|
Plagegeister aller Art und deren Bekämpfung: direkt nach winxp login bauen sich mehrere internetverbindungen aufWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.06.2010, 20:45 | #1 |
| direkt nach winxp login bauen sich mehrere internetverbindungen auf hallo, mich hats heute wirklich hart erwischt und komme mit der üblichen vorgehensweise nicht mehr weiter. Und zwar bauen sich direkt nachdem ich mich in Windows xp eingeloggt habe, mehrere Verbindungen auf (Bild im Anhang). das kann ich mit tcpview sehr gut sehen, die meisten scheinen sich mit irgendeinen Maildienst zu verbinden. microsoft security essentials hat den pws:win32/daurso.a in Quarantäne verschoben. Malwarebytes hat eine infizierte Datei gefunden und gelöscht. trotzdem bauen sich diese Verbindungen immer wieder auf und ein Uploadspeed von ungefähr 30kbyte zeigt mir deutlich an das Daten getauscht werden. Frage: wie kann ich diese verbindungen blocken oder was kann ich noch machen? |
09.06.2010, 22:15 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | direkt nach winxp login bauen sich mehrere internetverbindungen auf Hallo,
__________________sieht aus, als hättest Du ein Rootkit im System, das für Spamversand sorgt, stell Dich darauf ein, dass Du die nächsten tage Post von Deinem Provider bekommst, weil er Dir Port 25 gesperrt hat Mach bitte zuerst mal einen Durchgang mit OSAM und poste das Log, dann geht weiter mit den "Standardtools".
__________________ |
10.06.2010, 14:18 | #3 |
| direkt nach winxp login bauen sich mehrere internetverbindungen auf hier nun das log von osam:
__________________OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 15:13:14 on 10.06.2010 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.6.3 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "MP Scheduled Scan.job" - "Microsoft Corporation" - c:\Programme\Microsoft Security Essentials\MpCmdRun.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl "nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Adobe Gamma" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma.cpl "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "ac0bo09m" (ac0bo09m) - "Microsoft Corporation" - C:\WINDOWS\system32\drivers\ac0bo09m.sys (Hidden registry entry, rootkit activity | File signed by Microsoft) "adfs" (adfs) - "Adobe Systems, Inc." - C:\WINDOWS\system32\drivers\adfs.sys "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "ET5Drv" (ET5Drv) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\system32\Drivers\ET5Drv.sys "gdrv" (gdrv) - "Windows (R) 2000 DDK provider" - C:\WINDOWS\gdrv.sys "Hauppauge WinTV 88x Crossbar" (HCW88XBAR) - "Hauppauge Computer Works, Inc." - C:\WINDOWS\System32\drivers\HCW88BAR.sys "Hauppauge WinTV 88x Tuner" (HCW88TUNE) - "Hauppauge Computer Works, Inc." - C:\WINDOWS\System32\drivers\hcw88tun.sys "Hauppauge WinTV 88x Video" (CX88xNoIR) - "Hauppauge Computer Works, Inc" - C:\WINDOWS\System32\drivers\hcw88vid.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PSSDK42" (PSSDK42) - "microOLAP Technologies LTD" - C:\WINDOWS\system32\Drivers\pssdk42.sys "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "Razerlow USB Filter Driver" (Razerlow) - "Razer (Asia-Pacific) Pte Ltd" - C:\WINDOWS\System32\Drivers\Razerlow.sys "razerusb" (razerusb) - "Razer Inc." - C:\WINDOWS\System32\DRIVERS\razerusb.sys "sptd" (sptd) - "Duplex Secure Ltd." - C:\WINDOWS\System32\Drivers\sptd.sys (File is exclusively opened, access blocked) "truecrypt" (truecrypt) - "TrueCrypt Foundation" - C:\WINDOWS\System32\drivers\truecrypt.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} "Acrobat Elements Context Menu" - "Adobe Systems Inc." - C:\Programme\Adobe\Acrobat 8.0\Acrobat Elements\ContextMenu.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {82AA9188-44E0-40B9-B956-43A10C315B4F} "RootShellFolder Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFTPShellExtension.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {2ED7FD81-CBA6-45E5-A49A-5E84889A94E2} "ShellDragDropHandler Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfShellTools.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {7568C3F3-DF7E-436A-95C2-772819DF58B4} "ShellFolderExternal Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFavoritesShellExtension.dll {119310E6-5FB7-4eeb-BEDB-9E229E76B9B4} "ShellFolderMultiUploadDestination Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFTPShellExtension.dll {3B164627-7060-47BB-A1BE-DF5540B02821} "ShellFolderMultiUploadSource Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFTPShellExtension.dll {6E0A0931-B89D-45B7-8BF0-F221A6D67257} "ShellFolderRoot Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFavoritesShellExtension.dll {EB5EE1F3-041A-4c03-9D51-2BEC6715FB00} "ShellFolderSearchRoot Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFTPShellExtension.dll {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {F87DED31-303F-4ED1-9BCE-D360FBC74E0A} "SmartFTP ContextMenu Shell Extension" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfShellTools.dll {EA5A76F7-8138-4B53-B0F5-ADCC730CAFBD} "SmartFTP Drop ShellIconOverlayHandler" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfShellTools.dll {FD504287-1372-40d2-ACA6-216A8FCC243D} "SmartFTP FavoritesShellFolder Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFavoritesShellExtension.dll {0848278D-D88B-445b-BEDC-7DFBDB061F5F} "SmartFTP FavoritesShellFolderDesktop class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfFavoritesShellExtension.dll {40FDFA48-5F4E-4627-A78E-6A49A3D4492F} "SmartFTP ShellDropHandler Class" - "SmartSoft Ltd." - C:\Programme\SmartFTP Client\sfShellTools.dll {DBD8E168-244D-448C-9922-25508950D1DC} "USIShellExt Class" - "Ulead Systems, Inc." - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\USIShex.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_18" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_18.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )----- {182EC0BE-5110-49C8-A062-BEB1D02A220B} "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "Adobe PDF" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {AE7CD045-E861-484f-8273-0445EE161910} "Adobe PDF Conversion Toolbar Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll {5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? - (File not found | COM-object registry key not found) [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "Adobe Acrobat - Schnellstart.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe (Shortcut exists | File exists) "Adobe Reader Synchronizer.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe (Shortcut exists | File exists) "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "noch erledigen.txt" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\noch erledigen.txt -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "36X Raid Configurer" - "Gigabyte Technology Corp." - C:\WINDOWS\system32\xRaidSetup.exe boot "AdobeCS4ServiceManager" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin "DU Meter" - "Hagel Technologies" - C:\Programme\DU Meter\DUMeter.exe "JMB36X IDE Setup" - ? - C:\WINDOWS\RaidTool\xInsIDE.exe (File found, but it contains no detailed information) "MSSE" - "Microsoft Corporation" - "c:\Programme\Microsoft Security Essentials\msseces.exe" -hide -runkey "nwiz" - "NVIDIA Corporation" - nwiz.exe /install "QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime "UVS11 Preload" - "InterVideo Digital Technology Corporation" - C:\Programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe [Network Providers] -----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )----- "Adobe Drive CS4 Network" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Adobe PDF Port" - "Adobe Systems Incorporated." - C:\WINDOWS\system32\AdobePDF.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Capture Device Service" (Capture Device Service) - "InterVideo Inc." - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe "FLEXnet Licensing Service" (FLEXnet Licensing Service) - "Acresso Software Inc." - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "Image Server" (sbpvkqc) - ? - C:\WINDOWS\system32\srata.dll (File not found) "Microsoft Antimalware Service" (MsMpSvc) - "Microsoft Corporation" - c:\Programme\Microsoft Security Essentials\MsMpEng.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe "Windows Support" (ayuayukh) - ? - C:\WINDOWS\system32\srata.dll (File not found) [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
10.06.2010, 14:43 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | direkt nach winxp login bauen sich mehrere internetverbindungen aufZitat:
Danach nen Vollscan mit Malwarebytes machen und Log posten, anschließend OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten |
10.06.2010, 15:34 | #5 |
| direkt nach winxp login bauen sich mehrere internetverbindungen auf Einträge erfolgreich mit OSAM gelöscht. Was mir noch bei OSAM auffällt ist ein dick markierter Eintrag: ah7ukidu Microsoft Corporation C:\WINDOWS\system32\drivers\ah7ukidu.sys Wie siehts mit dem aus? Malwarebytes Log kommt gleich...danke dir jetzt schonmal für deine Hilfe !!! |
10.06.2010, 15:37 | #6 |
| direkt nach winxp login bauen sich mehrere internetverbindungen auf Hier von malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4186 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 10.06.2010 15:48:43 mbam-log-2010-06-10 (15-48-43).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 277170 Laufzeit: 49 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
10.06.2010, 15:40 | #7 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | direkt nach winxp login bauen sich mehrere internetverbindungen aufZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
10.06.2010, 15:46 | #8 |
| direkt nach winxp login bauen sich mehrere internetverbindungen auf ja, ganz genau, dann bleibt das wohl, hier die anderen logfiles: OTL EXTRAS Logfile: OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 10.06.2010 16:39:28 - Run 3 OTL by OldTimer - Version 3.2.6.0 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 84,00% Memory free 5,00 Gb Paging File | 5,00 Gb Available in Paging File | 92,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 596,16 Gb Total Space | 533,24 Gb Free Space | 89,45% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded Computer Name: *** Current User Name: Administrator Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [MediaMonkey.1Play] -- "H:\MediaMonkey\MediaMonkey.exe" "%1" File not found Directory [MediaMonkey.2PlayNext] -- "H:\MediaMonkey\MediaMonkey.exe" /NEXT "%1" File not found Directory [MediaMonkey.3Enqueue] -- "H:\MediaMonkey\MediaMonkey.exe" /ADD "%1" File not found Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "5353:TCP" = 5353:TCP:*:Enabled:Adobe CSI CS4 "6355:TCP" = 6355:TCP:*:Enabled:loswr ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\FlashFXP\FlashFXP.exe" = C:\Programme\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3 -- (IniCom Networks, Inc.) "C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\GIGABYTE\GEST\run.exe" = C:\Programme\GIGABYTE\GEST\run.exe:*:Disabled:update -- () "C:\Programme\SmartFTP Client\SmartFTP.exe" = C:\Programme\SmartFTP Client\SmartFTP.exe:*:Enabled:SmartFTP Client 4.0 -- (SmartSoft Ltd.) "C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Disabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.) "C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player -- () "C:\Programme\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe" = C:\Programme\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe:*:Enabled:Ubisoft Game Launcher -- File not found "C:\Programme\Ubisoft\Silent Hunter 5\sh5.exe" = C:\Programme\Ubisoft\Silent Hunter 5\sh5.exe:*:Enabled:Silent Hunter 5 -- (Ubisoft) "C:\Programme\Electronic Arts\Battlefield Bad Company 2\BFBC2Updater.exe" = C:\Programme\Electronic Arts\Battlefield Bad Company 2\BFBC2Updater.exe:*:Enabled:Battlefield: Bad Company™ 2 -- (EA Digital Illusions CE AB) "C:\Programme\Midway Games\Rise and Fall\RiseAndFall.exe" = C:\Programme\Midway Games\Rise and Fall\RiseAndFall.exe:*:Enabled:Rise and Fall: Civilizations at War -- (Midway Home Entertainment) "C:\Programme\FlashFXP\FlashFXP.exe" = C:\Programme\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3 -- (IniCom Networks, Inc.) "C:\Programme\PRTG Network Monitor\PRTG Probe.exe" = C:\Programme\PRTG Network Monitor\PRTG Probe.exe:*:Enabled:PRTG_Network_Monitor_Probe -- File not found "C:\Programme\PRTG Network Monitor\PRTG Server Administrator.exe" = C:\Programme\PRTG Network Monitor\PRTG Server Administrator.exe:*:Enabled:PRTG_Network_Monitor_Admin_Tool -- File not found "C:\Programme\PRTG Network Monitor\PRTG Server.exe" = C:\Programme\PRTG Network Monitor\PRTG Server.exe:*:Enabled:PRTG_Network_Monitor_Server -- File not found "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" = C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4 -- (Adobe Systems Incorporated) "C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation) "C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation) "C:\Dokumente und Einstellungen\Administrator\Desktop\xampp\FileZillaFTP\FileZilla Server.exe" = C:\Dokumente und Einstellungen\Administrator\Desktop\xampp\FileZillaFTP\FileZilla Server.exe:*:Enabled:FileZilla Server -- File not found "C:\xampplite\mysql\bin\mysqld.exe" = C:\xampplite\mysql\bin\mysqld.exe:*:Enabled:The MySQL Server -- (MySQL AB) "C:\xampplite\apache\bin\httpd.exe" = C:\xampplite\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{05308C4E-7285-4066-BAE3-6B50DA6ED755}" = Adobe Update Manager CS4 "{054EFA56-2AC1-48F4-A883-0AB89874B972}" = Adobe Extension Manager CS4 "{098727E1-775A-4450-B573-3F441F1CA243}" = kuler "{098A2A49-7CF3-4F08-A38D-FB879117152A}" = Adobe Color NA Extra Settings CS4 "{0C7B9FAF-9C93-4E3A-9EC5-DE553B5771F0}" = Linguatec Voice Reader Studio "{0D6013AB-A0C7-41DC-973C-E93129C9A29F}" = Adobe Color JA Extra Settings CS4 "{0D67A4E4-5BE0-4C9A-8AD8-AB552B433F23}" = Adobe Setup "{0DC0E85F-36E4-463B-B3EA-4CD8ED2222A1}" = Adobe Color EU Recommended Settings CS4 "{0F723FC1-7606-4867-866C-CE80AD292DAF}" = Adobe CSI CS4 "{1618734A-3957-4ADD-8199-F973763109A8}" = Adobe Anchor Service CS4 "{16E16F01-2E2D-4248-A42F-76261C147B6C}" = Adobe Drive CS4 "{16E6D2C1-7C90-4309-8EC4-D2212690AAA4}" = AdobeColorCommonSetRGB "{197A3012-8C85-4FD3-AB66-9EC7E13DB92E}" = Adobe AIR "{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool "{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT "{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18 "{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime "{3131D5EB-E55B-4799-8768-5C3AC5EF1271}" = StarMoney 6.0 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{35D94F92-1D3A-43C5-8605-EA268B1A7BD9}" = PDF Settings CS4 "{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}" = Gigabyte Raid Configurer "{3A4E8896-C2E7-4084-A4A4-B8FD1894E739}" = Adobe XMP Panels CS4 "{3AC8457C-0385-4BEA-A959-E095F05D6D67}" = Battlefield: Bad Company™ 2 "{3D2C9DE6-9ADE-4252-A241-E43723B0CE02}" = Adobe Color - Photoshop Specific CS4 "{3DA8DF9A-044E-46C4-8531-DEDBB0EE37FF}" = Adobe WinSoft Linguistics Plugin "{3E2C691B-B7E6-4053-B5C3-94B8BC407E7A}" = Adobe Premiere Elements 4.0 "{411F3ABA-2AB5-4799-AA19-6ADF0A8F7424}" = Adobe Setup "{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger "{43509E18-076E-40FE-AF38-CA5ED400A5A9}" = Pixel Bender Toolkit "{44E240EC-2224-4078-A88B-2CEE0D3016EF}" = Adobe After Effects CS4 Presets "{45EC816C-0771-4C14-AE6D-72D1B578F4C8}" = Adobe After Effects CS4 "{4943EFF5-229F-435D-BEA9-BE3CAEA783A7}" = Adobe Service Manager Extension "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin "{521AAD14-5030-44BB-8B0E-5CE65FCE57E0}" = InterVideo DeviceService "{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent "{54194F60-988C-4D03-B922-C2B00EFDA39A}" = NVIDIA PhysX "{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support "{561968FD-56A1-49FD-9ED0-F55482C7C5BC}" = Adobe Media Encoder CS4 Exporter "{5869CE1E-BC0B-4648-B1AE-6EF4A985590C}" = Dynamic Energy Saver B7.1214.3 "{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call "{60DB5894-B5A1-4B62-B0F3-669A22C0EE5D}" = Adobe Dynamiclink Support "{63C24A08-70F3-4C8E-B9FB-9F21A903801D}" = Adobe Color Video Profiles CS CS4 "{63E5CDBF-8214-4F03-84F8-CD3CE48639AD}" = Adobe Photoshop CS4 Support "{67A9747A-E1F5-4E9A-81CC-12B5D5B81B6E}" = Adobe After Effects CS4 Third Party Content "{67F0E67A-8E93-4C2C-B29D-47C48262738A}" = Adobe Device Central CS4 "{68243FF8-83CA-466B-B2B8-9F99DA5479C4}" = AdobeColorCommonSetCMYK "{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update "{6A5D6552-7645-48F4-8922-475ADA18EBD4}" = Zeugnis-Generator 12.0 "{6F7528E9-66FB-498A-887D-CBA94111712E}" = SmartFTP Client German (Germany) MUI "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{8186FF34-D389-4B7E-9A2F-C197585BCFBD}" = Adobe Media Encoder CS4 Importer "{820D3F45-F6EE-4AAF-81EF-CE21FF21D230}" = Adobe Type Support CS4 "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{83877DB1-8B77-45BC-AB43-2BAC22E093E0}" = Adobe Bridge CS4 "{842B4B72-9E8F-4962-B3C1-1C422A5C4434}" = Suite Shared Configuration CS4 "{84ED5482-CFB0-4DD9-BF18-489FFDACD18A}" = Microsoft Antimalware Service DE-DE Language Pack "{888F1505-C2B3-4FDE-835D-36353EBD4754}" = Ubisoft Game Launcher "{8A8DB2A7-1A2D-4015-AD37-74251FEE57B8}" = Xara Xtreme Pro 5 "{8EDBA74D-0686-4C99-BFDD-F894678E5102}" = Adobe Common File Installer "{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System "{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage "{931AB7EA-3656-4BB7-864D-022B09E3DD67}" = Adobe Linguistics CS4 "{94D398EB-D2FD-4FD1-B8C4-592635E8A191}" = Adobe CMaps CS4 "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{96E3AED5-3D0B-4BB0-84C2-1EDADB204487}" = FlashFXP v3 "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{ABD7DBE3-E344-4BCA-B8AD-4360494DD1D9}" = LG MC USB U330 driver "{AC61C594-5F86-4BE9-ABAF-763C6A8E2302}" = Silent Hunter 5 "{AC76BA86-1033-F400-7760-000000000003}" = Adobe Acrobat 8 Professional - English, Français, Deutsch "{AC7EE5F1-0DE4-4256-8E43-92B73C8E6019}" = LG Bluetooth Drivers "{AEB9948B-4FF2-47C9-990E-47014492A0FE}" = MSXML 6.0 Parser "{B05DE7B7-0B40-4411-BD4B-222CAE2D8F15}" = Adobe MotionPicture Color Files CS4 "{B15381DD-FF97-4FCD-A881-ED4DB0975500}" = Adobe Color Video Profiles AE CS4 "{B29AD377-CC12-490A-A480-1452337C618D}" = Connect "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{B65BA85C-0A27-4BC0-A22D-A66F0E5B9494}" = Adobe Photoshop CS4 "{BB4E33EC-8181-4685-96F7-8554293DEC6A}" = Adobe Output Module "{BE9CEAAA-F069-4331-BF2F-8D350F6504F4}" = Adobe Media Encoder CS4 Additional Exporter "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C52E3EC1-048C-45E1-8D53-10B0C6509683}" = Adobe Default Language CS4 "{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver "{CC75AB5C-2110-4A7F-AF52-708680D22FE8}" = Photoshop Camera Raw "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{CE851242-FC4D-4306-BF27-89DF618BED34}" = SmartFTP Client "{D078226E-83F2-45FD-9CDE-5DA66E5ADB51}" = Rise and Fall "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2 "{D137B59C-551C-4659-8AA8-206FA650BF40}" = LG USB Modem Drivers "{D94BA408-F110-488B-A65E-3AE7945F79E6}_is1" = LG PC Suite III deinstallieren "{D961CF08-AB06-4AC5-BCBA-76D12C4DB5EC}" = Linguatec Voice Reader Studio "{DEB90B8E-0DCB-48CE-B90E-8842A2BD643E}" = Adobe Media Encoder CS4 "{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9 Series "{E4848436-0345-47E2-B648-8B522FCDA623}" = Adobe Photoshop CS4 "{E590FD1C-E8C6-4D2E-8CA9-77B403F7EE01}" = Microsoft Antimalware "{ED00D08A-3C5F-488D-93A0-A04F21F23956}" = Windows Live Communications Platform "{EF98A02A-1748-4762-9B7D-5ED1600520D5}" = Microsoft Security Essentials "{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard "{F0E64E2E-3A60-40D8-A55D-92F6831875DA}" = Adobe Search for Help "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth "{F85C7118-F3DC-4ED9-AB27-3E7931EA3D88}" = Adobe Premiere Elements 4.0 Templates "{F8EF2B3F-C345-4F20-8FE4-791A20333CD5}" = Adobe ExtendScript Toolkit CS4 "{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials "{F93C84A6-0DC6-42AF-89FA-776F7C377353}" = Adobe PDF Library Files CS4 "{F99F9E24-EE2F-47FD-AEB0-FDB82859B5C9}" = VideoStudio "{FCDD51BB-CAD0-4BB1-B7DF-CE86D1032794}" = Adobe Fonts All "{FFCB1B04-5B1C-4A17-AA60-CA6F00BA50F9}" = StarMoney "Adobe Acrobat 8 Professional - English, Français, Deutsch" = Adobe Acrobat 8 Professional - English, Français, Deutsch "Adobe AIR" = Adobe AIR "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe_3dcb365ab9e01871fb8c6f27b0ea079" = Adobe After Effects CS4 "Adobe_faf656ef605427ee2f42989c3ad31b8" = Adobe Photoshop CS4 "Any Video Converter_is1" = Any Video Converter 3.0.5 "Artisteer 2" = Artisteer 2 "CCleaner" = CCleaner "dumeter3_is1" = DU Meter "Fraps" = Fraps (remove only) "Hauppauge WinTV2000" = Hauppauge WinTV2000 "HD Tune_is1" = HD Tune 2.55 "HijackThis" = HijackThis 2.0.2 "HP-LaserJet 1020 series" = LaserJet 1020 series "ie8" = Windows Internet Explorer 8 "InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin "InstallShield_{F99F9E24-EE2F-47FD-AEB0-FDB82859B5C9}" = Ulead VideoStudio 11 "MAGIX Xtreme Web Designer 5 Download-Version D" = MAGIX Xtreme Web Designer 5 Download-Version 5.0.1.8620 (D) "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "MediaMonkey_is1" = MediaMonkey 3.2 "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Microsoft Security Essentials" = Microsoft Security Essentials "Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) "Mp3tag" = Mp3tag v2.46 "NVIDIA Drivers" = NVIDIA Drivers "OrderReminder HP LaserJet 1020" = OrderReminder HP LaserJet 1020 "PremElem40" = Adobe Premiere Elements 4.0 "PremElem40Templates" = Adobe Premiere Elements 4.0 Templates "SmartFTP Client 4.0 Setup Files" = SmartFTP Client 4.0 Setup Files (remove only) "ST6UNST #1" = BEWERBUNGSMASTER "TrueCrypt" = TrueCrypt "VLC media player" = VLC media player 1.0.5 "Windows Media Encoder 9" = Windows Media Encoder 9 Series "Windows XP Service Pack" = Windows XP Service Pack 3 "WinLiveSuite_Wave3" = Windows Live Essentials "WinRAR archiver" = WinRAR "xp-AntiSpy" = xp-AntiSpy 3.97-9 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Facebook Plug-In" = Facebook Plug-In "XBMC" = XBMC ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 24.05.2010 14:26:53 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 24.05.2010 14:26:53 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 24.05.2010 14:28:26 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 24.05.2010 14:28:26 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 01.06.2010 10:46:02 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 01.06.2010 10:46:02 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 01.06.2010 10:46:25 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 01.06.2010 10:46:25 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 01.06.2010 10:46:33 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 01.06.2010 10:46:33 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = [ Application Events ] Error - 24.05.2010 14:26:53 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 24.05.2010 14:26:53 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 24.05.2010 14:28:26 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 24.05.2010 14:28:26 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 01.06.2010 10:46:02 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 01.06.2010 10:46:02 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 01.06.2010 10:46:25 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 01.06.2010 10:46:25 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 01.06.2010 10:46:33 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = Error - 01.06.2010 10:46:33 | Computer Name = FELIXR | Source = MySQL | ID = 100 Description = [ System Events ] Error - 09.06.2010 18:30:51 | Computer Name = FELIXR | Source = Ftdisk | ID = 262189 Description = Das System konnte den Treiber für das Speicherabbild nicht laden. Error - 09.06.2010 18:30:51 | Computer Name = FELIXR | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. Error - 10.06.2010 08:06:28 | Computer Name = FELIXR | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Windows Support" wurde mit folgendem Fehler beendet: %%126 Error - 10.06.2010 08:06:28 | Computer Name = FELIXR | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Image Server" wurde mit folgendem Fehler beendet: %%126 Error - 10.06.2010 08:06:41 | Computer Name = FELIXR | Source = Ftdisk | ID = 262189 Description = Das System konnte den Treiber für das Speicherabbild nicht laden. Error - 10.06.2010 08:06:41 | Computer Name = FELIXR | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. Error - 10.06.2010 08:17:50 | Computer Name = FELIXR | Source = Microsoft Antimalware | ID = 2001 Description = Fehler in %%861 beim Aktualisieren von Signaturen. Neue Signaturversion: Vorherige Signaturversion: 1.83.1300.0 Aktualisierungsquelle: %%859 Aktualisierungsstufe: %%852 Quellpfad: hxxp://www.microsoft.com Signaturtyp: %%800 Aktualisierungstyp: %%803 Benutzer: NT-AUTORITÄT\SYSTEM Aktuelle Modulversion: Vorherige Modulversion: 1.1.5802.0 Fehlercode: 0x80072efe Fehlerbeschreibung: The connection with the server was terminated abnormally Error - 10.06.2010 08:20:41 | Computer Name = FELIXR | Source = Service Control Manager | ID = 7034 Description = Dienst "Capture Device Service" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 10.06.2010 10:28:27 | Computer Name = FELIXR | Source = Ftdisk | ID = 262189 Description = Das System konnte den Treiber für das Speicherabbild nicht laden. Error - 10.06.2010 10:28:27 | Computer Name = FELIXR | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. < End of report > --- --- --- OTL Logfile: Code:
ATTFilter OTL logfile created on: 10.06.2010 16:39:28 - Run 3 OTL by OldTimer - Version 3.2.6.0 Folder = C:\Dokumente und Einstellungen\Administrator\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 84,00% Memory free 5,00 Gb Paging File | 5,00 Gb Available in Paging File | 92,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 596,16 Gb Total Space | 533,24 Gb Free Space | 89,45% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded Computer Name: *** Current User Name: Administrator Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Microsoft Security Essentials\msseces.exe (Microsoft Corporation) PRC - c:\Programme\Microsoft Security Essentials\MsMpEng.exe (Microsoft Corporation) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe (InterVideo Inc.) PRC - C:\Programme\DU Meter\DUMeter.exe (Hagel Technologies) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\ckcn.dll () MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (FLEXnet Licensing Service) -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (Acresso Software Inc.) SRV - (MsMpSvc) -- c:\Programme\Microsoft Security Essentials\MsMpEng.exe (Microsoft Corporation) SRV - (GEST Service) -- C:\Programme\GIGABYTE\GEST\GSvr.exe () SRV - (Capture Device Service) -- C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe (InterVideo Inc.) SRV - (UleadBurningHelper) -- C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.) ========== Driver Services (SafeList) ========== DRV - (PSSDK42) -- C:\WINDOWS\system32\drivers\pssdk42.sys (microOLAP Technologies LTD) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (gdrv) -- C:\WINDOWS\gdrv.sys (Windows (R) 2000 DDK provider) DRV - (truecrypt) -- C:\WINDOWS\system32\drivers\truecrypt.sys (TrueCrypt Foundation) DRV - (MpFilter) -- C:\WINDOWS\system32\drivers\MpFilter.sys (Microsoft Corporation) DRV - (LgBttPort) -- C:\WINDOWS\system32\drivers\lgbtport.sys (LG Electronics Inc.) DRV - (LGVMODEM) -- C:\WINDOWS\system32\drivers\lgvmodem.sys (LG Electronics Inc.) DRV - (lgbusenum) -- C:\WINDOWS\system32\drivers\lgbtbus.sys (LG Electronics Inc.) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (adfs) -- C:\WINDOWS\system32\drivers\adfs.sys (Adobe Systems, Inc.) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (ET5Drv) -- C:\WINDOWS\system32\drivers\ET5Drv.sys (Windows (R) 2000 DDK provider) DRV - (JRAID) -- C:\WINDOWS\system32\DRIVERS\jraid.sys (JMicron Technology Corp.) DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation ) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (razerusb) -- C:\WINDOWS\system32\drivers\razerusb.sys (Razer Inc.) DRV - (Razerlow) -- C:\WINDOWS\system32\drivers\razerlow.sys (Razer (Asia-Pacific) Pte Ltd) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.05.07 20:11:01 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.29 17:07:02 | 000,000,000 | ---D | M] [2010.03.08 01:19:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions [2010.06.10 14:30:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\1uwumznu.default\extensions [2010.05.08 01:39:53 | 000,000,000 | ---D | M] (Flagfox) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\1uwumznu.default\extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b} [2010.03.10 01:33:19 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\1uwumznu.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.04.16 10:20:35 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\1uwumznu.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2010.04.14 10:47:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\1uwumznu.default\extensions\personas@christopher.beard [2010.03.10 01:33:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\1uwumznu.default\extensions\SQLiteManager@mrinalkant.blogspot.com [2010.03.08 01:19:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\iglvl7ho.default\extensions [2010.03.10 01:33:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\v8c5013g.default\extensions [2010.06.10 14:30:07 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.03.26 10:59:10 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.03.26 10:59:10 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.03.26 10:59:10 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.03.26 10:59:10 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.03.26 10:59:10 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.04.19 15:45:52 | 000,002,659 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [36X Raid Configurer] C:\WINDOWS\System32\xRaidSetup.exe (Gigabyte Technology Corp.) O4 - HKLM..\Run: [AdobeCS4ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe (Hagel Technologies) O4 - HKLM..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe () O4 - HKLM..\Run: [MSSE] c:\Programme\Microsoft Security Essentials\msseces.exe (Microsoft Corporation) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [UVS11 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe (InterVideo Digital Technology Corporation) O4 - HKCU..\Run: [AdobeBridge] File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\noch erledigen.txt () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O8 - Extra context menu item: An vorhandenes PDF anfügen - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation) O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1268000518671 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 213.191.74.18 62.109.123.6 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.03.07 23:57:07 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: odbcasks - (C:\WINDOWS\system32\ckcn.dll) - C:\WINDOWS\system32\ckcn.dll () O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.06.10 16:38:04 | 000,572,416 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe [2010.06.10 15:07:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\osam_autorun_manager_version_portable [2010.06.10 00:28:59 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2010.06.10 00:23:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Online Solutions [2010.06.09 19:49:43 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent [2010.06.09 12:56:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia [2010.06.09 12:56:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2010.06.01 16:58:31 | 000,000,000 | ---D | C] -- C:\xampplite [2010.06.01 16:24:20 | 000,000,000 | -HSD | C] -- C:\WINDOWS\ftpcache [2010.05.27 23:10:39 | 000,000,000 | ---D | C] -- C:\ProgramData [2010.05.27 23:10:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\BewerbungsMaster [2010.05.27 23:10:01 | 000,000,000 | ---D | C] -- C:\Programme\BEWERBUNGSMASTER [2010.05.27 23:09:57 | 000,262,144 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\Setup1.exe [2010.05.27 23:09:56 | 000,074,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\ST6UNST.EXE [2010.05.26 16:43:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\.jordan [2010.05.24 14:30:02 | 000,000,000 | ---D | C] -- C:\Programme\Zeugnis-Generator [2010.05.24 12:38:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Artisteer [2010.05.24 12:35:54 | 000,000,000 | ---D | C] -- C:\Programme\Artisteer 2 [2010.05.24 12:31:44 | 001,284,096 | ---- | C] (Mirage Computer Systems (www.mirage-systems.de)) -- C:\WINDOWS\System32\LicProtectorEasyGo251.dll [2010.05.24 12:31:32 | 000,000,000 | ---D | C] -- C:\Programme\Linguatec GmbH [2010.05.18 12:10:07 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Videos [2010.05.18 12:09:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Facebook [2010.05.15 14:58:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.06.10 16:38:06 | 000,572,416 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe [2010.06.10 16:33:08 | 000,000,400 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job [2010.06.10 16:31:00 | 000,001,102 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.06.10 16:28:12 | 000,002,321 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk [2010.06.10 16:28:07 | 000,206,492 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2010.06.10 16:28:05 | 000,001,098 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.06.10 16:28:02 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.06.10 16:28:00 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.06.10 16:27:11 | 006,815,744 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT [2010.06.10 15:07:28 | 004,272,474 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\osam_autorun_manager_5_0_portable.rar [2010.06.10 14:43:19 | 000,046,592 | -H-- | M] () -- C:\WINDOWS\System32\ckcn.dll [2010.06.10 00:29:27 | 004,318,682 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.06.10 00:01:35 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini [2010.06.09 20:56:45 | 000,211,389 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Unbenannt.JPG [2010.06.09 19:47:39 | 000,043,412 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\cc_20100609_194730.reg [2010.06.09 19:16:11 | 000,281,629 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Unbenannt-3.jpg [2010.06.09 14:32:33 | 018,832,037 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\mr-nobody_trailer01-de_high.mov [2010.06.09 12:01:09 | 000,267,013 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Unbenannt-2.jpg [2010.06.09 11:24:57 | 000,000,016 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\qcopjv.dat [2010.06.08 14:27:26 | 047,487,955 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\5733_trailer01-en_848.mov [2010.06.08 10:59:09 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.06.04 17:16:35 | 000,096,768 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.05.31 15:58:20 | 011,837,818 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Scott Pilgrim Vs. The World - Official Trailer.mp4 [2010.05.27 23:19:37 | 000,000,817 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\BewerbungsMaster.LNK [2010.05.27 23:18:52 | 000,000,127 | ---- | M] () -- C:\Notizen.rtf [2010.05.27 23:09:58 | 000,262,144 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Setup1.exe [2010.05.27 23:09:56 | 000,074,752 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\ST6UNST.EXE [2010.05.24 19:03:12 | 005,517,487 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\joomla-einsteiger-tutorial.pdf [2010.05.24 14:30:52 | 000,010,008 | -H-- | M] () -- C:\h12.sy2 [2010.05.24 14:30:06 | 000,001,644 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Zeugnis-Generator 12.0.lnk [2010.05.24 12:36:27 | 000,000,750 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Artisteer 2.lnk [2010.05.24 12:31:43 | 000,001,587 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linguatec Voice Reader Studio.lnk [2010.05.20 17:58:51 | 357,537,796 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Fahrt eines Teilnehmers im Rallye BMW auf 8mm Spikes bei der Rallye Academy on Ice in Finnland im März 2010.mpeg [2010.05.20 17:13:45 | 299,487,236 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Erste Fahrt eines Teilnehmers im Rallye BMW auf 4mm Spikes bei der Rallye Academy on Ice in Finnland im März 2010.mpeg [2010.05.20 16:51:09 | 285,437,956 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Einführungsrunde auf dem Track P3 im Michelin Driving Center Groß Dölln am 22042010.mpeg [2010.05.20 16:09:21 | 071,512,068 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Film2.mpeg [2010.05.19 12:55:28 | 109,819,908 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Unbenannt.mpeg [2010.05.19 12:39:52 | 002,117,298 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Outro.mov [2010.05.18 15:51:00 | 028,189,398 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Unfall auf dem Heidberg mit Porsche 1.mov [2010.05.18 11:00:07 | 000,245,356 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\fazaboaccess.png [2010.05.17 17:24:18 | 000,085,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.05.15 19:20:06 | 011,223,091 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Unfall auf dem Heidberg mit Porsche 2.mov [2010.05.11 17:30:18 | 041,931,516 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\nummernschildmotiontracking.flv [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.06.10 15:07:11 | 004,272,474 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\osam_autorun_manager_5_0_portable.rar [2010.06.10 14:43:19 | 000,046,592 | -H-- | C] () -- C:\WINDOWS\System32\ckcn.dll [2010.06.09 20:56:45 | 000,211,389 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Unbenannt.JPG [2010.06.09 19:47:34 | 000,043,412 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\cc_20100609_194730.reg [2010.06.09 19:16:11 | 000,281,629 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Unbenannt-3.jpg [2010.06.09 14:32:18 | 018,832,037 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\mr-nobody_trailer01-de_high.mov [2010.06.09 12:01:09 | 000,267,013 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Unbenannt-2.jpg [2010.06.09 11:24:57 | 000,000,016 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\qcopjv.dat [2010.06.08 14:26:39 | 047,487,955 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\5733_trailer01-en_848.mov [2010.05.31 15:56:47 | 011,837,818 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Scott Pilgrim Vs. The World - Official Trailer.mp4 [2010.05.27 23:19:37 | 000,000,817 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\BewerbungsMaster.LNK [2010.05.27 23:11:39 | 000,000,127 | ---- | C] () -- C:\Notizen.rtf [2010.05.24 19:03:06 | 005,517,487 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\joomla-einsteiger-tutorial.pdf [2010.05.24 14:30:52 | 000,010,008 | -H-- | C] () -- C:\h12.sy2 [2010.05.24 14:30:06 | 000,001,644 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Zeugnis-Generator 12.0.lnk [2010.05.24 12:36:27 | 000,000,750 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Artisteer 2.lnk [2010.05.24 12:31:43 | 000,001,587 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linguatec Voice Reader Studio.lnk [2010.05.20 17:56:27 | 357,537,796 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Fahrt eines Teilnehmers im Rallye BMW auf 8mm Spikes bei der Rallye Academy on Ice in Finnland im März 2010.mpeg [2010.05.20 17:11:34 | 299,487,236 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Erste Fahrt eines Teilnehmers im Rallye BMW auf 4mm Spikes bei der Rallye Academy on Ice in Finnland im März 2010.mpeg [2010.05.20 16:49:06 | 285,437,956 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Einführungsrunde auf dem Track P3 im Michelin Driving Center Groß Dölln am 22042010.mpeg [2010.05.20 16:08:53 | 071,512,068 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Film2.mpeg [2010.05.19 12:54:46 | 109,819,908 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Unbenannt.mpeg [2010.05.19 12:39:43 | 002,117,298 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Outro.mov [2010.05.18 11:00:07 | 000,245,356 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\fazaboaccess.png [2010.05.15 19:18:18 | 011,223,091 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Unfall auf dem Heidberg mit Porsche 2.mov [2010.05.15 14:58:12 | 028,189,398 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Unfall auf dem Heidberg mit Porsche 1.mov [2010.05.11 17:29:35 | 041,931,516 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\nummernschildmotiontracking.flv [2010.04.25 14:06:07 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2010.04.09 20:04:02 | 000,210,456 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2010.04.09 20:04:02 | 000,206,360 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2010.04.09 20:04:02 | 000,198,168 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2010.04.09 20:04:02 | 000,198,168 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2010.04.09 20:04:02 | 000,194,072 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2010.04.09 20:04:02 | 000,026,136 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2010.03.28 13:28:34 | 000,106,496 | R--- | C] () -- C:\WINDOWS\System32\vshp1020.dll [2010.03.27 12:44:00 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2010.03.23 02:06:12 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll [2010.03.23 02:05:48 | 000,007,119 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini [2010.03.10 00:05:00 | 000,691,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2010.03.09 01:23:54 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2008.12.25 18:08:00 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2008.12.25 18:08:00 | 001,507,328 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2008.12.25 18:08:00 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2008.12.25 18:08:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2004.08.01 01:01:46 | 000,315,392 | ---- | C] () -- C:\WINDOWS\System32\VLMenuRes.dll ========== Alternate Data Streams ========== @Alternate Data Stream - 243 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9A870F8B < End of report > |
10.06.2010, 19:24 | #9 |
| direkt nach winxp login bauen sich mehrere internetverbindungen auf so, mein Problem hat sich inzwischen zugespitzt. Nach kurzer Zeit konnte ich an meinen Rechner nicht mehr arbeiten, firefox ging zwar noch, aber alles andere konnte ich nicht mehr anklicken. Ich habe dann einen reset gemacht und den Rechner im abgesichert Modus gestartet und einmal Malwarebytes rüberlaufen lassen. Insgesamt 5 Sachen wurden gefunden: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4186 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 8.0.6001.18702 10.06.2010 18:00:17 mbam-log-2010-06-10 (18-00-17).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 120700 Laufzeit: 6 Minute(n), 14 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\services.exe (Password.Stealer) -> Quarantined and deleted successfully. Danach habe ich wieder Windows normal gestartet, jedoch werden jetzt meine Internetaufrufe auf andere Seiten umgeleitet oder teilweise werden irgendwelche Seiten geöffnet. Desweiteren kann ich den Internet Explorer nicht öffnen, komme auf keine Windows Seite mehr (Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde.) und Microsoft Security Essentials kann sich auch nicht mehr verbinden. Ich habe dann noch als letztes einen Komplettscan mit Avira Antivir gemacht, dort wurde dann das Trojanische Pferd TR/Crypt.ZPACK.Gen erkannt und in Quarantäne geschickt. Die Probleme bleiben allerdings weiter erhalten. hier nochmal ein HijackThis logfile: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:15:35, on 10.06.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe c:\Programme\Microsoft Security Essentials\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\DU Meter\DUMeter.exe C:\Programme\Avira\AntiVir Desktop\avshadow.exe C:\Programme\Microsoft Security Essentials\msseces.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\notepad.exe C:\Programme\WinTV\WinTV2K.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://windowsupdate.microsoft.com/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [UVS11 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe O4 - HKLM\..\Run: [MSSE] "c:\Programme\Microsoft Security Essentials\msseces.exe" -hide -runkey O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe O4 - Global Startup: noch erledigen.txt O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1268000518671 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 7144 bytes Übrigens, schreibe ich gerade diesen post von meinem netbook, da ich von dem verseuchten rechner auch die nachricht bekomme "die verbindung zumm server wurde zurückgesetzt..." wenn ich hier posten möchte |
10.06.2010, 20:24 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | direkt nach winxp login bauen sich mehrere internetverbindungen auf Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL MOD - C:\WINDOWS\system32\ckcn.dll () O36 - AppCertDlls: odbcasks - (C:\WINDOWS\system32\ckcn.dll) - C:\WINDOWS\system32\ckcn.dll () @Alternate Data Stream - 243 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9A870F8B :Files C:\cleansweep.exe :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
10.06.2010, 20:31 | #11 |
| direkt nach winxp login bauen sich mehrere internetverbindungen auf hier das logfile: #All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\odbcasks:C:\WINDOWS\system32\ckcn.dll deleted successfully. C:\WINDOWS\system32\ckcn.dll moved successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:9A870F8B deleted successfully. ========== FILES ========== File\Folder C:\cleansweep.exe not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 387853 bytes ->Temporary Internet Files folder emptied: 35572 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 58972587 bytes ->Flash cache emptied: 5436 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 437664 bytes ->Temporary Internet Files folder emptied: 1669912 bytes ->Flash cache emptied: 1278 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2134333 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1062979 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 62,00 mb OTL by OldTimer - Version 3.2.6.0 log created on 06102010_212804 Files\Folders moved on Reboot... C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NC3STPN5\ServiceLogin[1].txt moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NC3STPN5\webhp[1].txt moved successfully. C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\BDLPGVIE\prdhp[1].txt moved successfully. Registry entries deleted on Reboot... |
10.06.2010, 20:35 | #12 |
| direkt nach winxp login bauen sich mehrere internetverbindungen auf Also ie8 öffnet sich jetzt, allerdings bleibt das Problem, dass sich die Windows Update Seiten nicht öffnen mit der Fehlermeldung "Die Verbindung zum Server wurde zurückgesetzt, während die Seite geladen wurde.". Auch eine Aktualisierung von Security Essentials schlägt fehl. |
10.06.2010, 21:04 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | direkt nach winxp login bauen sich mehrere internetverbindungen auf Ok, dann bitte CF anwenden: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
10.06.2010, 21:33 | #14 |
| direkt nach winxp login bauen sich mehrere internetverbindungen auf Combofix Logfile: Code:
ATTFilter ComboFix 10-06-10.02 - Administrator 10.06.2010 22:24:35.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3582.3064 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\cofi.exe AV: Microsoft Security Essentials *On-access scanning enabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . Infizierte Kopie von c:\windows\system32\drivers\rdpcdd.sys wurde gefunden und desinfiziert Kopie von - Kitty had a snack :p wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2010-05-10 bis 2010-06-10 )))))))))))))))))))))))))))))) . 2010-06-10 19:28 . 2010-06-10 19:28 -------- d-----w- C:\_OTL 2010-06-10 18:30 . 2010-06-10 18:30 664 ----a-w- c:\windows\system32\d3d9caps.dat 2010-06-10 16:17 . 2010-06-10 16:18 -------- dc-h--w- c:\windows\ie8 2010-06-09 23:07 . 2010-06-09 23:07 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten 2010-06-09 22:23 . 2010-06-10 14:29 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Online Solutions 2010-06-09 09:29 . 2010-06-09 09:29 910296 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\LocalCopy\{3C67611C-4D6F-5AB9-63D7-7163A1BCF46D}-firefox.exe 2010-06-01 14:58 . 2009-12-19 22:00 -------- d---a-w- C:\xampplite 2010-06-01 14:24 . 2010-06-01 14:24 -------- d-sh--w- c:\windows\ftpcache 2010-05-27 21:10 . 2010-05-27 21:10 -------- d-----w- C:\ProgramData 2010-05-27 21:10 . 2010-05-27 21:18 -------- d-----w- c:\programme\BEWERBUNGSMASTER 2010-05-27 21:09 . 2010-05-27 21:09 262144 ------w- c:\windows\Setup1.exe 2010-05-27 21:09 . 2010-05-27 21:09 74752 ----a-w- c:\windows\ST6UNST.EXE 2010-05-26 14:43 . 2010-05-26 14:43 -------- d-----w- c:\dokumente und einstellungen\Administrator\.jordan 2010-05-24 12:30 . 2010-06-10 19:03 -------- d-----w- c:\programme\Zeugnis-Generator 2010-05-24 10:38 . 2010-05-24 10:38 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Artisteer 2010-05-24 10:35 . 2010-05-24 10:35 -------- d-----w- c:\programme\Artisteer 2 2010-05-24 10:31 . 2007-01-09 17:27 1284096 ----a-w- c:\windows\system32\LicProtectorEasyGo251.dll 2010-05-24 10:31 . 2010-05-24 10:31 -------- d-----w- c:\programme\Linguatec GmbH 2010-05-18 10:09 . 2010-05-18 10:09 50354 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Facebook\uninstall.exe 2010-05-18 10:09 . 2010-05-18 10:09 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Facebook 2010-05-15 12:58 . 2010-05-15 12:58 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Apple Computer . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-06-10 20:09 . 2010-03-10 11:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-06-10 19:04 . 2004-08-04 12:00 80302 ----a-w- c:\windows\system32\perfc007.dat 2010-06-10 19:04 . 2004-08-04 12:00 448800 ----a-w- c:\windows\system32\perfh007.dat 2010-06-09 22:29 . 2010-03-07 22:13 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2010-06-09 22:29 . 2010-04-19 10:41 -------- d-----w- c:\programme\SUPERAntiSpyware 2010-06-09 13:28 . 2010-03-08 19:10 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc 2010-06-09 09:39 . 2010-04-19 13:57 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-06-09 09:24 . 2010-06-09 09:24 16 ----a-w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\qcopjv.dat 2010-06-01 19:24 . 2010-03-10 15:37 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss 2010-05-24 10:31 . 2010-03-07 22:04 -------- d--h--w- c:\programme\InstallShield Installation Information 2010-05-14 20:46 . 2010-04-10 18:51 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\XBMC 2010-05-14 11:32 . 2010-05-04 13:26 -------- d-----w- c:\programme\Google 2010-05-09 11:06 . 2010-03-07 22:15 85104 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-05-09 11:05 . 2010-05-09 11:05 -------- d-----w- c:\programme\Microsoft 2010-05-09 11:05 . 2010-05-09 11:04 -------- d-----w- c:\programme\Windows Live 2010-05-09 11:05 . 2010-05-09 11:05 -------- d-----w- c:\programme\Windows Live SkyDrive 2010-05-09 11:03 . 2010-05-09 11:03 -------- d-----w- c:\programme\Gemeinsame Dateien\Windows Live 2010-05-08 17:01 . 2010-04-04 21:45 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype 2010-05-08 12:10 . 2010-05-08 12:09 -------- d-----w- c:\programme\LG Electronics 2010-05-08 12:09 . 2010-05-08 12:09 -------- d--h--w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\{D94BA408-F110-488B-A65E-3AE7945F79E6} 2010-05-08 12:09 . 2010-05-08 12:09 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\LG Electronics 2010-05-06 09:22 . 2010-05-06 09:22 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\AnvSoft 2010-05-06 09:22 . 2010-05-06 09:22 -------- d-----w- c:\programme\AnvSoft 2010-05-06 08:36 . 2010-04-23 15:18 221568 ------w- c:\windows\system32\MpSigStub.exe 2010-04-29 15:07 . 2010-04-29 15:06 -------- d-----w- c:\programme\QuickTime 2010-04-29 15:06 . 2010-04-09 18:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2010-04-29 15:06 . 2010-04-29 15:06 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple 2010-04-29 15:06 . 2010-04-29 15:06 -------- d-----w- c:\programme\Apple Software Update 2010-04-29 15:06 . 2010-04-29 15:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple 2010-04-29 13:39 . 2010-04-19 13:57 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-29 13:39 . 2010-04-19 13:57 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-29 12:34 . 2010-03-09 22:49 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2010-04-29 12:32 . 2010-04-29 12:33 9464 ------w- c:\windows\system32\drivers\cdralw2k.sys 2010-04-29 12:32 . 2010-04-29 12:33 9336 ------w- c:\windows\system32\drivers\cdr4_xp.sys 2010-04-29 12:32 . 2010-04-29 12:33 43528 ----a-w- c:\windows\system32\drivers\PxHelp20.sys 2010-04-29 12:32 . 2010-04-29 12:33 129784 ------w- c:\windows\system32\pxafs.dll 2010-04-29 12:32 . 2010-04-29 12:33 118520 ------w- c:\windows\system32\pxinsi64.exe 2010-04-29 12:32 . 2010-04-29 12:33 116472 ------w- c:\windows\system32\pxcpyi64.exe 2010-04-25 12:06 . 2010-04-25 12:06 -------- d-----w- c:\programme\AviSynth 2.5 2010-04-23 15:32 . 2010-04-23 15:32 -------- d-----w- c:\programme\MSBuild 2010-04-23 15:32 . 2010-04-23 15:32 -------- d-----w- c:\programme\Reference Assemblies 2010-04-23 15:16 . 2010-04-23 15:16 -------- d-----w- c:\programme\Microsoft Security Essentials 2010-04-19 14:32 . 2010-04-19 14:32 -------- d-----w- c:\programme\MSXML 4.0 2010-04-19 12:32 . 2010-04-19 12:32 -------- d-----w- c:\programme\CCleaner 2010-04-19 10:41 . 2010-04-19 10:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2010-04-19 09:17 . 2010-04-19 09:17 -------- d-----w- c:\programme\Trend Micro 2010-04-14 21:00 . 2010-04-02 19:32 -------- d-----w- c:\programme\XBMC 2010-04-10 14:55 . 2010-04-10 14:55 38976 ----a-w- c:\windows\system32\drivers\pssdk42.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2007-09-19 16844800] "JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864] "36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-08-29 1966080] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-25 13680640] "nwiz"="nwiz.exe" [2008-12-25 1657376] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-25 86016] "DU Meter"="c:\programme\DU Meter\DUMeter.exe" [2006-01-18 1480192] "AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712] "UVS11 Preload"="c:\programme\Ulead Systems\Ulead VideoStudio 11\uvPL.exe" [2007-03-03 341488] "MSSE"="c:\programme\Microsoft Security Essentials\msseces.exe" [2010-02-21 1093208] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-17 421888] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2010-3-16 295606] Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872] noch erledigen.txt [2010-6-9 1153] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc] @="Service" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0] 2006-10-22 22:24 620152 ----a-w- c:\programme\Adobe\Acrobat 8.0\Acrobat\acrotray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] 2009-10-30 11:57 369200 ----a-w- c:\programme\DAEMON Tools Lite\DTLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DU Meter] 2006-01-18 10:48 1480192 ----a-w- c:\programme\DU Meter\DUMeter.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GEST] 2007-12-14 10:46 236040 ----a-w- c:\programme\GIGABYTE\GEST\run.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OrderReminder] 2005-03-18 11:18 98304 ----a-r- c:\programme\Hewlett-Packard\OrderReminder\OrderReminder.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-03-17 19:53 421888 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-02-18 10:43 248040 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "JavaQuickStarterService"=2 (0x2) "GEST Service"=3 (0x3) "DUMeterSvc"=2 (0x2) "UleadBurningHelper"=2 (0x2) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls] odbcasks REG_SZ [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\GIGABYTE\\GEST\\run.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\SmartFTP Client\\SmartFTP.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "c:\\Programme\\VideoLAN\\VLC\\vlc.exe"= "c:\\Programme\\Ubisoft\\Silent Hunter 5\\sh5.exe"= "c:\\Programme\\Electronic Arts\\Battlefield Bad Company 2\\BFBC2Updater.exe"= "c:\\Programme\\Midway Games\\Rise and Fall\\RiseAndFall.exe"= "c:\\Programme\\FlashFXP\\FlashFXP.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\xampplite\\mysql\\bin\\mysqld.exe"= "c:\\xampplite\\apache\\bin\\httpd.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"= 5353:TCP:Adobe CSI CS4 "6355:TCP"= 6355:TCP:loswr R3 CX88xNoIR;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\HCW88vid.sys [08.03.2010 00:59 439032] R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;c:\windows\system32\drivers\HCW88tun.sys [08.03.2010 00:59 143165] R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\HCW88bar.sys [08.03.2010 00:59 23212] R3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\drivers\lgbtport.sys [29.09.2009 08:11 12160] R3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\drivers\lgbtbus.sys [29.09.2009 08:11 10496] R3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\drivers\lgvmodem.sys [29.09.2009 08:11 12928] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [04.05.2010 15:26 136176] S3 PSSDK42;PSSDK42;c:\windows\system32\drivers\pssdk42.sys [10.04.2010 16:55 38976] S3 Razerlow;Razerlow USB Filter Driver;c:\windows\system32\drivers\razerlow.sys [08.03.2010 01:07 7168] S4 GEST Service;GEST Service for program management.;c:\programme\GIGABYTE\GEST\GSvr.exe [08.03.2010 00:04 47624] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [10.03.2010 00:05 691696] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs vcrxirpau sbpvkqc ayuayukh . Inhalt des "geplante Tasks" Ordners 2010-06-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-05-04 13:26] 2010-06-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-05-04 13:26] 2010-06-10 c:\windows\Tasks\MP Scheduled Scan.job - c:\programme\Microsoft Security Essentials\MpCmdRun.exe [2009-12-09 16:02] . . ------- Zusätzlicher Suchlauf ------- . IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\1uwumznu.default\ FF - prefs.js: browser.startup.homepage - hxxp://de.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official FF - plugin: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Facebook\npfbplugin_1_0_3.dll FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-AdobeBridge - (no file) AddRemove-MediaMonkey_is1 - h:\mediamonkey\unins000.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-06-10 22:29 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1409082233-1958367476-839522115-500\Software\Microsoft\Internet Explorer\User Preferences] @Denied: (2) (Administrator) "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,4c,4f,e4,f1,c4,81,57,46,bf,af,68,\ "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,4c,4f,e4,f1,c4,81,57,46,bf,af,68,\ . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(1196) c:\programme\SmartFTP Client\de-DE\sfShellTools.dll.mui c:\windows\system32\ieframe.dll c:\programme\Gemeinsame Dateien\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll c:\windows\system32\webcheck.dll . Zeit der Fertigstellung: 2010-06-10 22:30:49 ComboFix-quarantined-files.txt 2010-06-10 20:30 Vor Suchlauf: 11 Verzeichnis(se), 572.128.763.904 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 572.089.360.384 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - 0EB43D20F3B65772DB315D74EA1A6591 |
10.06.2010, 21:50 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | direkt nach winxp login bauen sich mehrere internetverbindungen auf Werden die Verbindungen in tcpview noch aufgelistet? Wen nicht, wär das schon mal gut, aber durch sind wir noch nicht!! Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter File:: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\qcopjv.dat c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\LocalCopy\{3C67611C-4D6F-5AB9-63D7-7163A1BCF46D}-firefox.exe Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5353:TCP"=- "6355:TCP"=- NetSvc:: vcrxirpau sbpvkqc ayuayukh 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu direkt nach winxp login bauen sich mehrere internetverbindungen auf |
anhang, bauen, bild, blocken, datei, daten, direkt, erwischt, essen, gen, heute, infizierte, infizierte datei, interne, login, malwarebytes, nicht mehr, quarantäne, schei, security, verbindungen, vorgehensweise, windows, windows xp, winxp, wirklich |