| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Banker.Bancos.orq verhindert das Öffnen von ProgrammenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
29.05.2010, 22:05
| #1 |
 |  TR/Banker.Bancos.orq verhindert das Öffnen von Programmen Hier nun die 2 OTL logs: OTL Logfile: Code:
ATTFilter OTL logfile created on: 29.05.2010 22:58:17 - Run 1 OTL by OldTimer - Version 3.2.5.1 Folder = C:\Dokumente und Einstellungen\Ela\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy 765,00 Mb Total Physical Memory | 341,00 Mb Available Physical Memory | 45,00% Memory free 2,00 Gb Paging File | 1,00 Gb Available in Paging File | 77,00% Paging File free Paging file location(s): C:\pagefile.sys 1152 2304 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,52 Gb Total Space | 44,83 Gb Free Space | 60,16% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: FSC111216083001 Current User Name: Ela Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Ela\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, S.L.) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Winamp\winampa.exe () PRC - c:\Programme\Winamp Toolbar\winampTbServer.exe (AOL LLC.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\aon\OnlineFestplatte\OnlineFestplatte.exe (Telekom Austria TA AG) PRC - C:\Programme\FSC\Wireless Utility\WirelessSelector.exe (ITE Tech Inc.) PRC - C:\Programme\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe () ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Ela\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\netdixco.dll () MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (amdagp) -- C:\WINDOWS\system32\DRIVERS\amdagp.sys (Advanced Micro Devices, Inc.) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (SiSkp) -- C:\WINDOWS\system32\drivers\srvkp.sys (Silicon Integrated Systems Corporation) DRV - (SiS315) -- C:\WINDOWS\system32\drivers\sisgrp.sys (Silicon Integrated Systems Corporation) DRV - (zntport) -- C:\WINDOWS\system32\drivers\zntport.sys (Zeal SoftStudio) DRV - (AR5211) -- C:\WINDOWS\system32\drivers\ar5211.sys (Atheros Communications, Inc.) DRV - (SiSGbeXP) -- C:\WINDOWS\system32\drivers\SiSGbeXP.sys (Silicon Integrated Systems Corp.) DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.) DRV - (iaStor) -- C:\WINDOWS\system32\DRIVERS\iaStor.sys (Intel Corporation) DRV - (S3SavageNB) -- C:\WINDOWS\system32\drivers\s3gnbm.sys (S3 Graphics, Inc.) DRV - (CmdIde) -- C:\WINDOWS\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.) DRV - (Sparrow) -- C:\WINDOWS\system32\DRIVERS\sparrow.sys (Adaptec, Inc.) DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic) DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic) DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic) DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.) DRV - (ultra) -- C:\WINDOWS\system32\DRIVERS\ultra.sys (Promise Technology, Inc.) DRV - (ql12160) -- C:\WINDOWS\system32\DRIVERS\ql12160.sys (QLogic Corporation) DRV - (ql1080) -- C:\WINDOWS\system32\DRIVERS\ql1080.sys (QLogic Corporation) DRV - (ql1280) -- C:\WINDOWS\system32\DRIVERS\ql1280.sys (QLogic Corporation) DRV - (dac2w2k) -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys (Mylex Corporation) DRV - (mraid35x) -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys (American Megatrends Inc.) DRV - (asc) -- C:\WINDOWS\system32\DRIVERS\asc.sys (Advanced System Products, Inc.) DRV - (asc3550) -- C:\WINDOWS\system32\DRIVERS\asc3550.sys (Advanced System Products, Inc.) DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = : ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Google" FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=" FF - prefs.js..browser.search.selectedEngine: "GoogIe" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "www.google.at" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {0b38152b-1b20-484d-a11f-5e04a9b0661f}:5.5.1.1 FF - prefs.js..keyword.URL: "hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=ItZjQiVs&q=" FF - HKLM\software\mozilla\Firefox\extensions\\{3112ca9c-de6d-4884-a869-9855de68056c}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c} [2009.07.12 12:53:49 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.03.31 15:30:40 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.03.31 15:30:39 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.17\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.02.09 10:47:35 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.17\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.02.09 10:47:35 | 000,000,000 | ---D | M] [2008.09.27 13:17:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Extensions [2010.05.29 13:45:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Firefox\Profiles\gsz7ahuy.default\extensions [2008.10.21 11:59:40 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Firefox\Profiles\gsz7ahuy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2010.04.28 20:33:14 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Firefox\Profiles\gsz7ahuy.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c} [2010.05.23 19:28:07 | 000,000,961 | ---- | M] () -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Firefox\Profiles\gsz7ahuy.default\searchplugins\icqplugin-1.xml [2008.07.10 13:58:44 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Firefox\Profiles\gsz7ahuy.default\searchplugins\icqplugin.xml [2008.10.21 11:59:50 | 000,001,196 | ---- | M] () -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Firefox\Profiles\gsz7ahuy.default\searchplugins\winamp-search.xml [2010.05.29 13:45:55 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.01.20 18:14:04 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.01.20 18:14:04 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2009.05.28 14:13:04 | 000,001,532 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\google-com.xml [2010.01.20 18:14:04 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.01.20 18:14:04 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.01.20 18:14:04 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.05.29 10:14:41 | 000,007,036 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 99.189.54 O1 - Hosts: 127.0.0.1 99.189.52 O1 - Hosts: 127.0.0.1 99.14.103 O1 - Hosts: 127.0.0.1 98.223.73 O1 - Hosts: 127.0.0.1 97.80.137 O1 - Hosts: 127.0.0.1 95.134.16 O1 - Hosts: 127.0.0.1 95.133.8. O1 - Hosts: 127.0.0.1 95.133.23 O1 - Hosts: 127.0.0.1 95.133.23 O1 - Hosts: 127.0.0.1 95.133.14 O1 - Hosts: 127.0.0.1 95.133.11 O1 - Hosts: 127.0.0.1 95.105.17 O1 - Hosts: 127.0.0.1 94.53.2.1 O1 - Hosts: 127.0.0.1 94.23.201 O1 - Hosts: 127.0.0.1 94.179.55 O1 - Hosts: 127.0.0.1 94.179.48 O1 - Hosts: 127.0.0.1 94.179.19 O1 - Hosts: 127.0.0.1 94.179.11 O1 - Hosts: 127.0.0.1 94.178.65 O1 - Hosts: 127.0.0.1 93.39.197 O1 - Hosts: 127.0.0.1 93.186.17 O1 - Hosts: 127.0.0.1 93.136.83 O1 - Hosts: 127.0.0.1 93.112.91 O1 - Hosts: 127.0.0.1 92.86.197 O1 - Hosts: 272 more lines... O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.) O2 - BHO: (Internet Explorer Plugin) - {6A79CF97-91F1-40BC-8CAB-44184B496B6D} - File not found O3 - HKLM\..\Toolbar: (Easy-WebPrint) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll () O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.) O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE (CANON INC.) O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [SiSPower] C:\WINDOWS\System32\SiSPower.dll (Silicon Integrated Systems Corporation) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKLM..\Run: [TouchPadHotKey] C:\Programme\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe () O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe () O4 - HKCU..\Run: [{1DE304C8-D94A-63F7-C37C-575497E51F16}] C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Edci\saycz.exe () O4 - HKCU..\Run: [OnlineFestplatte] C:\Programme\aon\Onlinefestplatte\OnlineFestplatte.exe (Telekom Austria TA AG) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, S.L.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WirelessSelector.lnk = C:\Programme\FSC\Wireless Utility\WirelessSelector.exe (ITE Tech Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: _NoDriveTypeAutoRun = 95 O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html () O8 - Extra context menu item: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Resource.dll () O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Resource.dll () O8 - Extra context menu item: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Resource.dll () O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Resource.dll () O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Office\Office12\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} hxxp://support.f-secure.com/ols/fscax.cab (F-Secure Online Scanner 3.3) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.138 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Ela\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Ela\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.07.24 19:03:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.05.29 22:57:21 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Ela\Desktop\OTL.exe [2010.05.29 13:35:02 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.05.29 22:57:26 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Ela\Desktop\OTL.exe [2010.05.29 22:49:13 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.05.29 22:48:45 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.05.29 22:48:43 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.05.29 22:48:41 | 802,336,768 | -HS- | M] () -- C:\hiberfil.sys [2010.05.29 18:01:49 | 003,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\Ela\NTUSER.DAT [2010.05.29 18:01:49 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Ela\ntuser.ini [2010.05.29 17:34:12 | 000,001,980 | ---- | M] () -- C:\Dokumente und Einstellungen\Ela\Desktop\HiJackThis.lnk [2010.05.29 17:29:02 | 004,566,514 | -H-- | M] () -- C:\Dokumente und Einstellungen\Ela\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.05.26 11:50:20 | 000,002,235 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2010.05.12 17:03:05 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.05.11 09:37:10 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.05.29 17:34:12 | 000,001,980 | ---- | C] () -- C:\Dokumente und Einstellungen\Ela\Desktop\HiJackThis.lnk [2010.05.29 17:17:50 | 802,336,768 | -HS- | C] () -- C:\hiberfil.sys [2009.03.24 23:12:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI [2008.11.24 17:18:53 | 000,000,036 | -H-- | C] () -- C:\WINDOWS\System32\swk.ini [2008.10.25 14:16:31 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008.09.27 13:51:10 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL [2008.01.30 17:29:07 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2007.07.24 20:01:20 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini [2007.07.24 18:46:43 | 000,001,052 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2007.07.24 18:46:27 | 000,755,200 | ---- | C] () -- C:\WINDOWS\System32\ir50_32.dll [2007.07.24 18:46:27 | 000,338,432 | ---- | C] () -- C:\WINDOWS\System32\ir41_qcx.dll [2007.07.24 18:46:27 | 000,200,192 | ---- | C] () -- C:\WINDOWS\System32\ir50_qc.dll [2007.07.24 18:46:27 | 000,183,808 | ---- | C] () -- C:\WINDOWS\System32\ir50_qcx.dll [2007.07.24 18:46:27 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\ir41_qc.dll [2007.07.24 18:45:59 | 000,162,868 | ---- | C] () -- C:\WINDOWS\System32\netdixco.dll < End of report > OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 29.05.2010 22:58:17 - Run 1
OTL by OldTimer - Version 3.2.5.1 Folder = C:\Dokumente und Einstellungen\Ela\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
765,00 Mb Total Physical Memory | 341,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 1152 2304 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 44,83 Gb Free Space | 60,16% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: FSC111216083001
Current User Name: Ela
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\Office\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Office\Office12\OUTLOOK.EXE" = C:\Programme\Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\WINDOWS\Temp\Installer.exe" = C:\WINDOWS\Temp\Installer.exe:*:Enabled:Installer -- File not found
"C:\Programme\aon\aonInstaller\Installer.exe" = C:\Programme\aon\aonInstaller\Installer.exe:*:Enabled:Installer -- File not found
"C:\Programme\Trillian\trillian.exe" = C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios)
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)
"C:\Programme\Gemeinsame Dateien\Ahead\Nero Web\SetupX.exe" = C:\Programme\Gemeinsame Dateien\Ahead\Nero Web\SetupX.exe:*:Enabled:Nero ProductSetup -- (Nero AG)
"C:\Programme\Office\Office12\ONENOTE.EXE" = C:\Programme\Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote -- (Microsoft Corporation)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{003CD4FD-DB3E-4D12-9A34-8C00FA8A680F}" = WirelessControl
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1ED31028-6D65-4CFD-AD03-8E484A052FE7}" = aonUpdate
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 13
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8
"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6B7FB3C4-E71B-478D-9E15-5AE97EAD67B8}" = aonFTP
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7CC7C026-F81D-4405-9639-B157B7480D73}" = Generic Wireless LAN Driver
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-0031-0000-0000-0000000FF1CE}" = Microsoft Office Professional Hybrid 2007
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240B8}" = WinZip 12.1
"{D34D82E0-4600-407B-9478-8506C1DD1031}" = Nero 7 Essentials
"{DB457913-028D-460E-BB4C-D9A6369752CA}" = TouchPad HotKey Utility
"{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F439D7AF-03F3-4F8E-AEC4-571BFE977C61}" = iTunes
"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"aonFTP" = aonFTP
"aonUpdate" = aonUpdate
"Aspell German Dictionary_is1" = Aspell German Dictionary-0.50-2
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon Setup Utility 2.0" = Canon Setup Utility 2.0
"CANONBJ_Deinstall_CNMCP78.DLL" = Canon iP4200
"CCleaner" = CCleaner
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Easy-PhotoPrint" = Canon Utilities Easy-PhotoPrint
"Easy-PrintToolBox" = Canon Utilities Easy-PrintToolBox
"Easy-WebPrint" = Easy-WebPrint
"GNU Aspell_is1" = GNU Aspell 0.50-3
"GTK 2.0" = GTK+ Runtime 2.14.7 rev a (nur entfernen)
"HijackThis" = HijackThis 2.0.2
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InterActual Player" = InterActual Player
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Mozilla Firefox (3.5.9)" = Mozilla Firefox (3.5.9)
"Mozilla Thunderbird (2.0.0.17)" = Mozilla Thunderbird (2.0.0.17)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Pidgin" = Pidgin
"PROHYBRIDR" = 2007 Microsoft Office system
"RealPlayer 6.0" = RealPlayer
"ST6UNST #1" = FreeDVD Codec Installer Version 1.0
"ST6UNST #2" = BlueShot 1.1.0
"SuperDVD Player_is1" = SuperDVD Player 5.0
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Trillian" = Trillian
"VLC media player" = VLC media player 0.9.9
"Winamp" = Winamp
"Winamp Toolbar" = Winamp Toolbar for Internet Explorer
"Winamp Toolbar for Firefox" = Winamp Toolbar for Firefox
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"OnlineFestplatte" = aon Online Festplatte (entfernen)
"uTorrent" = µTorrent
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 14.05.2010 10:21:54 | Computer Name = FSC111216083001 | Source = ESENT | ID = 490
Description = svchost (1096) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 16.05.2010 02:01:56 | Computer Name = FSC111216083001 | Source = ESENT | ID = 490
Description = svchost (1100) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 20.05.2010 16:49:29 | Computer Name = FSC111216083001 | Source = ESENT | ID = 490
Description = svchost (1092) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
Error - 29.05.2010 07:39:29 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HiJackThis.msi
ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
Error - 29.05.2010 07:39:43 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HiJackThis.msi
ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
Error - 29.05.2010 07:40:43 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HiJackThis(2).msi
ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
Error - 29.05.2010 07:40:51 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HiJackThis(2).msi
ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
Error - 29.05.2010 07:40:57 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HiJackThis.msi
ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
Error - 29.05.2010 08:15:13 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HiJackThis(3).msi
ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
Error - 29.05.2010 08:15:47 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HijackThis(4).msi
ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
[ System Events ]
Error - 14.05.2010 08:53:33 | Computer Name = FSC111216083001 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Kompatibilität für schnelle Benutzerumschaltung" ist vom
Dienst "Terminaldienste" abhängig, der aufgrund folgenden Fehlers nicht gestartet
wurde: %%230
Error - 14.05.2010 08:53:33 | Computer Name = FSC111216083001 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "DCOM-Server-Prozessstart" wurde unerwartet beendet. Dies
ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden
durchgeführt: Starten Sie den Computer neu..
Error - 16.05.2010 04:42:10 | Computer Name = FSC111216083001 | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 10.0.0.2 über die Netzwerkkarte
mit der Netzwerkadresse 00C0A8FE780C ist verloren gegangen.
Error - 29.05.2010 07:35:31 | Computer Name = FSC111216083001 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 29.05.2010 07:36:43 | Computer Name = FSC111216083001 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
avgio avipbb Fips intelppm ssmdrv
Error - 29.05.2010 08:20:15 | Computer Name = FSC111216083001 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 29.05.2010 09:48:37 | Computer Name = FSC111216083001 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 29.05.2010 09:49:48 | Computer Name = FSC111216083001 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
avgio avipbb Fips intelppm ssmdrv
Error - 29.05.2010 11:16:58 | Computer Name = FSC111216083001 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 29.05.2010 11:18:22 | Computer Name = FSC111216083001 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Pcmcia
< End of report >
|
|
30.05.2010, 09:51
| #2 | |||
 | TR/Banker.Bancos.orq verhindert das Öffnen von ProgrammenZitat:
OTL Fix: * Schliesse alle Programme und starte das Programm OTL. * Kopiere den Inhalt im Codefenster (siehe unten) in die Textbox. Code: Zitat:
* OTL kann den PC neustarten. Bitte das zulassen. * Log posten, (wird auf C:\ gespeichert) ......................................... Aktiviere deinen Firewall! 1. Klicke auf Start und auf Ausführen, geb in das Feld ein Firewall.cpl und klicke auf OK. 2. Klicke auf der Registerkarte Allgemein auf Aktiv (empfohlen). 3. Klicke auf OK. > gehe auf "Erweitert" und unten bei Standardeinstellungen klicke auf "Wiederherstellen" klicke ok. VirusTotal Check: Diese Datei bei Virus Total hochladen und checken lassen: http://www.virustotal.com/de/ wenn die scanner anschlagen poste das log. Zitat:
Download: http://ad13.geekstogo.com/RootRepeal.zip Entpacken und doppelklick auf rootrepeal.exe. Suche und gehe auf Report unten im Fenster und klicke drauf. Klicke Scan > Kreuze alle Scankästchen an > kreuze alle Festplatten an > klicke ok. Das log öffnet sich nach dem scan, kopiere es hier rein. Scan mit Norman AntiMalware: Hier das Tool downloaden: Norman | Norman Malware Cleaner (Download now) Als Administrator ausführen, computer scannen, das log, das während dem scan auf deinem Desktop abkopiert wird, bitte posten. Geduldig sein, der scan ist gründlich und dauert 1-2 stunden. - Deinstalliere: Adobe Reader 8.00 Java. ---------
__________________ Geändert von MalwareHero (30.05.2010 um 10:02 Uhr) |
|
30.05.2010, 13:57
| #3 |
| | TR/Banker.Bancos.orq verhindert das Öffnen von Programmen @MalwareHero
__________________Hier nun das LOgfile von OTL. Und sorry nochmal, dass ich vorher was 2x gepostet hab. Ich hab das nicht mehr löschen können. Firewall hab ich schon wieder aktiviert, keine Ahnung was da war. Aber ich check noch mal ob sie auch wieder läuft. All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully. HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully! Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A79CF97-91F1-40BC-8CAB-44184B496B6D}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A79CF97-91F1-40BC-8CAB-44184B496B6D}\ deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{1DE304C8-D94A-63F7-C37C-575497E51F16} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DE304C8-D94A-63F7-C37C-575497E51F16}\ not found. C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Edci\saycz.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher deleted successfully. C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe moved successfully. ========== FILES ========== File\Folder C:\WINDOWS\Temp\Installer.exe not found. File\Folder C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Edci\saycz.exe not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32768 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32768 bytes User: Ela ->Temp folder emptied: 12016759 bytes ->Temporary Internet Files folder emptied: 302162922 bytes ->Java cache emptied: 24832332 bytes ->FireFox cache emptied: 83098819 bytes ->Google Chrome cache emptied: 5925850 bytes ->Flash cache emptied: 1959862 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 113558272 bytes %systemdrive% .tmp files removed: 340160758 bytes %systemroot% .tmp files removed: 19569 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1210816 bytes RecycleBin emptied: 78391 bytes Total Files Cleaned = 844,00 mb [EMPTYFLASH] User: Administrator User: All Users User: Default User User: Ela ->Flash cache emptied: 0 bytes User: LocalService User: NetworkService Total Flash Files Cleaned = 0,00 mb OTL by OldTimer - Version 3.2.5.1 log created on 05302010_144830 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
|
30.05.2010, 14:07
| #4 |
| | TR/Banker.Bancos.orq verhindert das Öffnen von Programmen C:\WINDOWS\system32\netdixco.dll Hab diese Datei mit dem VirusTotal Check gescannt und er hat folgendes gefunden: Datei netdixco.dll empfangen 2010.05.30 13:02:15 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 6/41 (14.64%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.50 2010.05.10 - AhnLab-V3 2010.05.30.00 2010.05.29 - AntiVir 8.2.1.242 2010.05.28 - Antiy-AVL 2.0.3.7 2010.05.26 - Authentium 5.2.0.5 2010.05.29 - Avast 4.8.1351.0 2010.05.30 Win32:Kheagol-K Avast5 5.0.332.0 2010.05.30 Win32:Kheagol-K AVG 9.0.0.787 2010.05.30 - BitDefender 7.2 2010.05.30 - CAT-QuickHeal 10.00 2010.05.29 - ClamAV 0.96.0.3-git 2010.05.30 - Comodo 4954 2010.05.30 - DrWeb 5.0.2.03300 2010.05.30 - eSafe 7.0.17.0 2010.05.27 Suspicious File eTrust-Vet 35.2.7519 2010.05.29 - F-Prot 4.6.0.103 2010.05.29 - F-Secure 9.0.15370.0 2010.05.30 - Fortinet 4.1.133.0 2010.05.30 - GData 21 2010.05.30 Win32:Kheagol-K Ikarus T3.1.1.84.0 2010.05.30 - Jiangmin 13.0.900 2010.05.29 - Kaspersky 7.0.0.125 2010.05.30 - McAfee 5.400.0.1158 2010.05.30 - McAfee-GW-Edition 2010.1 2010.05.30 - Microsoft 1.5802 2010.05.30 - NOD32 5155 2010.05.30 - Norman 6.04.12 2010.05.30 - nProtect 2010-05-30.01 2010.05.30 - Panda 10.0.2.7 2010.05.29 Suspicious file PCTools 7.0.3.5 2010.05.30 - Prevx 3.0 2010.05.30 - Rising 22.49.06.04 2010.05.30 - Sophos 4.53.0 2010.05.30 - Sunbelt 6376 2010.05.30 Trojan.Win32.Kheagol.c (v) Symantec 20101.1.0.89 2010.05.30 - TheHacker 6.5.2.0.290 2010.05.30 - TrendMicro 9.120.0.1004 2010.05.30 - TrendMicro-HouseCall 9.120.0.1004 2010.05.30 - VBA32 3.12.12.5 2010.05.29 - ViRobot 2010.5.20.2326 2010.05.28 - VirusBuster 5.0.27.0 2010.05.29 - weitere Informationen File size: 162868 bytes MD5...: 2ec94d2aaad053c9c52cc8d3c1ee59fa SHA1..: 08a0ac49dbd94772b7fd8ccf5e06e883f53267f4 SHA256: 46c8ddb46234d20ab27155a9abf9097a13daee6ea6289a777c852d7002a1c5c4 ssdeep: 3072:x4Gmt1koh1dcBILyphXH9M9qLKoFnXyvgItPqFn5kOe6s3s+UyE6N+:iAo7 iBgH1+yvtukes3hUQ+ PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x16d2b timedatestamp.....: 0x4ba970c5 (Wed Mar 24 01:54:13 2010) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x41000 0x26600 8.00 7947b20f105cce9cf220c51725bc7533 .rsrc 0x42000 0x1000 0x1000 7.34 da3052ade37b690764baa683119f99ad .reloc 0x43000 0x1000 0x200 0.24 d561c7da409fd5b3ef51249bcf03ea76 ( 2 imports ) > kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree > MSVCRT.dll: __3@YAXPAX@Z ( 1 exports ) wjjuenncg RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 EXE PECompact compressed (v2.x) (48.0%) Win32 EXE PECompact compressed (generic) (33.8%) Win32 Executable Generic (6.9%) Win32 Dynamic Link Library (generic) (6.1%) Clipper DOS Executable (1.6%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99 packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact packers (Avast): PECompact packers (F-Prot): PecBundle, PECompact packers (Avast): PECompact |
|
30.05.2010, 14:29
| #5 |
| | TR/Banker.Bancos.orq verhindert das Öffnen von Programmen Und hier nun das Logfile vom scan mit RootRepeal: ROOTREPEAL (c) AD, 2007-2009 ================================================== Scan Start Time: 2010/05/30 15:19 Program Version: Version 1.3.5.0 Windows Version: Windows XP SP3 ================================================== Drivers ------------------- Name: dump_atapi.sys Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys Address: 0xA8DC5000 Size: 98304 File Visible: No Signed: - Status: - Name: dump_WMILIB.SYS Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS Address: 0xF7AFD000 Size: 8192 File Visible: No Signed: - Status: - Name: rootrepeal.sys Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys Address: 0xA7B66000 Size: 49152 File Visible: No Signed: - Status: - Hidden/Locked Files ------------------- Path: C:\hiberfil.sys Status: Locked to the Windows API! Path: c:\dokumente und einstellungen\ela\cookies\ela@trojaner-board[2].txt Status: Size mismatch (API: 849, Raw: 850) Path: c:\dokumente und einstellungen\ela\lokale einstellungen\temp\~df801c.tmp Status: Allocation size mismatch (API: 16384, Raw: 0) Path: c:\dokumente und einstellungen\ela\lokale einstellungen\temp\~dfa18.tmp Status: Allocation size mismatch (API: 16384, Raw: 0) Path: c:\dokumente und einstellungen\ela\lokale einstellungen\temp\~dff00e.tmp Status: Allocation size mismatch (API: 16384, Raw: 0) Path: c:\dokumente und einstellungen\ela\lokale einstellungen\temp\~dffb78.tmp Status: Allocation size mismatch (API: 131072, Raw: 16384) SSDT ------------------- #: 041 Function Name: NtCreateKey Status: Hooked by "<unknown>" at address 0xf7bc096e #: 053 Function Name: NtCreateThread Status: Hooked by "<unknown>" at address 0xf7bc0964 #: 063 Function Name: NtDeleteKey Status: Hooked by "<unknown>" at address 0xf7bc0973 #: 065 Function Name: NtDeleteValueKey Status: Hooked by "<unknown>" at address 0xf7bc097d #: 098 Function Name: NtLoadKey Status: Hooked by "<unknown>" at address 0xf7bc0982 #: 122 Function Name: NtOpenProcess Status: Hooked by "<unknown>" at address 0xf7bc0950 #: 128 Function Name: NtOpenThread Status: Hooked by "<unknown>" at address 0xf7bc0955 #: 193 Function Name: NtReplaceKey Status: Hooked by "<unknown>" at address 0xf7bc098c #: 204 Function Name: NtRestoreKey Status: Hooked by "<unknown>" at address 0xf7bc0987 #: 247 Function Name: NtSetValueKey Status: Hooked by "<unknown>" at address 0xf7bc0978 #: 257 Function Name: NtTerminateProcess Status: Hooked by "<unknown>" at address 0xf7bc095f ==EOF== |
|
| Themen zu TR/Banker.Bancos.orq verhindert das Öffnen von Programmen |
| .dll, 0 bytes, antivir, backdoor.bot, desktop, einstellungen, explorer.exe, hijackthis, jusched.exe, loswerden, lsass.exe, modul, nicht öffnen, nt.dll, programme, prozesse, registry, services.exe, spyware.zbot, suchlauf, svchost.exe, tr/banker.bancos.orq, versteckte objekte, verweise, virus gefunden, warnung, windows, windows xp, winlogon.exe |
Hybrid-Darstellung
