wise Registry Cleaner_is1" = Wise Registry Cleaner 4 Free 4.82
"Works2005Setup" = Setup-Start von Microsoft Works 2005
"xp-AntiSpy" = xp-AntiSpy 3.96-6
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 06.03.2010 21:15:18 | Computer Name = ARNDT | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung game.dat, Version 1.0.2194.40862, fehlgeschlagenes
Modul kernel32.dll, Version 5.1.2600.2180, Fehleradresse 0x0001eb33.

Error - 06.03.2010 21:18:44 | Computer Name = ARNDT | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung game.dat, Version 1.4.2290.27391, fehlgeschlagenes
Modul kernel32.dll, Version 5.1.2600.2180, Fehleradresse 0x0001eb33.

Error - 06.03.2010 21:33:47 | Computer Name = ARNDT | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung game.dat, Version 1.0.2194.40862, fehlgeschlagenes
Modul kernel32.dll, Version 5.1.2600.2180, Fehleradresse 0x0001eb33.

Error - 06.03.2010 21:34:19 | Computer Name = ARNDT | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung game.dat, Version 1.0.2194.40862, fehlgeschlagenes
Modul kernel32.dll, Version 5.1.2600.2180, Fehleradresse 0x0001eb33.

Error - 26.03.2010 10:29:58 | Computer Name = ARNDT | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung winamp.exe, Version 5.5.6.2512, fehlgeschlagenes
Modul pmp_p4s.dll, Version 0.0.0.0, Fehleradresse 0x000037c5.

Error - 07.04.2010 09:45:35 | Computer Name = ARNDT | Source = ESENT | ID = 490
Description = svchost (1700) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.

Error - 11.04.2010 09:25:41 | Computer Name = ARNDT | Source = ESENT | ID = 490
Description = svchost (1696) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.

Error - 26.04.2010 14:39:59 | Computer Name = ARNDT | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung rxnwmaosce.tmp, Version 0.0.0.0, fehlgeschlagenes
Modul msvcrt.dll, Version 7.0.2600.2180, Fehleradresse 0x000370dc.

Error - 27.04.2010 08:50:20 | Computer Name = ARNDT | Source = Lavasoft Ad-Aware Service | ID = 0
Description =

Error - 27.04.2010 14:22:05 | Computer Name = ARNDT | Source = MsiInstaller | ID = 11721
Description = Product: SpyHunter -- Error 1721. There is a problem with this Windows
Installer package. A program required for this install to complete could not be
run. Contact your support personnel or package vendor. Action: , location: WiseCustomCall,
command: g1

[ System Events ]
Error - 30.04.2010 15:35:35 | Computer Name = ARNDT | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.

Error - 30.04.2010 15:35:35 | Computer Name = ARNDT | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher
abbilden zu können.

Error - 01.05.2010 09:46:52 | Computer Name = ARNDT | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.

Error - 01.05.2010 09:46:52 | Computer Name = ARNDT | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher
abbilden zu können.

Error - 02.05.2010 08:58:21 | Computer Name = ARNDT | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.

Error - 02.05.2010 08:58:21 | Computer Name = ARNDT | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher
abbilden zu können.

Error - 02.05.2010 09:27:20 | Computer Name = ARNDT | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.

Error - 02.05.2010 09:27:20 | Computer Name = ARNDT | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher
abbilden zu können.

Error - 02.05.2010 09:27:35 | Computer Name = ARNDT | Source = Service Control Manager | ID = 7000
Description = Der Dienst "gdrv" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2001

Error - 02.05.2010 09:27:37 | Computer Name = ARNDT | Source = Service Control Manager | ID = 7034
Description = Dienst "ES lite Service for program management." wurde unerwartet
beendet. Dies ist bereits 1 Mal passiert.


< End of report >

Alt 03.05.2010, 08:36   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32 - Standard

Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!)

Code:
ATTFilter
:Files
C:\WINDOWS\System32\drivers\zgdrb.sys
C:\WINDOWS\61D3AAE1D5214CD7939B37813DE8F955.TMP
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.05.2010, 17:05   #8
Kalle
 
Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32 - Standard

Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32



Hey Arne,

danke für den Tipp. Ich habe das mal gemacht, wie du gesagt hast. Der PC wurde rebootet und anschließend hat OTL folgende Log-Datei geöffnet:

"All processes killed
========== FILES ==========
File move failed. C:\WINDOWS\System32\drivers\zgdrb.sys scheduled to be moved on reboot.
File\Folder C:\WINDOWS\61D3AAE1D5214CD7939B37813DE8F955.TMP not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: XXX
Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 36575 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 9722756 bytes
->Flash cache emptied: 434 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 59226 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 9,00 mb


OTL by OldTimer - Version 3.2.4.0 log created on 05032010_175957

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\System32\drivers\zgdrb.sys scheduled to be moved on reboot.

Registry entries deleted on Reboot..."



Was kann ich daraus für Schlüsse ziehen?

Gruß

Kalle

Alt 03.05.2010, 17:52   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32 - Standard

Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32



Mach jetzt nen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32
ad-aware, agent, antivir, crypt, folge, foren, gelöscht, generic, generic host process, hijack, hijackthis, hintergrund, infizierte, löschen, malware, malwarebytes, neustart, problem, prozess, prozesse, scan, svchost.exe, system, system32, taskleiste, tr/crypt, trojaner, win32, windows



Ähnliche Themen: Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32


  1. Win32:Malware-gen taucht immer wieder auf
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (15)
  2. Windows 7: Avira meldet immer wieder ADWARE/Adware.Gen4 bzw. .Gen7, zudem taucht Optimizer Pro immer wieder auf
    Log-Analyse und Auswertung - 14.12.2014 (9)
  3. Trojaner auf Windows XP tauchen immer wieder auf
    Log-Analyse und Auswertung - 04.04.2014 (16)
  4. Malware.Trace in Reg.-Schlüssel schreibt sich immer wieder neu
    Log-Analyse und Auswertung - 22.01.2014 (17)
  5. Windows 7: Trojaner und Filescout.exe, immer wieder neue Viren
    Log-Analyse und Auswertung - 12.12.2013 (9)
  6. Windows Vista, PC wird immer langsamer, CPU immer hoch, Malwarebytes Anti-Malware Funde
    Log-Analyse und Auswertung - 15.08.2013 (13)
  7. Avira Meldet "C:\WINDOWS\system32\Skype.scr\Skype.exe" und kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.05.2013 (11)
  8. Secure Banking 1.5.1 meldet immer wieder Malware
    Log-Analyse und Auswertung - 12.10.2012 (4)
  9. PC bootet nach Windows Logo immer wieder neu - Trojaner oder ähnliches?
    Log-Analyse und Auswertung - 08.10.2012 (3)
  10. Immer wieder Malware auf Webseiten heute Meldung It Work
    Log-Analyse und Auswertung - 05.06.2012 (1)
  11. Spyhunter 4 immer malware, wenn ja wie kann ich es wieder los werden
    Plagegeister aller Art und deren Bekämpfung - 03.06.2012 (12)
  12. Malware tr/dldr.dofoil.d.303 gefunden und sie kommt immer wieder!
    Plagegeister aller Art und deren Bekämpfung - 02.02.2012 (38)
  13. Trojaner im Computer. Combofix findet immer wieder: c:\windows\explorer.exe . . . ist infiziert!
    Log-Analyse und Auswertung - 28.09.2010 (35)
  14. Trojaner.Agent.AOFE kommt nach dem löschen immer wieder Windows 7 Ultimate x64
    Alles rund um Windows - 22.06.2010 (3)
  15. Notebook friert immer wieder ein!!! mögliche malware
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (23)
  16. immer wieder HEUR/HTML.Malware
    Plagegeister aller Art und deren Bekämpfung - 12.09.2009 (3)
  17. Trojaner generiert sich immer wieder neu im windows/temp ordner
    Log-Analyse und Auswertung - 21.07.2007 (8)

Zum Thema Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32 - Hallo Leute, seit ein paar Tagen habe ich Malware auf meinem PC, die zwar noch nicht allzu schädlich ist, sich aber dennoch nicht löschen lassen will. Ich habe mich diesbezüglich - Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32...
Archiv
Du betrachtest: Immer wieder auftauchende Malware und Trojaner in C:\Windows\system32 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.