Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Datei aus windows/system32/drivers entfernen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.07.2010, 09:59   #1
Kennguru
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Servuz alle zusammen.

Ich benötige mal Hilfe, da meine Selbstversuche so langsam erschöpft sind.

Zu mir:
Ich habe eine IT Ausbildung genossen und mir deshalb erlaubt einige Sachen auszuprobieren, von denen sonst aus Eigenregie abgeraten wird. Bisher wurde mir Recht gegeben, da ich noch nichts zerschrotet habe. Nun bin ich aber so ziemlich am Ende meines Lateins.

Problem:
Am 26. Juni hat sich etwas bei mir eingenistet, was aus irgendeinem Grund durch meine Avira Suite durchgekommen ist. Ob ich einfach auf Enter gehämmert habe oder ob das Ding einen eigenen Mechanismus hatte, weiß ich nicht mehr, spielt aber auch keine Rolle. Seit dem Tag meldet mir die Avira Firewall, dass ich ICMP Flooding habe. Bei genauerem nachschauen habe ich rausgefunden, dass ich hunderte Verbindungen über Port 25 laufen habe. Es sieht also so aus, als wenn ich Spam verschicke.

Bisherige Behandlung:
Ich habe eine Komplettüberprüfung von AntiVir durchlaufen lassen. Der hat ein paar Sachen gefunden und behoben. Danach habe ich mal Spybot Search & Destroy angewendet, auch hier wurde nochwas bereinigt. Runde 3 ging an ComboFix, der mir noch zwei Dateien aus den Anwendungsdaten aufgezeigt und entfernt hat. Danach sieht es schon doppelt so gut aus wie vorher, denn statt 200+ Verbindungen sind es jetzt "nur noch" um die 70.

Noch zu beheben:
Nach Auswertung der ganzen Logs ist mir eine Datei im Verzeichnis windows/system32/drivers aufgefallen namens ymntgf.sys. Beim Googlen zu dieser Datei gibt es kein einziges Ergebnis, was mich glauben lässt, dass die da eigentlich nicht hingehört. Ohne Endung bekommt man ganze 4 Ergebnisse, die aber nicht zu meinem Problem passend aussehen.

Gescheiterte Versuche:
Beim Löschen der Datei bin ich bisher bei allen Versuchen gescheitert. Im laufenden Betrieb geht es logischerweise nicht und auch im Abgesicherten Modus werden die Treiber geladen, so dass ich sie nicht löschen kann. Auch der Messias unter dem Betriebssystemen Linux konnte mir nicht helfen, denn auch meine Knoppix Live CD hatte keine Rechte die Datei zu löschen, nichtmal als root in der Konsole. Und nun gehen mir so langsam die Ideen aus.

Noch offen:
Ich hätte noch ein paar Ideen, die ich bisher aufgeschoben habe.
1. Versuchen die Datei mit ComboFix zu entfernen. Kann mir aber auch nicht vorstellen, dass das geht, da ich das ja aus dem laufenden Windows starte.
2. Die Festplatte an einen anderen PC anschließen und die Datei löschen.
3. Die Holzhammermethode. Windows neu aufsetzen.
Vor allem 2 und 3 will ich natürlich umgehen und bevor ich ComboFix nochmal anrufe, wollte ich hier mal nachhaken, ob ihr nicht eine Idee habt.

Greez Kenni

Alt 08.07.2010, 13:53   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Hallo,

Zitat:
was aus irgendeinem Grund durch meine Avira Suite durchgekommen ist.
Du hast ne IT-Ausbildung, bist Dir aber nicht bewusst, dass kein Virenscanner 100% Sicherheit bieten kann?

Zitat:
3. Die Holzhammermethode. Windows neu aufsetzen.
Ist die sicherste Methode. Sollte man kennen v.a. wenn man eine IT-Ausbildung hat
Da Du Spam verschickst, solltest Du Dich bald ein ein Schreiben Deines Providers einstellen, dass Dir dieser Port gesperrt wird. Und nein, eine Personal Firewall (in Deinem Fall Avira Firewall) hilft hier garnicht, da Dein System bereits befallen ist und auch sonst bösartige Programme die PFW umgehen.


Wenn Du nicht neu aufsetzen willst: bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 08.07.2010, 19:28   #3
Kennguru
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Sorry, dass es so lange gedauert hat, aber habe den Thread vorhin von der Arbeit eröffnet und kann erst jez alles durchführen.

Die Sachen die du ansprichst sind mir wohl bekannt. Mich wundert nur, dass im Verlauf von AntiVir alles dokumentiert ist und das Ding trotzdem durchkam, denn normalerweise klicke ich beim Popup immer auf ablehnen und gut is. Die Firewall nutze ich in diesem Fall auch nur als Indikator, ob der Kram noch läuft. Hier mal die Meldung, vll kannst du ja mehr mit anfangen.

Code:
ATTFilter
Datum/Uhrzeit: 26.06.2010, 16:54:18
Typ: Fund
In der Datei 'D:\WINDOWS\Temp\11.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Alureon.CT.1596' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         
Naja und sämtliche PC Besitzer die ich kenne, haben noch nie nen Glas Sekt aufgemacht, wenn sie formatieren mussten, deswegen will ich das auch möglichst umgehen. Aber wenn mir nix anderes bleibt, steht das ja als allerletzte Option da.

Nun zum wesentlichen:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4292

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

08.07.2010 19:04:58
mbam-log-2010-07-08 (19-04-58).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 226528
Laufzeit: 40 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\WINDOWS\system32\drivers\ymntgf.sys (Backdoor.IEbooot) -> Delete on reboot.
D:\Dokumente und Einstellungen\sag-ich-nicht\Anwendungsdaten\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
         
Meine Vorahnung hat sich ja bei der Datei schonmal bestätigt. Nach dem Neustart sind auch sämtliche Verbindungen über Port 25 nicht mehr aktiv. Allerdings ist die Datei immernoch in dem Verzeichnis und lässt sich auch nicht löschen.

Mal sehen was OTL da jez noch rausholt. Kommt sofort im Anschluss.

Danke erstmal soweit und bis gleich,
Kenni
__________________

Alt 08.07.2010, 19:49   #4
Kennguru
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Zur Info:
Die ping.bat & todo.txt im Autostart sind von mir dort reingesetzt. Das sind KEINE Trojaner. Aus den Dateien der letzten 30 Tage habe ich ein paar Zeilen mit privaten Excel Dateien rausgenommen, die ich nicht unbedingt durch den Äther schicken will.

Code:
ATTFilter
OTL logfile created on: 08.07.2010 19:31:26 - Run 1
OTL by OldTimer - Version 3.2.8.1     Folder = D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000409 | Country: Vereinigte Staaten von Amerika | Language: ENU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 367,00 Mb Available Physical Memory | 36,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 75,00% Paging File free
Paging file location(s): D:\pagefile.sys 1440 2880 [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 20,00 Gb Total Space | 9,44 Gb Free Space | 47,17% Space Free | Partition Type: NTFS
Drive D: | 100,00 Gb Total Space | 66,53 Gb Free Space | 66,53% Space Free | Partition Type: NTFS
Drive E: | 30,00 Gb Total Space | 24,70 Gb Free Space | 82,34% Space Free | Partition Type: NTFS
Drive F: | 82,88 Gb Total Space | 52,16 Gb Free Space | 62,94% Space Free | Partition Type: NTFS
Drive G: | 619,45 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive Z: | 232,88 Gb Total Space | 8,31 Gb Free Space | 3,57% Space Free | Partition Type: NTFS
 
Computer Name: KANN-3E3CB4D467
Current User Name: sag-ich-nicht
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop\OTL.exe (OldTimer Tools)
PRC - D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - D:\Programme\Avira\AntiVir Desktop\avfwsvc.exe (Avira GmbH)
PRC - D:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira GmbH)
PRC - D:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH)
PRC - D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - d:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH)
PRC - D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - D:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - D:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - D:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe (XemiComputers ltd.)
PRC - D:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe ( )
PRC - D:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe ( )
PRC - D:\Programme\Timerle\Timerle.exe (JFSoftware)
PRC - D:\WINDOWS\ATKKBService.exe (ASUSTeK COMPUTER INC.)
PRC - D:\WINDOWS\system32\nvraidservice.exe (NVIDIA Corporation)
PRC - D:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe (Hewlett-Packard Co.)
PRC - D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard)
PRC - D:\Programme\Hewlett-Packard\Digital Imaging\bin\hposts08.exe (Hewlett-Packard Co.)
PRC - D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe (Hewlett-Packard Co.)
PRC - D:\Programme\winRISER\WINRISER.EXE (Andreas Niggemann)
 
 
========== Modules (SafeList) ==========
 
MOD - D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop\OTL.exe (OldTimer Tools)
MOD - D:\WINDOWS\AppPatch\AcGenral.dll (Microsoft Corporation)
MOD - D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
MOD - D:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - D:\WINDOWS\system32\msacm32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirFirewallService) -- D:\Programme\Avira\AntiVir Desktop\avfwsvc.exe (Avira GmbH)
SRV - (AntiVirWebService) -- D:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE (Avira GmbH)
SRV - (AntiVirMailService) -- D:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH)
SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AshampooDefragService) -- D:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe ( )
SRV - (ATKKeyboardService) -- D:\WINDOWS\ATKKBService.exe (ASUSTeK COMPUTER INC.)
SRV - (wuauserv) -- C:\WINDOWS\system32\wuauserv.dll (Microsoft Corporation)
SRV - (UleadBurningHelper) -- D:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.)
SRV - (Pml Driver HPZ12) -- D:\WINDOWS\system32\HPZipm12.exe (HP)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (catchme) -- D:\DOKUME~1\SAG-IC~1\LOKALE~1\Temp\catchme.sys File not found
DRV - (avipbb) -- D:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avfwot) -- D:\WINDOWS\system32\drivers\avfwot.sys (Avira GmbH)
DRV - (avfwim) -- D:\WINDOWS\system32\drivers\avfwim.sys (Avira GmbH)
DRV - (avgntflt) -- D:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (SCREAMINGBDRIVER) -- D:\WINDOWS\system32\drivers\ScreamingBAudio.sys (Screaming Bee LLC)
DRV - (ssmdrv) -- D:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- D:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (AFS2K) -- D:\WINDOWS\System32\drivers\AFS2K.SYS (Oak Technology Inc.)
DRV - (acedrv11) -- D:\WINDOWS\system32\drivers\ACEDRV11.sys (Protect Software GmbH)
DRV - (w200bus) Sony Ericsson W200 driver (WDM) -- D:\WINDOWS\system32\drivers\w200bus.sys (MCCI)
DRV - (si3112r) -- D:\WINDOWS\system32\drivers\si3112r.sys (Silicon Image, Inc)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- D:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (nv) -- D:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (EIO) -- D:\WINDOWS\system32\drivers\EIO.sys (ASUSTeK Computer Inc.)
DRV - (asuskbnt) -- D:\WINDOWS\system32\drivers\atkkbnt.sys (ASUSTeK COMPUTER INC.)
DRV - (nvraid) NVIDIA nForce(tm) -- D:\WINDOWS\system32\DRIVERS\nvraid.sys (NVIDIA Corporation)
DRV - (nvatabus) -- D:\WINDOWS\system32\DRIVERS\nvatabus.sys (NVIDIA Corporation)
DRV - (AmdK8) -- D:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
DRV - (HDAudBus) -- D:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (SiWinAcc) -- D:\WINDOWS\system32\drivers\SiWinAcc.sys (Silicon Image, Inc.)
DRV - (SiFilter) -- D:\WINDOWS\system32\DRIVERS\SiWinAcc.sys (Silicon Image, Inc.)
DRV - (gameenum) -- D:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- D:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- D:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
DRV - (Pcatip) -- D:\WINDOWS\system32\drivers\PcAtip.sys (VSO Software)
DRV - (ms_mpu401) -- D:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation)
DRV - (irsir) -- D:\WINDOWS\system32\drivers\irsir.sys (Microsoft Corporation)
DRV - (STIrUsb) -- D:\WINDOWS\system32\drivers\irstusb.sys (SigmaTel, Inc.)
DRV - (Nsynas32) -- D:\WINDOWS\System32\drivers\NSynas32.sys (Syncrosoft Hard- und Software GmbH)
DRV - (Asapi) -- D:\WINDOWS\System32\drivers\asapi.sys (VOB Computersysteme GmbH)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKCU\..\URLSearchHook: {C12B4EC1-1F65-11D3-91CA-00104B9C4765} - D:\Programme\Copernic 2000 Pro\CopernicFind.dll ()
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "about:blank"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {1dbc4a33-ea62-4330-966c-7bdad3455322}:1.0.6.7
FF - prefs.js..extensions.enabledItems: refspoof@mozdev.org:0.9.5
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Components: D:\Programme\Mozilla Firefox\components [2010.06.28 18:28:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2010.06.28 18:28:54 | 000,000,000 | ---D | M]
 
[2009.07.23 21:27:44 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\sag-ich-nicht\Anwendungsdaten\Mozilla\Extensions
[2010.07.08 00:18:59 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\sag-ich-nicht\Anwendungsdaten\Mozilla\Firefox\Profiles\qmwtpzc4.default\extensions
[2010.02.03 13:33:51 | 000,000,000 | ---D | M] (Remove It Permanently) -- D:\Dokumente und Einstellungen\sag-ich-nicht\Anwendungsdaten\Mozilla\Firefox\Profiles\qmwtpzc4.default\extensions\{1dbc4a33-ea62-4330-966c-7bdad3455322}
[2010.07.07 19:09:15 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- D:\Dokumente und Einstellungen\sag-ich-nicht\Anwendungsdaten\Mozilla\Firefox\Profiles\qmwtpzc4.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.06.25 10:53:18 | 000,000,000 | ---D | M] (Adblock Plus) -- D:\Dokumente und Einstellungen\sag-ich-nicht\Anwendungsdaten\Mozilla\Firefox\Profiles\qmwtpzc4.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.04.30 16:44:08 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\sag-ich-nicht\Anwendungsdaten\Mozilla\Firefox\Profiles\qmwtpzc4.default\extensions\refspoof@mozdev.org
[2009.07.23 21:27:14 | 000,000,000 | ---D | M] -- D:\Programme\Mozilla Firefox\extensions
[2010.03.11 23:05:18 | 000,001,392 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.11 23:05:18 | 000,002,344 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.11 23:05:18 | 000,006,805 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.11 23:05:18 | 000,001,178 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.11 23:05:18 | 000,001,105 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.07.04 11:12:50 | 000,000,027 | ---- | M]) - D:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (FDMIECookiesBHO Class) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Programme\Free Download Manager\iefdm2.dll ()
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] D:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] D:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NVRaidService] D:\WINDOWS\system32\nvraidservice.exe (NVIDIA Corporation)
O4 - HKCU..\Run: [Active Desktop Calendar] D:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe (XemiComputers ltd.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\Run: [Timerle] D:\Programme\Timerle\Timerle.exe (JFSoftware)
O4 - Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ashampoo Magical Defrag.lnk = D:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe ( )
O4 - Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 1000 series.lnk = D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe (Hewlett-Packard Co.)
O4 - Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk = D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard)
O4 - Startup: D:\Dokumente und Einstellungen\sag-ich-nicht\Startmenü\Programme\Autostart\ping.bat ()
O4 - Startup: D:\Dokumente und Einstellungen\sag-ich-nicht\Startmenü\Programme\Autostart\todo.txt ()
O4 - Startup: D:\Dokumente und Einstellungen\sag-ich-nicht\Startmenü\Programme\Autostart\WINRISER.lnk = D:\Programme\winRISER\WINRISER.EXE (Andreas Niggemann)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Alles mit FDM herunterladen - D:\Programme\Free Download Manager\dlall.htm ()
O8 - Extra context menu item: Auswahl mit FDM herunterladen - D:\Programme\Free Download Manager\dlselected.htm ()
O8 - Extra context menu item: Datei mit FDM herunterladen - D:\Programme\Free Download Manager\dllink.htm ()
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - D:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Search Using Copernic - D:\Programme\Copernic 2000 Pro\Search Extension.htm ()
O8 - Extra context menu item: Videos mit FDM herunterladen - D:\Programme\Free Download Manager\dlfvideo.htm ()
O9 - Extra 'Tools' menuitem : Launch Copernic - {2A465934-E5F0-11D2-91B5-00104B9C4765} - D:\Programme\Copernic 2000 Pro\Copernic.exe ()
O9 - Extra Button: Copernic - {2A465936-E5F0-11D2-91B5-00104B9C4765} - D:\Programme\Copernic 2000 Pro\Copernic.exe ()
O9 - Extra Button: Translate - {99EFB53C-C965-43CF-9F45-52242D134187} - D:\Programme\Copernic 2000 Pro\Translate.htm ()
O9 - Extra 'Tools' menuitem : &Translate Using Gist-In-Time - {99EFB53C-C965-43CF-9F45-52242D134187} - D:\Programme\Copernic 2000 Pro\Translate.htm ()
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - D:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - D:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - D:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: D:\Dokumente und Einstellungen\sag-ich-nicht\Anwendungsdaten\XemiComputers\Active Desktop Calendar\Desktop\Active Desktop Calendar.bmp
O24 - Desktop BackupWallPaper: D:\Dokumente und Einstellungen\sag-ich-nicht\Anwendungsdaten\XemiComputers\Active Desktop Calendar\Desktop\Active Desktop Calendar.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.04.17 20:21:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2000.01.26 10:41:54 | 000,000,040 | R--- | M] () - G:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.08 19:30:00 | 000,574,976 | ---- | C] (OldTimer Tools) -- D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop\OTL.exe
[2010.07.08 18:18:21 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\sag-ich-nicht\Anwendungsdaten\Malwarebytes
[2010.07.08 18:18:15 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- D:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.07.08 18:18:12 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- D:\WINDOWS\System32\drivers\mbam.sys
[2010.07.08 18:18:12 | 000,000,000 | ---D | C] -- D:\Programme\Malwarebytes' Anti-Malware
[2010.07.08 18:18:12 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.08 18:17:45 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop\mbam-setup.exe
[2010.07.08 00:14:51 | 000,000,000 | -HSD | C] -- D:\RECYCLER
[2010.07.04 20:40:06 | 000,000,000 | ---D | C] -- E:\tp
[2010.07.04 10:41:18 | 000,000,000 | ---D | C] -- D:\WINDOWS\ERDNT
[2010.07.04 10:39:52 | 000,000,000 | ---D | C] -- D:\Qoobox
[2010.07.04 00:36:19 | 000,311,296 | ---- | C] (Koyote Soft - hxxp://www.koyotesoft.com) -- D:\WINDOWS\System32\TubeFinder.exe.weg
[2010.07.04 00:36:16 | 000,141,312 | ---- | C] (Microsoft Corporation) -- D:\WINDOWS\System32\MSCMCFR.DLL
[2010.07.04 00:36:16 | 000,119,568 | ---- | C] (Microsoft Corporation) -- D:\WINDOWS\System32\VB6FR.DLL
[2010.07.04 00:36:16 | 000,084,512 | ---- | C] (Microsoft Corporation) -- D:\WINDOWS\System32\PICCLP32.OCX
[2010.07.04 00:36:16 | 000,009,728 | ---- | C] (Microsoft Corporation) -- D:\WINDOWS\System32\PCCLPFR.DLL
[2010.07.04 00:36:15 | 000,032,768 | ---- | C] (Microsoft Corporation) -- D:\WINDOWS\System32\CMDLGFR.DLL
[2010.07.04 00:36:15 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\sag-ich-nicht\Anwendungsdaten\FreeFLVConverter
[2010.07.04 00:36:15 | 000,000,000 | ---D | C] -- D:\Programme\Free FLV Converter
[2010.07.03 23:27:34 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2010.07.03 23:27:31 | 000,000,000 | ---D | C] -- D:\Programme\Security Task Manager
[2010.06.30 00:26:25 | 000,000,000 | ---D | C] -- D:\Programme\Spybot - Search & Destroy
[2010.06.30 00:26:25 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2010.06.26 17:17:34 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Avira
[3 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
[1 D:\WINDOWS\System32\*.tmp files -> D:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.08 19:34:25 | 000,772,096 | ---- | M] () -- D:\WINDOWS\System32\drivers\ymntgf.sys
[2010.07.08 19:30:03 | 000,574,976 | ---- | M] (OldTimer Tools) -- D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop\OTL.exe
[2010.07.08 19:08:14 | 000,039,472 | ---- | M] () -- D:\WINDOWS\System32\nvapps.xml
[2010.07.08 19:08:09 | 000,000,006 | -H-- | M] () -- D:\WINDOWS\tasks\SA.DAT
[2010.07.08 19:08:07 | 000,002,048 | --S- | M] () -- D:\WINDOWS\bootstat.dat
[2010.07.08 19:07:27 | 018,087,936 | -H-- | M] () -- D:\Dokumente und Einstellungen\sag-ich-nicht\NTUSER.DAT
[2010.07.08 19:07:20 | 000,000,300 | -HS- | M] () -- D:\Dokumente und Einstellungen\sag-ich-nicht\ntuser.ini
[2010.07.08 18:18:17 | 000,000,682 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.08 18:17:45 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop\mbam-setup.exe
[2010.07.08 00:26:12 | 000,000,869 | ---- | M] () -- D:\WINDOWS\win.ini
[2010.07.08 00:26:12 | 000,000,227 | ---- | M] () -- D:\WINDOWS\system.ini
[2010.07.06 19:54:49 | 000,002,206 | ---- | M] () -- D:\WINDOWS\System32\wpa.dbl
[2010.07.04 20:45:58 | 000,000,049 | ---- | M] () -- D:\WINDOWS\NeroDigital.ini
[2010.07.04 11:12:50 | 000,000,027 | ---- | M] () -- D:\WINDOWS\System32\drivers\etc\hosts
[2010.07.04 10:39:20 | 003,726,344 | R--- | M] () -- D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop\ComboFix.exe
[2010.07.04 00:41:43 | 000,000,067 | ---- | M] () -- D:\WINDOWS\My Video Converter.INI
[2010.07.04 00:36:21 | 000,000,770 | ---- | M] () -- D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop\Free FLV Converter.lnk
[2010.06.30 00:26:32 | 000,000,911 | ---- | M] () -- D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop\Spybot - Search & Destroy.lnk
[3 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]
[1 D:\WINDOWS\System32\*.tmp files -> D:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.08 18:18:17 | 000,000,682 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.08 00:26:08 | 000,001,967 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ashampoo Magical Defrag.lnk
[2010.07.08 00:26:08 | 000,000,751 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk
[2010.07.08 00:26:08 | 000,000,751 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 1000 series.lnk
[2010.07.08 00:26:08 | 000,000,672 | ---- | C] () -- D:\Dokumente und Einstellungen\sag-ich-nicht\Startmenü\Programme\Autostart\WINRISER.lnk
[2010.07.08 00:26:08 | 000,000,044 | ---- | C] () -- D:\Dokumente und Einstellungen\sag-ich-nicht\Startmenü\Programme\Autostart\ping.bat
[2010.07.04 10:39:11 | 003,726,344 | R--- | C] () -- D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop\ComboFix.exe
[2010.07.04 00:36:21 | 000,000,770 | ---- | C] () -- D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop\Free FLV Converter.lnk
[2010.07.04 00:36:16 | 000,364,544 | ---- | C] () -- D:\WINDOWS\System32\PropertyGrid.ocx
[2010.07.04 00:36:16 | 000,208,500 | ---- | C] () -- D:\WINDOWS\System32\ReyXpBasics.tlb
[2010.07.04 00:36:16 | 000,024,576 | ---- | C] () -- D:\WINDOWS\System32\ControlSubX.ocx
[2010.06.30 00:26:32 | 000,000,911 | ---- | C] () -- D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop\Spybot - Search & Destroy.lnk
[2010.06.26 16:54:59 | 000,772,096 | ---- | C] () -- D:\WINDOWS\System32\drivers\ymntgf.sys
[2010.03.23 00:43:05 | 000,000,000 | ---- | C] () -- D:\WINDOWS\Editor.INI
[2009.11.27 01:09:27 | 000,000,118 | ---- | C] () -- D:\WINDOWS\GPM2MICP.INI
[2009.10.18 18:19:33 | 000,554,496 | ---- | C] () -- D:\WINDOWS\System32\dvmsg.dll
[2009.03.30 18:59:22 | 000,091,648 | ---- | C] () -- D:\WINDOWS\System32\Mros416.dll
[2009.02.27 14:05:10 | 000,000,986 | ---- | C] () -- D:\WINDOWS\Aeditor.INI
[2009.02.27 14:04:12 | 000,000,370 | ---- | C] () -- D:\WINDOWS\ULEAD32.INI
[2009.02.27 13:57:16 | 000,000,087 | ---- | C] () -- D:\WINDOWS\dswplug.ini
[2009.02.27 13:57:10 | 000,073,728 | ---- | C] () -- D:\WINDOWS\System32\mplaw7.dll
[2009.02.27 13:57:10 | 000,073,728 | ---- | C] () -- D:\WINDOWS\System32\mplaa6.dll
[2009.02.27 13:57:10 | 000,061,440 | ---- | C] () -- D:\WINDOWS\System32\mplam6.dll
[2009.02.27 13:57:10 | 000,019,968 | ---- | C] () -- D:\WINDOWS\System32\cpuinf32.dll
[2008.12.05 23:32:26 | 000,136,448 | ---- | C] () -- D:\WINDOWS\RMTOOLS.DLL
[2008.11.26 21:41:32 | 000,221,184 | ---- | C] () -- D:\WINDOWS\System32\lame_enc.dll
[2008.09.04 18:42:25 | 000,000,067 | ---- | C] () -- D:\WINDOWS\My Video Converter.INI
[2008.09.04 18:29:39 | 000,000,049 | ---- | C] () -- D:\WINDOWS\NeroDigital.ini
[2008.08.11 21:33:53 | 000,020,480 | ---- | C] () -- D:\WINDOWS\System32\gksl_ger.dll
[2008.07.10 08:31:27 | 000,000,709 | ---- | C] () -- D:\WINDOWS\elysee.ini
[2008.05.13 16:43:16 | 000,580,114 | ---- | C] () -- D:\WINDOWS\System32\x264vfw.dll
[2008.05.02 22:41:42 | 000,000,000 | ---- | C] () -- D:\WINDOWS\iSnooker.INI
[2008.04.24 16:25:37 | 000,561,152 | R--- | C] () -- D:\WINDOWS\System32\hpotscl.dll
[2008.04.19 09:50:41 | 000,000,400 | ---- | C] () -- D:\WINDOWS\ODBC.INI
[2008.04.18 16:46:21 | 000,000,000 | ---- | C] () -- D:\WINDOWS\PROTOCOL.INI
[2008.04.17 21:39:41 | 000,046,592 | ---- | C] () -- D:\WINDOWS\System32\asfrench.dll
[2008.04.17 21:39:41 | 000,046,080 | ---- | C] () -- D:\WINDOWS\System32\asrussian.dll
[2008.04.17 21:39:41 | 000,046,080 | ---- | C] () -- D:\WINDOWS\System32\asgerman.dll
[2008.04.17 21:39:41 | 000,046,080 | ---- | C] () -- D:\WINDOWS\System32\aseng.dll
[2008.04.17 21:39:41 | 000,045,568 | ---- | C] () -- D:\WINDOWS\System32\askorean.dll
[2008.04.17 21:39:41 | 000,045,568 | ---- | C] () -- D:\WINDOWS\System32\asjapan.dll
[2008.04.17 21:39:41 | 000,045,568 | ---- | C] () -- D:\WINDOWS\System32\ASCHT.dll
[2008.04.17 21:39:41 | 000,045,568 | ---- | C] () -- D:\WINDOWS\System32\aschs.dll
[2008.04.17 21:39:41 | 000,010,496 | ---- | C] () -- D:\WINDOWS\System32\ATKOSDMini.DLL
[2008.04.17 21:39:41 | 000,000,018 | ---- | C] () -- D:\WINDOWS\System32\atkid.ini
[2008.04.17 21:17:02 | 000,004,412 | ---- | C] () -- D:\WINDOWS\Ascd_tmp.ini
[2008.04.17 21:17:01 | 000,005,824 | ---- | C] () -- D:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2006.05.22 13:47:24 | 000,008,704 | ---- | C] () -- D:\WINDOWS\System32\ff_vfw.dll
[2006.05.21 23:56:42 | 000,000,547 | ---- | C] () -- D:\WINDOWS\System32\ff_vfw.dll.manifest
[2005.10.10 15:49:00 | 001,662,976 | ---- | C] () -- D:\WINDOWS\System32\nvwdmcpl.dll
[2005.10.10 15:49:00 | 001,466,368 | ---- | C] () -- D:\WINDOWS\System32\nview.dll
[2005.10.10 15:49:00 | 001,019,904 | ---- | C] () -- D:\WINDOWS\System32\nvwimg.dll
[2005.10.10 15:49:00 | 000,573,440 | ---- | C] () -- D:\WINDOWS\System32\nvhwvid.dll
[2005.10.10 15:49:00 | 000,466,944 | ---- | C] () -- D:\WINDOWS\System32\nvshell.dll
[2005.10.10 15:49:00 | 000,286,720 | ---- | C] () -- D:\WINDOWS\System32\nvnt4cpl.dll
[2005.10.10 15:49:00 | 000,090,112 | ---- | C] () -- D:\WINDOWS\System32\nvapi.dll
[2004.08.04 14:00:00 | 000,081,920 | ---- | C] () -- D:\WINDOWS\System32\ieencode.dll
[2004.08.04 14:00:00 | 000,027,440 | ---- | C] () -- D:\WINDOWS\System32\drivers\secdrv.sys
< End of report >
         
-edit-

Zweites Logfile gefunden:

Code:
ATTFilter
OTL Extras logfile created on: 08.07.2010 19:31:26 - Run 1
OTL by OldTimer - Version 3.2.8.1     Folder = D:\Dokumente und Einstellungen\sag-ich-nicht\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000409 | Country: Vereinigte Staaten von Amerika | Language: ENU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 367,00 Mb Available Physical Memory | 36,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 75,00% Paging File free
Paging file location(s): D:\pagefile.sys 1440 2880 [binary data]
 
%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme
Drive C: | 20,00 Gb Total Space | 9,44 Gb Free Space | 47,17% Space Free | Partition Type: NTFS
Drive D: | 100,00 Gb Total Space | 66,53 Gb Free Space | 66,53% Space Free | Partition Type: NTFS
Drive E: | 30,00 Gb Total Space | 24,70 Gb Free Space | 82,34% Space Free | Partition Type: NTFS
Drive F: | 82,88 Gb Total Space | 52,16 Gb Free Space | 62,94% Space Free | Partition Type: NTFS
Drive G: | 619,45 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive Z: | 232,88 Gb Total Space | 8,31 Gb Free Space | 3,57% Space Free | Partition Type: NTFS
 
Computer Name: KANN-3E3CB4D467
Current User Name: sag-ich-nicht
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "D:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDBrowse] -- D:\Programme\ACDSee32\ACDSee32.exe "%1" (ACD Systems, Ltd.)
Directory [AddToPlaylistVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "D:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "D:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "D:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Programme\uTorrent\uTorrent.exe" = D:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{1733273F-0C04-44E1-A089-E0F0684AC9C2}_is1" = QIP Infium psYNovA-Edition
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 12
"{315ACD04-BCEB-478B-9B1D-5431D0E6CB11}" = ASUS Enhanced Display Driver
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{490BF87E-1F75-4453-BF55-9F540543A3CA}" = Steinberg Drum Loop Expansion 01
"{4A19D6AC-ADE0-4A07-80FF-9C9812C45557}" = Steinberg Cubase 5
"{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"{4D454CF8-12FD-464D-B57B-B46FE27B78BB}" = Steinberg LoopMash Content
"{532B917B-8235-4FA5-BE36-643A8BB053A5}" = Steinberg REVerence Content 01
"{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}" = HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber 
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7C459192-BBB7-446C-9DC8-E502E02FEB51}_is1" = Timerle 1.04
"{865D9ED1-EAC2-436D-AFA7-0B750EB5AAAB}" = Steinberg HALionOne Studio Drum Set
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{97C0EA4A-1A0B-4C53-ACEB-49984DA79C90}" = Google Earth
"{9867A917-5D17-40DE-83BA-BEA5293194B1}" = HP Foto- und Bildbearbeitung 2.0 - All-in-One
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A25A7B10-75EA-4208-AAF1-0E3841C444F1}" = MorphVOX Pro
"{A6E71574-2126-4E95-816E-32B2411C94BA}" = Ulead MediaStudio Pro 8.0
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{AC997F93-0757-4ED4-A701-F40C2D654D09}" = Steinberg HALionOne GM Drum Set
"{B35D2D20-3514-11D1-89A7-00C06D1645B0}" = Copernic 2000 Pro
"{B376402D-58EA-45EA-BD50-DD924EB67A70}" = HP Speicher-Disc
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BD86F1AC-B594-46E4-85DC-1258AC9E2232}" = Steinberg Groove Agent ONE Content
"{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver
"{C900EF06-2E76-49C7-8DB0-41F629B21DC5}" = hp psc 1200 series
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{D23CBFDA-C46B-4920-BA70-FC7878A3F05A}" = Steinberg HALionOne Studio Set
"{D82CDA0D-C182-42C8-8FF2-5649C98D6003}" = Steinberg HALionOne Pro Set
"{E22AD5D3-EB60-4A8F-835C-6C10E369DCE2}" = Steinberg HALionOne Expression Set
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9 Series
"{E4961DB6-A3F3-11D3-BE67-0000B4A81FC5}" = Grand Prix 3
"{E70E7159-93B1-470D-9FBD-D8E9EF34B538}" = Steinberg HALionOne
"{EA8F701F-DA03-4A66-9950-7F24A16EA8B7}" = Microsoft Mike+Mary Speech Pack
"{F057965A-D974-4C64-ADB1-4381CD4B8956}" = Steinberg HALionOne GM Set
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F3AFD063-8BAD-485E-B641-E7F5A2C5AE71}" = Steinberg HALionOne Additional Content Set 01
"ACDSee 32" = ACDSee 32
"Active Desktop Calendar" = Active Desktop Calendar
"Active Desktop Calendar_is1" = Active Desktop Calendar 7.46
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Advanced MP3/WMA Recorder 4.5" = Advanced MP3/WMA Recorder 4.5
"ANSTOSS 3_is1" = ANSTOSS 3
"ASAPI Update" = ASAPI Update
"Ashampoo Magical Defrag" = Ashampoo Magical Defrag
"ASIO4ALL" = ASIO4ALL
"AtomixMP3 v2.1.1" = AtomixMP3 v2.1.1
"Audacity_is1" = Audacity 1.2.6
"Avira AntiVir Desktop" = Avira Premium Security Suite
"BAHN381r1_is1" = BAHN 3.81r1
"BlindWrite Suite_is1" = BlindWrite suite
"Blitzkrieg" = Blitzkrieg Anthology: Blitzkrieg
"Chicken Invaders 3_is1" = Chicken Invaders 3
"Chicken Invaders: Revenge of the Yolk (Christmas Edition)_is1" = Chicken Invaders: Revenge of the Yolk (Christmas Edition) v3.20
"dBpowerAMP Music Converter" = dBpowerAMP Music Converter
"dMC Power Pack" = dMC Power Pack
"Easy Video Splitter_is1" = Easy Video Splitter 1.28
"ffdshow" = ffdshow
"FileZilla Client" = FileZilla Client 3.0.11
"FL Studio 9" = FL Studio 9
"Free Download Manager_is1" = Free Download Manager 2.5
"Free FLV Converter_is1" = Free FLV Converter V 6.8.0
"Hardcore" = Hardcore
"HijackThis" = HijackThis 1.99.1
"HP PSC 1200 Series" = HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series
"IL Download Manager" = IL Download Manager
"InstallShield_{3C3B2C97-0DAB-482F-9C95-6610827210E3}" = ASUS nVIDIA Driver
"InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"iSnooker" = iSnooker
"LigaPro 1.09 -  FußballManagerSpiel  VOLLVERSION" = LigaPro 1.09 -  FußballManagerSpiel  VOLLVERSION
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Mozilla Firefox (3.6.6)" = Mozilla Firefox (3.6.6)
"My Video Converter_is1" = My Video Converter 1.2.32
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"NVIDIA Drivers" = NVIDIA Drivers
"PoiZone" = PoiZone
"ProtectDisc Driver 11" = ProtectDisc Driver, Version 11
"QIP Infium_is1" = QIP Infium 2.0.9020 RC3
"Reason4_is1" = Reason 4.0
"Red Alert 2" = Command & Conquer Alarmstufe Rot 2
"reFX Nexus_is1" = reFX Nexus VSTi RTAS v2.2.0
"RTL Racing Team Manager" = RTL Racing Team Manager
"Sakura" = Sakura
"Sawer" = Sawer
"Security Task Manager" = Security Task Manager 1.7h
"SHOUTcastDSP" = SHOUTcast Source DSP 1.9.1 (remove only)
"ST6UNST #1" = Digitaler Zufallswürfel
"Steinberg Cubase VST 32 5.0r6" = Steinberg Cubase VST 32 5.0r6
"Steinberg Magneto VST v1.5" = Steinberg Magneto VST v1.5
"Steinberg WaveLab v4.00c" = Steinberg WaveLab v4.00c
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"TEW2005" = TEW2005
"Toxic Biohazard" = Toxic Biohazard
"Trickshot" = Trickshot
"TVUPlayer" = TVUPlayer 2.4.5.1
"Virtual DJ - Atomix Productions" = Virtual DJ - Atomix Productions
"VLC media player" = VLC media player 1.0.1
"Winamp" = Winamp
"Windows Media Encoder 9" = Windows Media Encoder 9 Series
"WinRAR archiver" = WinRAR
"x264 Revision 531 x264.nl" = x264 Revision 531 x264.nl (remove only)
"Yuri's Revenge" = Command && Conquer Alarmstufe Rot 2 - Yuris Rache
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"uTorrent" = µTorrent
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 12.05.2010 18:03:26 | Computer Name = KANN-3E3CB4D467 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung EXCEL.EXE, Version 10.0.2614.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 23.05.2010 11:23:10 | Computer Name = KANN-3E3CB4D467 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OUTLOOK.EXE, Version 10.0.2616.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 29.05.2010 10:54:11 | Computer Name = KANN-3E3CB4D467 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung winamp.exe, Version 5.5.3.1938, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 29.05.2010 12:14:48 | Computer Name = KANN-3E3CB4D467 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung winamp.exe, Version 5.5.3.1938, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 03.06.2010 7:48:08 | Computer Name = KANN-3E3CB4D467 | Source = Avira Firewall | ID = 0
Description = Fehler beim Erstellen KDrvLogger::_StartThread
 
Error - 06.06.2010 6:48:47 | Computer Name = KANN-3E3CB4D467 | Source = Avira Firewall | ID = 0
Description = Fehler beim Erstellen KDrvLogger::_StartThread
 
Error - 12.06.2010 19:04:53 | Computer Name = KANN-3E3CB4D467 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung winamp.exe, Version 5.5.3.1938, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 26.06.2010 10:54:17 | Computer Name = KANN-3E3CB4D467 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 6.0.2900.2180, fehlgeschlagenes
 Modul iexplore.exe, Version 6.0.2900.2180, Fehleradresse 0x00006472.
 
Error - 26.06.2010 10:58:50 | Computer Name = KANN-3E3CB4D467 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Die Serververbindung wurde aufgrund eines Fehlers
 beendet.  .
 
Error - 26.06.2010 10:58:51 | Computer Name = KANN-3E3CB4D467 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
[ System Events ]
Error - 07.07.2010 13:43:33 | Computer Name = KANN-3E3CB4D467 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 07.07.2010 17:07:56 | Computer Name = KANN-3E3CB4D467 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 07.07.2010 17:09:35 | Computer Name = KANN-3E3CB4D467 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 07.07.2010 17:09:35 | Computer Name = KANN-3E3CB4D467 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 07.07.2010 17:09:35 | Computer Name = KANN-3E3CB4D467 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 07.07.2010 17:09:35 | Computer Name = KANN-3E3CB4D467 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  AmdK8  asuskbnt  avfwot  avgio  avipbb  Fips  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  ssmdrv  Tcpip
WS2IFSL
 
Error - 07.07.2010 17:11:54 | Computer Name = KANN-3E3CB4D467 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 07.07.2010 18:06:31 | Computer Name = KANN-3E3CB4D467 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 07.07.2010 18:07:11 | Computer Name = KANN-3E3CB4D467 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 08.07.2010 13:08:44 | Computer Name = KANN-3E3CB4D467 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   nvraid
 
 
< End of report >
         
Greez Kenni

Geändert von Kennguru (08.07.2010 um 19:59 Uhr)

Alt 08.07.2010, 22:28   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Ich seh die Datei auch via OTL. Aber was soll das:

Zitat:
[2010.07.04 10:39:52 | 000,000,000 | ---D | C] -- D:\Qoobox
Ich dachte Du wolltest Combofix nicht ausführen? Warum postest Du nicht das Log davon wenn Du es doch schon getan hast?

__________________
Logs bitte immer in CODE-Tags posten

Alt 08.07.2010, 23:08   #6
Shadow
/// Mr. Schatten
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Zitat:
Zitat von Kennguru Beitrag anzeigen
denn auch meine Knoppix Live CD hatte keine Rechte die Datei zu löschen, nichtmal als root in der Konsole.
Da würde mich durchaus mal die Fehlermeldung interessieren.

Welches Datum (Änderungs- und Erstelldatum) hat denn die ymntgf.sys, welche Größe (und bleibt die Größe gleich?) und was sagt sie via ihre rechte Maustaste als Eigenschaften (Details) von sich selber?

Warum hat ein "IT-Ausgebildeter" nur XP SP2 und IE6?
War wohl keine so wirklich erfolgreiche Ausbildung oder gibt es andere Gründe?
__________________
--> Datei aus windows/system32/drivers entfernen

Alt 08.07.2010, 23:39   #7
Kennguru
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Zitat:
Zitat von cosinus Beitrag anzeigen
Ich dachte Du wolltest Combofix nicht ausführen? Warum postest Du nicht das Log davon wenn Du es doch schon getan hast?
Im Ausgangspost habe ich doch geschrieben, dass ich mit ComboFix schon was wegbekommen habe. Wenn ich auf das Datum gucke, dann war das vor ziemlich genau 4 Tagen.

Hier das Log.

Code:
ATTFilter
ComboFix 10-07-03.06 - sag-ich-nicht 04.07.2010  11:08:45.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1023.544 [GMT 2:00]
ausgeführt von:: d:\dokumente und einstellungen\sag-ich-nicht\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: d:\dokumente und einstellungen\sag-ich-nicht\Desktop\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {11638345-E4FC-4BEE-BB73-EC754659C5F6}
FW: Avira FireWall *enabled* {11638345-E4FC-4BEE-BB73-EC754659C5F6}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
"d:\dokumente und einstellungen\LocalService\Anwendungsdaten\qcopjv.dat"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\dokumente und einstellungen\LocalService\Anwendungsdaten\qcopjv.dat

.
(((((((((((((((((((((((   Dateien erstellt von 2010-06-04 bis 2010-07-04  ))))))))))))))))))))))))))))))
.

2010-07-03 22:36 . 2010-06-01 16:39	311296	----a-w-	d:\windows\system32\TubeFinder.exe
2010-07-03 22:36 . 2009-06-19 17:51	9728	----a-w-	d:\windows\system32\PCCLPFR.DLL
2010-07-03 22:36 . 2009-06-19 17:51	141312	----a-w-	d:\windows\system32\MSCMCFR.DLL
2010-07-03 22:36 . 2009-06-19 17:51	119568	----a-w-	d:\windows\system32\VB6FR.DLL
2010-07-03 22:36 . 2010-07-03 22:36	--------	d-----w-	d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\FreeFLVConverter
2010-07-03 22:36 . 2010-07-03 22:36	--------	d-----w-	d:\programme\Free FLV Converter
2010-07-03 22:36 . 2009-06-19 17:51	32768	----a-w-	d:\windows\system32\CMDLGFR.DLL
2010-06-29 22:26 . 2010-06-30 06:33	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-06-29 22:26 . 2010-06-29 22:28	--------	d-----w-	d:\programme\Spybot - Search & Destroy
2010-06-26 15:17 . 2010-06-26 15:17	--------	d-----w-	d:\dokumente und einstellungen\LocalService\Anwendungsdaten\Avira
2010-06-26 14:54 . 2010-07-04 09:13	772096	----a-w-	d:\windows\system32\drivers\ymntgf.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-04 08:14 . 2010-07-03 21:27	--------	d-----w-	d:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2010-07-04 01:10 . 2009-08-02 13:06	--------	d-----w-	d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\vlc
2010-07-03 22:31 . 2009-09-30 13:19	--------	d-----w-	d:\programme\JDownloader 0.87
2010-06-30 19:17 . 2008-09-03 19:34	--------	d-----w-	d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\FileZilla
2010-06-26 13:26 . 2010-01-03 14:11	--------	d-----w-	d:\programme\TeamSpeak 3 Client
2010-06-19 20:25 . 2008-07-09 10:03	--------	d-----w-	d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\dvdcss
2010-06-07 22:00 . 2008-04-18 15:10	--------	d-----w-	d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\uTorrent
2010-05-08 12:10 . 2004-08-04 12:00	75194	----a-w-	d:\windows\system32\perfc007.dat
2010-05-08 12:10 . 2004-08-04 12:00	415800	----a-w-	d:\windows\system32\perfh007.dat
2010-05-06 15:24 . 2010-05-06 15:21	19554	----a-w-	d:\windows\hpoins01.dat
2010-04-05 11:11 . 2010-04-05 11:11	146	----a-w-	d:\dokumente und einstellungen\sag-ich-nicht\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-10-20 05:41 . 2008-07-18 11:06	108336	----a-w-	d:\programme\mswinsck.ocx
2004-08-04 12:00 . 2004-08-04 12:00	16534738	--sh--w-	d:\programme\infium.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Timerle"="d:\programme\Timerle\Timerle.exe" [2006-02-19 160899]
"Active Desktop Calendar"="d:\programme\XemiComputers\Active Desktop Calendar\ADC.exe" [2008-03-27 3723264]
"SpybotSD TeaTimer"="d:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 16143872]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2005-12-14 7323648]
"NVRaidService"="d:\windows\system32\nvraidservice.exe" [2005-07-27 126464]
"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2005-12-14 86016]
"avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-24 282792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

d:\dokumente und einstellungen\sag-ich-nicht\Startmen\Programme\Autostart\
ping.bat [2008-5-6 44]
todo.txt [2010-6-5 169]
WINRISER.lnk - d:\programme\winRISER\WINRISER.EXE [2009-3-25 230400]

d:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Ashampoo Magical Defrag.lnk - d:\programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe [2008-4-19 4112497]
hp psc 1000 series.lnk - d:\programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-4-9 147456]
hpoddt01.exe.lnk - d:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-9 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"QuickTime Task"="d:\programme\QuickTime\qttask.exe" -atboottime

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\uTorrent\\uTorrent.exe"=

R0 si3112r;Silicon Image SiI 3512 SATARaid Controller;d:\windows\system32\drivers\SI3112r.sys [17.04.2008 21:34 102400]
R0 SiWinAcc;SiWinAcc;d:\windows\system32\drivers\SiWinAcc.sys [17.04.2008 21:34 10368]
R1 Asapi;Asapi;d:\windows\system32\drivers\asapi.sys [09.05.2008 18:10 10240]
R1 avfwot;avfwot;d:\windows\system32\drivers\avfwot.sys [22.03.2009 13:12 102856]
R2 acedrv11;acedrv11;d:\windows\system32\drivers\ACEDRV11.sys [23.01.2008 10:19 501560]
R2 AntiVirFirewallService;Avira Firewall;d:\programme\Avira\AntiVir Desktop\avfwsvc.exe [22.03.2009 13:12 536232]
R2 AntiVirMailService;Avira AntiVir MailGuard;d:\programme\Avira\AntiVir Desktop\avmailc.exe [22.03.2009 13:12 337064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [22.03.2009 13:12 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;d:\programme\Avira\AntiVir Desktop\avwebgrd.exe [22.03.2009 13:12 405672]
R3 avfwim;AvFw Packet Filter Miniport;d:\windows\system32\drivers\avfwim.sys [22.03.2009 13:12 79432]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;d:\windows\system32\drivers\ScreamingBAudio.sys [26.11.2009 1:06 34384]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - ymntgf

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D0024F10-D307-B008-D2D0-EAB0A030D4AA}]
2004-08-04 12:00	16534738	--sh--w-	d:\programme\infium.exe
.
Inhalt des "geplante Tasks" Ordners

2010-06-06 d:\windows\Tasks\FRU Task 2003-04-10 00:56ewlett-Packard2003-04-10 00:56p psc 1200 series272A572217594EBCF1CEE215E352B92AD073FDE4273159453.job
- d:\programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe [2003-04-09 15:56]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mSearch Bar = d:\programme\Copernic 2000 Pro\Search Bar.htm
uInternet Connection Wizard,ShellNext = hxxp://www.avira.de/premium-aktivierung
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Alles mit FDM herunterladen - file://d:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://d:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://d:\programme\Free Download Manager\dllink.htm
IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Search Using Copernic - file://d:\programme\Copernic 2000 Pro\Search Extension.htm
IE: Videos mit FDM herunterladen - file://d:\programme\Free Download Manager\dlfvideo.htm
LSP: d:\programme\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\Mozilla\Firefox\Profiles\qmwtpzc4.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:blank
FF - component: d:\dokumente und einstellungen\sag-ich-nicht\Anwendungsdaten\Mozilla\Firefox\Profiles\qmwtpzc4.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

---- FIREFOX Richtlinien ----
d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-04 11:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ymntgf]

.
Zeit der Fertigstellung: 2010-07-04  11:14:24
ComboFix-quarantined-files.txt  2010-07-04 09:14
ComboFix2.txt  2010-07-04 08:50

Vor Suchlauf: 7 Verzeichnis(se), 70.081.921.024 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 70.067.982.336 Bytes frei

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - F566256914B062217B2B4F45BFF6BB87
         
@Shadow
An den genauen Wortlaut kann ich mich nicht mehr erinnern, müsste ich nochmal reproduzieren. Müsste aber sowas wie "Keine Schreibrechte auf dem Datenträger" gewesen sein. Wie immer die das auch formulieren. Habe nie behauptet, dass ich ne besondere Leuchte bin, wollte damit nur erklären, warum ich ComboFix & Co auf eigene Faust schon versucht habe.

ymntgf.sys - 754 KB / 26.06.2010.16:55

Alt 09.07.2010, 10:40   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
registry keys to delete:
HKLM\System\ControlSet003\Services\ymntgf

files to delete:
d:\windows\system32\drivers\ymntgf.sys

drivers to delete:
ymntgf.sys
ymntgf
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken
__________________
Logs bitte immer in CODE-Tags posten

Alt 09.07.2010, 12:28   #9
Kennguru
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Kurze Info:

Kann das wieder erst gegen 18/19 Uhr machen, wenn ich Zuhause bin.

Inzwischen hat sich der Y-Bob auch in die anderen Controlsets gepackt (Der ComboFix Log ist ja schon 4 Tage alt gewesen):

HKLM\System\ControlSet001\Services\ymntgf
HKLM\System\ControlSet004\Services\ymntgf


Bei 002 bin ich mir nicht ganz sicher, werde ich nochmal schauen. Die Einträge müsste ich dem Avenger doch auch mitgeben oder?

Greez Kenni

Alt 09.07.2010, 13:28   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Ja gib die mal mit. Dann ist der Überrest mit weg, denn nur HKLM\System\CurrentControlSet ist aktiv, sowas wie HKLM\System\ControlSet001 sind nicht aktive "Profile".
__________________
Logs bitte immer in CODE-Tags posten

Alt 09.07.2010, 15:08   #11
Kennguru
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Also sollte mein Script dann so aussehen?

Code:
ATTFilter
registry keys to delete:
HKLM\System\ControlSet001\Services\ymntgf
HKLM\System\ControlSet002\Services\ymntgf
HKLM\System\ControlSet003\Services\ymntgf
HKLM\System\ControlSet004\Services\ymntgf
HKLM\System\CurrentControlSet\Services\ymntgf

files to delete:
d:\windows\system32\drivers\ymntgf.sys

drivers to delete:
ymntgf.sys
ymntgf
         

Alt 09.07.2010, 16:09   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Ja, kann man so machen
__________________
Logs bitte immer in CODE-Tags posten

Alt 09.07.2010, 18:50   #13
Kennguru
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



So langsam sehe ich Licht am Ende des Tunnels. Die Port 25 Verbindungen wurde ja schon seit OTL nicht mehr aufgebaut, aber erst jez sind die Dateien und Registereinträge weg. Wenn ich das wirklich durchgestanden habe, dann bekommt euer Spendenkonto Zuwachs

Code:
ATTFilter
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at D:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\System\ControlSet001\Services\ymntgf" deleted successfully.
Registry key "HKLM\System\ControlSet003\Services\ymntgf" deleted successfully.
Registry key "HKLM\System\ControlSet004\Services\ymntgf" deleted successfully.

Error:  registry key "HKLM\System\CurrentControlSet\Services\ymntgf" not found!
Deletion of registry key "HKLM\System\CurrentControlSet\Services\ymntgf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "d:\windows\system32\drivers\ymntgf.sys" deleted successfully.

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\ymntgf.sys" not found!
Deletion of driver "ymntgf.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\ymntgf" not found!
Deletion of driver "ymntgf" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         
Die Backup Datei:

Code:
ATTFilter
Downloadlink:
hxxp://www.file-upload.net/download-2659715/backup.zip.html
         
Wenn du drüber geschaut hast, dann poste ich den Löschlink.

Eine Frage noch:
Der erste Neustart ist nur bis zum Anmeldebildschirm gekommen und hat dann direkt nochmal neugestratet. Ist das normal?

Greez Kenni

Geändert von Kennguru (09.07.2010 um 18:59 Uhr)

Alt 10.07.2010, 14:13   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Zitat:
Eine Frage noch:
Der erste Neustart ist nur bis zum Anmeldebildschirm gekommen und hat dann direkt nochmal neugestratet. Ist das normal?
Läuft der Rechner jetzt wieder normal? Kann schon beim Avenger vorkommen.

Eine Sache würd eich gern noch abklopen. Bitte den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus.

Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen

Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen.

Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________
Logs bitte immer in CODE-Tags posten

Alt 10.07.2010, 14:28   #15
Kennguru
 
Datei aus windows/system32/drivers entfernen - Standard

Datei aus windows/system32/drivers entfernen



Werde das morgen machen, da es gleich zum WM-Grillen geht.

Der Rechner lief die ganze Zeit normal. Ich hatte ja nichtmal irgendwelche Geschwindigkeits- oder Auslastungsprobleme. Das einzige waren die 200+ SMTP Verbindungen, die aber auch nicht sonderlich stören bei ner 16K DSL Leitung. Mein ISP hat natürlich auch genau gestern morgen, einen halben Tag vor der Beseitigung, den Port gesperrt. Ist aber auch schon wieder geregelt.

Mit meinem inzwischen angekratzen IT-Wissen ;-) würde ich sagen, dass alles gut ist. Werde aber wie gesagt morgen noch den Test machen.

Greez Kenni

-edit-

Da ich ja so ziemlich der erste mit dieser Datei war, zumindest hat Google nix anderes zu ymntgf ausgespuckt, lasse ich die Datei nochmal online, falls du die noch an andere verteilen willst. Ansonsten hier Löschlink oder warten bis sie von selber gelöscht wird.

Code:
ATTFilter
Löschlink:
hxxp://www.file-upload.net/delete-2659715/5kew8.html
         

Antwort

Themen zu Datei aus windows/system32/drivers entfernen
antivir, auswertung, avira, behandlung, combofix, entfernen, ergebnis, festplatte, firewall, google, icmp flooding, langsam, linux, live cd, löschen, nicht mehr, port 25, schließen, spam, spybot, unknown boot code, verbindungen, windows\system32\drivers, überprüfung, ymntgf.sys



Ähnliche Themen: Datei aus windows/system32/drivers entfernen


  1. Datei in System32/Drivers kann nicht gelöscht werden
    Plagegeister aller Art und deren Bekämpfung - 24.04.2015 (7)
  2. Mal/Generic-L - Infizierte Datei C:\Windows\System32\drivers\acpi.sys,
    Plagegeister aller Art und deren Bekämpfung - 29.05.2013 (11)
  3. AVG findet Rootkits in C:\Windows\System32\drivers und kann sie nicht entfernen
    Log-Analyse und Auswertung - 24.06.2012 (8)
  4. C:\Windows\System32\Drivers\spxi.sys
    Plagegeister aller Art und deren Bekämpfung - 18.06.2012 (2)
  5. C:\Windows\System32\drivers\Wdf01000.sys - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 19.12.2011 (3)
  6. Rootkit C:\windows\system32\drivers\volmgr.sys
    Plagegeister aller Art und deren Bekämpfung - 01.02.2011 (8)
  7. TR/Rootkit.Gen in C:\Windows\System32\drivers\ghldywj.sys
    Plagegeister aller Art und deren Bekämpfung - 25.12.2010 (9)
  8. Datei in System32/Drivers kann nicht gelöscht werden
    Plagegeister aller Art und deren Bekämpfung - 22.09.2010 (5)
  9. Rootkit in C:\Windows\system32\drivers\afkw4fu9.sys ?
    Log-Analyse und Auswertung - 08.08.2010 (4)
  10. TR/Rootkin.gen in C:\Windows\System32\drivers\taunpo.sys
    Plagegeister aller Art und deren Bekämpfung - 17.06.2010 (11)
  11. TR/Rootkit.Gen in C:\Windows\System32\drivers\ezokdc.sys
    Plagegeister aller Art und deren Bekämpfung - 30.05.2010 (6)
  12. Datei C:\Windows\System32\drivers\mhpccj.sys
    Plagegeister aller Art und deren Bekämpfung - 28.05.2010 (19)
  13. virus in windows/system32/drivers und svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 29.04.2010 (1)
  14. C:\WINDOWS\system32\drivers\**; befürchte Rootkit
    Plagegeister aller Art und deren Bekämpfung - 23.04.2010 (18)
  15. TR/Agent.ruo in C:\WINDOWS\system32\drivers\ntnvf.sys
    Plagegeister aller Art und deren Bekämpfung - 09.04.2010 (8)
  16. TR/AntiHosts.Gen in C:\WINDOWS\system32\drivers\etc\hosts
    Plagegeister aller Art und deren Bekämpfung - 13.09.2009 (15)
  17. Hosts Datei in windows/system32/drivers
    Plagegeister aller Art und deren Bekämpfung - 19.09.2006 (3)

Zum Thema Datei aus windows/system32/drivers entfernen - Servuz alle zusammen. Ich benötige mal Hilfe, da meine Selbstversuche so langsam erschöpft sind. Zu mir: Ich habe eine IT Ausbildung genossen und mir deshalb erlaubt einige Sachen auszuprobieren, von - Datei aus windows/system32/drivers entfernen...
Archiv
Du betrachtest: Datei aus windows/system32/drivers entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.