| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Welcher Virus?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.07.2010, 19:42
| #1 |
| |  Welcher Virus? Hallo! in meinem Temp Ordner ist eine Datei die von Norman als Virus erkannt wird Scuicipous oder so ähnlich. Die Datei heisst mqa.old Immer wenn Sie gelöscht wird kommt Sie sofort wieder. RSIT, Malwarebytes, Rootkit Revealer und Co lassen sich gar nicht erst öffnen bzw. gehen sofort wieder aus. Ich hoffe hier kann mir jemand helfen da eine Neuinstallation nur im äußersten Notfall in frage kommt. Hier mal ein hijacktis Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 20:32:38, on 09.07.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Google\Update\GoogleUpdate.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\Dokumente und Einstellungen\Jürgen Blumentritt\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.live.com/sphome.aspx R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.live.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.live.com/sphome.aspx O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Internet Security 2010\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Internet Security 2010\Inicio.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = ? O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154356598593 O17 - HKLM\System\CCS\Services\Tcpip\..\{53F4226F-08C6-450F-84BA-027B6FADC9D8}: NameServer = 172.16.11.1,212.80.224.161 O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPBPRO.EXE O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPBOID.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Panda Software Controller - Unknown owner - C:\Programme\Panda Security\Panda Internet Security 2010\PsCtrls.exe (file missing) O23 - Service: Panda Function Service (PAVFNSVR) - Unknown owner - C:\Programme\Panda Security\Panda Internet Security 2010\PavFnSvr.exe (file missing) O23 - Service: Panda On-Access Anti-Malware Service (PAVSRV) - Unknown owner - C:\Programme\Panda Security\Panda Internet Security 2010\pavsrv51.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Panda Host Service (PSHost) - Unknown owner - c:\programme\panda security\panda internet security 2010\firewall\PSHOST.EXE (file missing) O23 - Service: Panda PSK service (PskSvcRetail) - Unknown owner - C:\Programme\Panda Security\Panda Internet Security 2010\PskSvc.exe (file missing) -- End of file - 8507 bytes |
|
09.07.2010, 20:03
| #2 | |
 | Welcher Virus?Zitat:
bitte Malwarebytes ausführen und das Log posten. Edit: Boote in den abgesicherten Modus und führe dort Malwarebytes aus. http://www.trojaner-board.de/63335-w...s-starten.html Poste ebenfalls beide OTL logs. http://www.trojaner-board.de/85104-o...-oldtimer.html lg. ***************************************
__________________ |
|
09.07.2010, 21:50
| #3 |
| | Welcher Virus? Ob Abgesicherter Modus oder nicht ist egal dieselbe Reaktion.
__________________OTL.txt Code:
ATTFilter OTL logfile created on: 09.07.2010 22:41:09 - Run 1 OTL by OldTimer - Version 3.2.8.1 Folder = C:\Dokumente und Einstellungen\User\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free 3,00 Gb Paging File | 3,00 Gb Available in Paging File | 92,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 31,87 Gb Total Space | 21,21 Gb Free Space | 66,55% Space Free | Partition Type: NTFS Drive D: | 58,59 Gb Total Space | 56,01 Gb Free Space | 95,59% Space Free | Partition Type: NTFS Drive E: | 58,58 Gb Total Space | 54,13 Gb Free Space | 92,41% Space Free | Partition Type: NTFS F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Drive K: | 7,45 Gb Total Space | 0,08 Gb Free Space | 1,05% Space Free | Partition Type: FAT32 Computer Name: JB-TOWER Current User Name: User Logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Standard ========== Processes (SafeList) ========== PRC - [2010.07.09 22:37:08 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\User\Desktop\OTL.exe PRC - [2010.07.06 17:06:20 | 005,279,016 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version5\TeamViewer.exe PRC - [2010.07.06 17:03:00 | 000,173,352 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2006.06.30 00:21:40 | 000,593,920 | ---- | M] (Logitech Inc.) -- C:\Programme\Logitech\SetPoint\SetPoint.exe PRC - [2006.05.10 09:48:08 | 000,094,208 | ---- | M] (Logitech Inc.) -- C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.exe PRC - [2006.01.04 13:50:28 | 001,009,835 | ---- | M] (Acronis) -- C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe PRC - [2006.01.04 13:50:26 | 000,172,032 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe PRC - [2006.01.04 13:50:26 | 000,118,784 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe PRC - [2005.08.06 01:07:30 | 000,061,440 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe PRC - [2005.05.11 03:09:54 | 000,225,280 | ---- | M] (O&O Software GmbH) -- C:\WINDOWS\system32\oodag.exe ========== Modules (SafeList) ========== MOD - [2010.07.09 22:37:08 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\User\Desktop\OTL.exe MOD - [2008.05.13 19:13:36 | 000,077,824 | ---- | M] (SuperAdBlocker.com) -- C:\Programme\SUPERAntiSpyware\SASSEH.DLL MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx MOD - [2006.12.01 22:54:34 | 000,548,864 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcp80.dll MOD - [2006.12.01 22:54:32 | 000,626,688 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll MOD - [2006.06.30 00:14:54 | 000,044,544 | ---- | M] (Logitech Inc.) -- C:\Programme\Logitech\SetPoint\lgscroll.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- C:\Programme\Panda Security\Panda Internet Security 2010\PskSvc.exe -- (PskSvcRetail) SRV - File not found [Auto | Stopped] -- c:\programme\panda security\panda internet security 2010\firewall\PSHOST.EXE -- (PSHost) SRV - File not found [Auto | Stopped] -- C:\Programme\Panda Security\Panda Internet Security 2010\pavsrv51.exe -- (PAVSRV) SRV - File not found [Auto | Stopped] -- C:\Programme\Panda Security\Panda Internet Security 2010\PavFnSvr.exe -- (PAVFNSVR) SRV - File not found [Auto | Stopped] -- C:\Programme\Panda Security\Panda Internet Security 2010\PsCtrls.exe -- (Panda Software Controller) SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ) SRV - File not found [Auto | Stopped] -- C:\Programme\Panda Security\Panda Internet Security 2010\Gwmsrv.dll -- (Gwmsrv) SRV - [2010.07.06 17:03:00 | 000,173,352 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe -- (TeamViewer5) SRV - [2006.01.04 13:50:26 | 000,172,032 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc) SRV - [2005.05.11 03:09:54 | 000,225,280 | ---- | M] (O&O Software GmbH) [Auto | Running] -- C:\WINDOWS\system32\oodag.exe -- (O&O Defrag) SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PavTPK.sys -- (PavTPK.sys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PavSRK.sys -- (PavSRK.sys) DRV - File not found [File_System | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\pavboot.sys -- (pavboot) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [File_System | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\av5flt.sys -- (AvFlt) DRV - [2010.05.10 20:41:30 | 000,067,656 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS -- (SASKUTIL) DRV - [2010.02.17 20:25:48 | 000,012,872 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys -- (SASDIFSV) DRV - [2008.06.26 11:25:28 | 000,197,888 | ---- | M] (Panda Security, S.L.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\neti1634.sys -- (NETIMFLT01060034) DRV - [2008.04.13 20:56:06 | 000,088,320 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx) DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus) DRV - [2008.01.15 13:39:38 | 000,097,792 | ---- | M] (OMNIKEY) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cxbu0wdm.sys -- (cxbu0wdm) DRV - [2006.08.04 10:34:33 | 000,016,512 | ---- | M] (Adaptec) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ASPI32.SYS -- (ASPI32) DRV - [2006.08.04 10:29:28 | 000,249,152 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\timntr.sys -- (timounter) DRV - [2006.08.04 10:29:28 | 000,030,688 | ---- | M] (Acronis) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter) DRV - [2006.08.04 10:29:26 | 000,096,320 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\snapman.sys -- (snapman) DRV - [2006.06.30 00:53:44 | 000,003,712 | ---- | M] (Logitech, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\LBeepKE.sys -- (LBeepKE) DRV - [2006.05.10 09:56:54 | 000,027,264 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHidKE.Sys -- (LHidKe) DRV - [2006.05.10 09:56:50 | 000,071,680 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LMouKE.Sys -- (LMouKE) DRV - [2006.05.10 09:56:26 | 000,036,736 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHidUsbK.sys -- (LHidUsbK) DRV - [2006.05.10 09:56:18 | 000,056,064 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\L8042MOU.SYS -- (L8042mou) DRV - [2005.08.10 19:21:16 | 000,041,216 | ---- | M] (Sonic Focus, Inc) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sfng32.sys -- (sfng32) DRV - [2005.08.10 01:44:10 | 001,021,608 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA) DRV - [2005.08.04 05:10:18 | 001,273,344 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2002.08.29 14:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb) DRV - [2002.08.29 14:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx) DRV - [2001.06.12 09:55:20 | 000,055,144 | ---- | M] (DESKO GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ps2port.sys -- (ps2port) DRV - [2001.06.12 09:55:20 | 000,004,779 | ---- | M] (REINER SCT powered by SII) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cjCmW2K.sys -- (cjcmw2k) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.live.com/sphome.aspx IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1844237615-746137067-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.live.com IE - HKU\S-1-5-21-1844237615-746137067-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://web.de/ IE - HKU\S-1-5-21-1844237615-746137067-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKU\S-1-5-21-1844237615-746137067-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official" FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2010.03.09 09:20:36 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.08 15:44:17 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.08 15:44:15 | 000,000,000 | ---D | M] [2009.11.13 13:25:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Extensions [2009.11.13 13:30:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Mozilla\Firefox\Profiles\g20iacip.default\extensions [2010.07.08 16:11:18 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.07.08 15:28:49 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2008.08.13 08:52:56 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions\realplayer@partners.mozilla.com [2010.07.08 15:28:36 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.07.08 15:44:10 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.07.08 15:44:10 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.07.08 15:44:11 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.07.08 15:44:11 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.07.08 15:44:11 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2002.08.29 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O2 - BHO: (AcroIEToolbarHelper Class) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll (Google Inc.) O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1844237615-746137067-725345543-1003\..\Toolbar\ShellBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O3 - HKU\S-1-5-21-1844237615-746137067-725345543-1003\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKU\S-1-5-21-1844237615-746137067-725345543-1003\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll () O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis) O4 - HKLM..\Run: [APVXDWIN] C:\Programme\Panda Security\Panda Internet Security 2010\APVXDWIN.EXE File not found O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.) O4 - HKLM..\Run: [Logitech Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech Inc.) O4 - HKLM..\Run: [SCANINICIO] C:\Programme\Panda Security\Panda Internet Security 2010\Inicio.exe File not found O4 - HKLM..\Run: [SigmatelSysTrayApp] File not found O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe (Acronis) O4 - HKU\.DEFAULT..\RunOnce: [nlsf] C:\WINDOWS\System32\cmd.exe (Microsoft Corporation) O4 - HKU\.DEFAULT..\RunOnce: [tscuninstall] C:\WINDOWS\system32\tscupgrd.exe (Microsoft Corporation) O4 - HKU\S-1-5-18..\RunOnce: [nlsf] C:\WINDOWS\System32\cmd.exe (Microsoft Corporation) O4 - HKU\S-1-5-18..\RunOnce: [tscuninstall] C:\WINDOWS\system32\tscupgrd.exe (Microsoft Corporation) O4 - HKU\S-1-5-19..\RunOnce: [nlsf] C:\WINDOWS\System32\cmd.exe (Microsoft Corporation) O4 - HKU\S-1-5-19..\RunOnce: [tscuninstall] C:\WINDOWS\system32\tscupgrd.exe (Microsoft Corporation) O4 - HKU\S-1-5-20..\RunOnce: [nlsf] C:\WINDOWS\System32\cmd.exe (Microsoft Corporation) O4 - HKU\S-1-5-20..\RunOnce: [tscuninstall] C:\WINDOWS\system32\tscupgrd.exe (Microsoft Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetIcon = 0 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetIcon = 0 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetIcon = 0 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetIcon = 0 O7 - HKU\S-1-5-21-1844237615-746137067-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1844237615-746137067-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetIcon = 0 O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation) O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} hxxp://office.microsoft.com/officeupdate/content/opuc3.cab (Office Update Installation Engine) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154356598593 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab (Java Plug-in 1.5.0_08) O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O20 - Winlogon\Notify\avldr: DllName - avldr.dll - C:\WINDOWS\System32\avldr.dll (Panda Security, S.L.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com) O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.07.31 16:12:25 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{0811f36c-bb09-11de-8ddd-0016769472a2}\Shell - "" = AutoRun O33 - MountPoints2\{0811f36c-bb09-11de-8ddd-0016769472a2}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{6ed683e6-1cf4-11de-8d31-0016769472a2}\Shell - "" = AutoRun O33 - MountPoints2\{6ed683e6-1cf4-11de-8d31-0016769472a2}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{a08f8690-343f-11db-8915-0016769472a2}\Shell - "" = AutoRun O33 - MountPoints2\{a08f8690-343f-11db-8915-0016769472a2}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{a094b5a8-8255-11de-8d9c-0016769472a2}\Shell\AutoRun\command - "" = K:\Menu.exe -- File not found O33 - MountPoints2\{fb0f3c88-8018-11de-8d99-0016769472a2}\Shell - "" = AutoRun O33 - MountPoints2\{fb0f3c88-8018-11de-8d99-0016769472a2}\Shell\AutoRun - "" = Auto&Play O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (OODBS) - C:\WINDOWS\System32\OODBS.exe (O&O Software GmbH) O34 - HKLM BootExecute: (E BootExecute settings..) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.07.09 22:38:39 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\User\Desktop\OTL.exe [2010.07.09 20:44:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\TeamViewer [2010.07.09 20:43:48 | 000,000,000 | ---D | C] -- C:\Programme\TeamViewer [2010.07.09 20:33:40 | 000,000,000 | ---D | C] -- D:\Downloads [2010.07.09 20:01:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Desktop\backups [2010.07.09 20:01:07 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\User\Desktop\HiJackThis.exe [2010.07.09 19:13:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET [2010.07.09 19:00:05 | 000,847,872 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\User\Desktop\dbgeng.dll [2010.07.09 18:53:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Desktop\gmer [2010.07.09 18:37:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files [2010.07.09 18:36:18 | 073,486,456 | ---- | C] (Kaspersky Lab) -- C:\Dokumente und Einstellungen\User\Desktop\kis9.0.0.736de.exe [2010.07.09 18:34:16 | 003,696,032 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\User\Desktop\upd.com [2010.07.09 18:32:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Desktop\TelRemovalTool [2010.07.09 18:13:44 | 000,334,720 | ---- | C] (Sysinternals - www.sysinternals.com) -- C:\Dokumente und Einstellungen\User\Desktop\RootkitRevealer.exe [2010.07.09 17:50:28 | 000,000,000 | ---D | C] -- C:\Programme\Sophos [2010.07.08 16:51:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Desktop\pav [2010.07.08 16:29:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\SUPERAntiSpyware.com [2010.07.08 16:29:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com [2010.07.08 16:29:18 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware [2010.07.08 16:08:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Panda Security [2010.07.08 16:07:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Backup [2010.07.08 16:07:31 | 000,197,888 | ---- | C] (Panda Security, S.L.) -- C:\WINDOWS\System32\drivers\neti1634.sys [2010.07.08 16:07:31 | 000,058,672 | ---- | C] (Panda Security, S.L.) -- C:\WINDOWS\System32\avldr.dll [2010.07.08 16:07:30 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security [2010.07.08 15:51:39 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC [2010.07.08 15:47:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Malwarebytes [2010.07.08 15:47:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.07.08 15:46:52 | 004,045,528 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\User\Desktop\setup.com [2010.07.08 15:33:43 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss [2010.07.08 15:29:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun [2010.07.08 15:28:48 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2010.07.08 15:28:48 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.07.08 15:28:48 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.07.08 15:28:48 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.06.10 09:13:36 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll [8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.07.09 22:37:11 | 000,000,444 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{3789A4B9-3BF2-41B3-8713-2997B925E5CC}.job [2010.07.09 22:37:08 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\User\Desktop\OTL.exe [2010.07.09 22:35:13 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.07.09 22:35:13 | 000,000,296 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1844237615-746137067-725345543-1003.job [2010.07.09 22:35:10 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.07.09 22:22:00 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job [2010.07.09 22:21:45 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.07.09 22:21:43 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.07.09 22:21:40 | 000,453,669 | ---- | M] () -- C:\WINDOWS\System32\OODBS.lor [2010.07.09 21:50:05 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.07.09 20:48:51 | 005,242,880 | ---- | M] () -- C:\Dokumente und Einstellungen\User\ntuser.dat [2010.07.09 20:43:54 | 000,000,878 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamViewer 5.lnk [2010.07.09 20:43:09 | 002,920,016 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\TeamViewer_Setup.exe [2010.07.09 20:39:32 | 000,000,304 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-1844237615-746137067-725345543-1003.job [2010.07.09 19:59:57 | 000,906,552 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.07.09 19:59:57 | 000,394,500 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.07.09 19:59:57 | 000,383,254 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.07.09 19:59:57 | 000,064,598 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.07.09 19:59:57 | 000,053,608 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.07.09 19:50:06 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\User\Desktop\HiJackThis.exe [2010.07.09 19:23:24 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\User\ntuser.ini [2010.07.09 18:36:25 | 000,002,561 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Sophos pcclie-i Cleanup Tool.lnk [2010.07.09 18:15:20 | 005,367,346 | -H-- | M] () -- C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.07.09 17:42:28 | 003,878,400 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Aurora Malware Removal Tool.msi [2010.07.09 17:41:12 | 001,376,832 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\sar_15_sfx.exe [2010.07.09 17:36:35 | 000,331,900 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\DsaFlt.rls.bck [2010.07.09 17:36:35 | 000,000,252 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\IdsFlt.cfg.bck [2010.07.09 17:36:35 | 000,000,068 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\NetFlt.cfg.bck [2010.07.09 17:36:35 | 000,000,068 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\NetFlt.cfg [2010.07.09 17:36:35 | 000,000,056 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\WnmFlt.cfg.bck [2010.07.09 17:36:35 | 000,000,056 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\WnmFlt.cfg [2010.07.09 17:36:35 | 000,000,056 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\DsaFlt.cfg.bck [2010.07.09 17:24:50 | 000,000,068 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\NetAR.wlt.bck [2010.07.09 17:24:50 | 000,000,068 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\NetAR.wlt [2010.07.09 13:50:47 | 000,001,786 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk [2010.07.09 13:36:17 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Outlook.lnk [2010.07.09 11:00:03 | 000,210,953 | ---- | M] () -- D:\Kunde Blumentritt.pdf [2010.07.09 10:22:43 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\Word.lnk [2010.07.08 16:53:51 | 000,008,627 | ---- | M] () -- C:\WINDOWS\System32\PAV_FOG.OPC [2010.07.08 16:50:06 | 019,076,380 | ---- | M] () -- C:\Dokumente und Einstellungen\User\Desktop\pav.zip [2010.07.08 16:29:22 | 000,001,651 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk [2010.07.08 16:14:21 | 000,008,627 | ---- | M] () -- C:\Dokumente und Einstellungen\User\PAV_FOG.OPC [2010.07.08 16:09:15 | 000,000,711 | ---- | M] () -- C:\WINDOWS\win.ini [2010.07.08 15:35:23 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.07.08 15:35:23 | 000,000,211 | -HS- | M] () -- C:\boot.ini [2010.07.08 15:28:36 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.07.08 15:28:36 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.07.08 15:28:36 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.07.08 15:28:36 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2010.07.08 15:28:35 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2010.07.07 13:37:43 | 000,022,528 | ---- | M] () -- D:\So hat der Streit angefangen.doc [2010.07.07 12:16:58 | 000,025,600 | ---- | M] () -- D:\Die durch die Einbringung von Kapitalgesellschaftsanteilen entstandene Grunderwerbsteuer stellt hinsichtlich der Gesellschaftsanteile Anschaffungsnebenkosten.doc [2010.07.07 11:59:59 | 000,022,016 | ---- | M] () -- D:\Anteilsvereinigung Grunderwerbsteuer.doc [2010.06.21 08:52:14 | 000,250,288 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.07.09 20:43:54 | 000,000,878 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TeamViewer 5.lnk [2010.07.09 20:43:05 | 002,920,016 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\TeamViewer_Setup.exe [2010.07.09 18:31:56 | 001,399,713 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\TelRemovalTool.zip [2010.07.09 17:50:45 | 000,002,561 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\Sophos pcclie-i Cleanup Tool.lnk [2010.07.09 17:50:16 | 003,878,400 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\Aurora Malware Removal Tool.msi [2010.07.09 17:50:16 | 001,376,832 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\sar_15_sfx.exe [2010.07.09 11:00:02 | 000,210,953 | ---- | C] () -- D:\Kunde Blumentritt.pdf [2010.07.08 16:53:51 | 000,008,627 | ---- | C] () -- C:\WINDOWS\System32\PAV_FOG.OPC [2010.07.08 16:51:14 | 019,076,380 | ---- | C] () -- C:\Dokumente und Einstellungen\User\Desktop\pav.zip [2010.07.08 16:29:22 | 000,001,651 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk [2010.07.08 16:14:21 | 000,008,627 | ---- | C] () -- C:\Dokumente und Einstellungen\User\PAV_FOG.OPC [2010.07.07 13:37:42 | 000,022,528 | ---- | C] () -- D:\So hat der Streit angefangen.doc [2010.07.07 12:16:58 | 000,025,600 | ---- | C] () -- D:\Die durch die Einbringung von Kapitalgesellschaftsanteilen entstandene Grunderwerbsteuer stellt hinsichtlich der Gesellschaftsanteile Anschaffungsnebenkosten.doc [2010.07.07 11:59:58 | 000,022,016 | ---- | C] () -- D:\Anteilsvereinigung Grunderwerbsteuer.doc [2009.10.12 16:54:43 | 000,241,664 | ---- | C] () -- C:\WINDOWS\System32\hppapr04.dll [2008.03.24 18:49:06 | 000,241,664 | ---- | C] () -- C:\WINDOWS\System32\cmabout.dll [2008.03.24 18:49:06 | 000,010,357 | ---- | C] () -- C:\WINDOWS\System32\cmdiag.ini [2008.03.24 18:49:06 | 000,000,142 | ---- | C] () -- C:\WINDOWS\System32\cmabout.ini [2008.01.30 14:45:13 | 000,000,027 | ---- | C] () -- C:\WINDOWS\EZSET_SP.INI [2008.01.29 11:26:44 | 000,002,737 | R--- | C] () -- C:\WINDOWS\System32\SETUP.INI [2008.01.29 11:26:04 | 000,006,496 | R--- | C] () -- C:\WINDOWS\System32\KPNDLG.INI [2008.01.29 11:26:04 | 000,003,564 | R--- | C] () -- C:\WINDOWS\System32\KPNMSG.INI [2007.05.11 10:54:12 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\chksvrn.dll [2006.08.26 14:09:07 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2006.08.10 12:05:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\HPMProp.INI [2006.08.10 12:05:18 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL [2006.08.09 11:17:09 | 000,225,280 | ---- | C] () -- C:\WINDOWS\System32\cJSetup.dll [2006.08.09 11:17:09 | 000,031,328 | ---- | C] () -- C:\WINDOWS\System32\Ctrsct16.dll [2006.08.09 11:07:09 | 000,000,402 | ---- | C] () -- C:\WINDOWS\hbcikrnl.ini [2006.08.04 18:25:53 | 000,000,074 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2006.08.04 10:36:00 | 000,052,858 | ---- | C] () -- C:\WINDOWS\System32\interceptor.sys [2006.08.04 10:34:42 | 000,027,219 | ---- | C] () -- C:\WINDOWS\System32\drivers\GDTdiIcpt.sys [2006.08.04 07:28:30 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI ========== LOP Check ========== [2006.08.04 18:51:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis [2010.07.08 16:07:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Backup [2008.10.16 10:36:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Die GeldPlaner Einstellungen [2010.07.09 19:13:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET [2008.05.23 14:16:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA [2008.06.25 08:19:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM [2008.06.25 08:18:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail [2008.10.16 10:36:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\metier2000Apps [2008.10.16 10:36:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TOIGeldplaner2008 [2010.07.09 20:44:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\TeamViewer [2010.07.09 22:37:11 | 000,000,444 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{3789A4B9-3BF2-41B3-8713-2997B925E5CC}.job ========== Purity Check ========== < End of report > Code:
ATTFilter OTL Extras logfile created on: 09.07.2010 22:41:09 - Run 1
OTL by OldTimer - Version 3.2.8.1 Folder = C:\Dokumente und Einstellungen\User\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free
3,00 Gb Paging File | 3,00 Gb Available in Paging File | 92,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 31,87 Gb Total Space | 21,21 Gb Free Space | 66,55% Space Free | Partition Type: NTFS
Drive D: | 58,59 Gb Total Space | 56,01 Gb Free Space | 95,59% Space Free | Partition Type: NTFS
Drive E: | 58,58 Gb Total Space | 54,13 Gb Free Space | 92,41% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive K: | 7,45 Gb Total Space | 0,08 Gb Free Space | 1,05% Space Free | Partition Type: FAT32
Computer Name: JB-TOWER
Current User Name: User
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.js [@ = JSFile] -- C:\PROGRA~1\PANDAS~1\PANDAI~1\PavScrip.exe File not found
.jse [@ = JSEFile] -- C:\PROGRA~1\PANDAS~1\PANDAI~1\PavScrip.exe File not found
.vbe [@ = VBEFile] -- C:\PROGRA~1\PANDAS~1\PANDAI~1\PavScrip.exe File not found
.vbs [@ = VBSFile] -- C:\PROGRA~1\PANDAS~1\PANDAI~1\PavScrip.exe File not found
.wsf [@ = WSFFile] -- C:\PROGRA~1\PANDAS~1\PANDAI~1\PavScrip.exe File not found
.wsh [@ = WSHFile] -- C:\PROGRA~1\PANDAS~1\PANDAI~1\PavScrip.exe File not found
[HKEY_USERS\S-1-5-21-1844237615-746137067-725345543-1003\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
jsfile [open] -- C:\PROGRA~1\PANDAS~1\PANDAI~1\PavScrip.exe "%1" %* File not found
jsefile [open] -- C:\PROGRA~1\PANDAS~1\PANDAI~1\PavScrip.exe "%1" %* File not found
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
vbefile [open] -- C:\PROGRA~1\PANDAS~1\PANDAI~1\PavScrip.exe "%1" %* File not found
vbsfile [open] -- C:\PROGRA~1\PANDAS~1\PANDAI~1\PavScrip.exe "%1" %* File not found
wsffile [open] -- C:\PROGRA~1\PANDAS~1\PANDAI~1\PavScrip.exe "%1" %* File not found
wshfile [open] -- C:\PROGRA~1\PANDAS~1\PANDAI~1\PavScrip.exe "%1" %* File not found
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
"DisableMonitoring" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
"DisableMonitoring" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\G DATA\AVKClient\AVKCl.exe" = C:\Programme\G DATA\AVKClient\AVKCl.exe:LocalSubNet:Enabled:G DATA AntiVirus Client -- File not found
"C:\Programme\IncrediMail\bin\ImApp.exe" = C:\Programme\IncrediMail\bin\ImApp.exe:*:Enabled:IncrediMail -- File not found
"C:\Programme\IncrediMail\bin\IncMail.exe" = C:\Programme\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail -- File not found
"C:\Programme\IncrediMail\bin\ImpCnt.exe" = C:\Programme\IncrediMail\bin\ImpCnt.exe:*:Enabled:IncrediMail -- File not found
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Programme\TeamViewer\Version5\TeamViewer.exe" = C:\Programme\TeamViewer\Version5\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{083F79E4-6FE9-46FB-A6C6-4F8862742947}" = ATI HYDRAVISION
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{20BB7EE4-9750-4EAC-B202-7A79B12B6382}" = Panda Internet Security 2010
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{2CCBABCB-6427-4A55-B091-49864623C43F}" = Google Toolbar for Firefox
"{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}" = Logitech SetPoint
"{3248F0A8-6813-11D6-A77B-00B0D0150080}" = J2SE Runtime Environment 5.0 Update 8
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36BD0774-6CD6-4FF9-A148-83CA09AC123E}" = Intel(R) PROSafe for Wired Connections
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{403EF592-953B-4794-BCEF-ECAB835C2095}" = Intel(R) PROSafe for Wired Connections
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{4781569D-5404-1F26-4B2B-6DF444441031}" = Nero 7 Ultra Edition
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4F5C17F0-0CD3-4DB3-81CB-8138788F8D2A}" = Tilgungsplaner Professional 7
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{53480370-6CA2-47EC-BC05-02B4B9271C31}" = O&O Defrag Professional Edition
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{6f5a8c1f-c61b-404b-859e-8913dad13988}" = Sophos pcclie-i Cleanup Tool
"{6FDCF790-49AF-4E3B-8EB2-C07E2DBA55EA}" = StarMoney 5.0 S-Edition
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7926EFB6-7CB4-4A9D-AB01-095F67F9D519}" = Panda Internet Security 2010
"{86EC42B5-346E-4BAB-948D-58E021EA4BD1}" = ATI Catalyst Control Center
"{89EC8757-A934-11D6-8732-00105A376200}" = mapserver 4 COM-Module
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-1033-F400-7760-000000000001}" = Adobe Acrobat 6.0 Professional - English, Français, Deutsch
"{AC76BA86-7AD7-1031-7B44-A70900000002}" = Adobe Reader 7.0.9 - Deutsch
"{C08C11B8-E402-4AAE-B221-85E5B3308F85}" = StarMoney
"{CA83357B-931E-44DC-AD43-9996FEEB8116}" = Acronis*True*Image
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware
"{EE7B9A8D-19F0-450D-8E94-3E391E6044CD}" = KhalSetup
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F4F4F84E-804F-4E9A-84D7-C34283F0088F}" = RealUpgrade 1.0
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{FC338210-F594-11D3-BA24-00001C3AB4DF}" = cyberJack Base Components
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Google Chrome" = Google Chrome
"Google Updater" = Google Updater
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"Karte D" = Karte D
"LHTTSGED" = L&H TTS3000 Deutsch
"LHTTSSPE" = L&H TTS3000 Español
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"PROSetDX" = Intel(R) PRO Network Connections-Software v10.1.41.0
"RealPlayer 12.0" = RealPlayer
"Sophos-AntiRootkit" = Sophos Anti-Rootkit 1.5.4
"TeamViewer 5" = TeamViewer 5
"TravelControl" = TravelControl
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
========== HKEY_USERS Uninstall List ==========
[HKEY_USERS\S-1-5-21-1844237615-746137067-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"EGVP - Client" = EGVP - Client
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 09.07.2010 04:59:11 | Computer Name = JB-TOWER | Source = MsiInstaller | ID = 11706
Description = Produkt: Adobe Acrobat 6.0 Professional - English, Français, Deutsch
-- Fehler 1706. Für das Produkt Adobe Acrobat 6.0 Professional - English, Français,
Deutsch wurde kein Installationspaket gefunden. Wiederholen Sie die Installation
und verwenden Sie dabei eine gültige Kopie des Installationspakets "AcroPro.msi".
Error - 09.07.2010 05:02:23 | Computer Name = JB-TOWER | Source = Google Update | ID = 1
Description =
Error - 09.07.2010 05:07:20 | Computer Name = JB-TOWER | Source = Google Update | ID = 1
Description =
Error - 09.07.2010 05:15:33 | Computer Name = JB-TOWER | Source = Google Update | ID = 1
Description =
Error - 09.07.2010 06:50:47 | Computer Name = JB-TOWER | Source = Google Update | ID = 1
Description =
Error - 09.07.2010 12:38:32 | Computer Name = JB-TOWER | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved
.
Error - 09.07.2010 12:38:32 | Computer Name = JB-TOWER | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky
Lab Setup Files\Kaspersky Internet Security 2010 9.0.0.736\German\kis.de.msi ist
aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
Error - 09.07.2010 12:50:05 | Computer Name = JB-TOWER | Source = Google Update | ID = 20
Description =
Error - 09.07.2010 13:03:55 | Computer Name = JB-TOWER | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während
der internen Verarbeitung erkannt. HRESULT war 800706BA von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 09.07.2010 14:50:15 | Computer Name = JB-TOWER | Source = Google Update | ID = 1
Description =
[ System Events ]
Error - 09.07.2010 14:50:06 | Computer Name = JB-TOWER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Panda PSK service" wurde aufgrund folgenden Fehlers nicht
gestartet: %%2
Error - 09.07.2010 14:50:08 | Computer Name = JB-TOWER | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
pavboot
Error - 09.07.2010 15:50:01 | Computer Name = JB-TOWER | Source = Service Control Manager | ID = 7031
Description = Der Dienst "Remoteprozeduraufruf (RPC)" wurde unerwartet beendet.
Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000
Millisekunden durchgeführt: Starten Sie den Computer neu..
Error - 09.07.2010 16:21:56 | Computer Name = JB-TOWER | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Panda Goodware Cache Manager" wurde mit folgendem Fehler
beendet: %%126
Error - 09.07.2010 16:21:56 | Computer Name = JB-TOWER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Panda Software Controller" wurde aufgrund folgenden Fehlers
nicht gestartet: %%2
Error - 09.07.2010 16:21:56 | Computer Name = JB-TOWER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Panda Function Service" wurde aufgrund folgenden Fehlers
nicht gestartet: %%2
Error - 09.07.2010 16:21:56 | Computer Name = JB-TOWER | Source = Service Control Manager | ID = 7003
Description = Der Dienst "Panda On-Access Anti-Malware Service" ist von folgendem,
nicht vorhandenem Dienst abhängig: PavDrv
Error - 09.07.2010 16:21:56 | Computer Name = JB-TOWER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Panda Host Service" wurde aufgrund folgenden Fehlers nicht
gestartet: %%3
Error - 09.07.2010 16:21:56 | Computer Name = JB-TOWER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Panda PSK service" wurde aufgrund folgenden Fehlers nicht
gestartet: %%2
Error - 09.07.2010 16:21:58 | Computer Name = JB-TOWER | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
pavboot
< End of report >
|
|
09.07.2010, 22:20
| #4 |
| | Welcher Virus? Bitte rkill ausführen: http://download.bleepingcomputer.com/grinler/rkill.com http://www.trojaner-board.de/84144-a...entfernen.html Folge dem ersten Teil der Anleitung (rkill) (Deaktiviere auch den Wächter deines Antivirenprogrammes) Auf dein Desktop downloaden, doppelklicken. Abwarten bis das schwarze Fenster sich schliesst. Danach TDSS Killer ausführen: http://filepony.de/download-tdsskiller/ Lade dir danach erneut Malwarebytes runter, diesmal aber die setup.exe in Explorer.exe umbenennen. Dann installieren und ausführen. *********************************
__________________ Arroganz ist das Selbstbewusstsein des Minderwertigkeitskomplexes. (Jean Rostand) |
|
10.07.2010, 05:25
| #5 |
| | Welcher Virus? Hat alles nichts gebracht, Malewarebytes startet nur kurz und geht dann aus. Es ist auch nicht Antivirus. Er läuft so normal, es viel erst auf als Norman die mqa.old entdeckt hatte. Danach habe ich versucht mit Malwarebytes usw. zu scannen. Ich hoffe es gibt noch weitere Ideen. |
|
10.07.2010, 10:57
| #6 | ||
| | Welcher Virus?Zitat:
> OTL Fix: Bitte als Administrator ausführen! * Schliesse alle Programme ( auch Firefox/Internet Explorer) und starte das Programm OTL. * Kopiere den Inhalt im Codefenster (siehe unten) in die Textbox von OTL. (unter BenutzerdefinierteScans/Fixes einfügen) Zitat:
* Abwarten bis OTL den PC neustartet. Bitte das zulassen und nach dem Neustart "Run" in die infobox klicken und abwarten bis das Log hochkommt. * Log hier in einem Spoiler posten, (wird auf C:\ gespeichert) Danach führe diese Schritte aus: > Versuche DR. Web im abgesicherten modus auszuführen wie hier beschrieben. http://www.trojaner-board.de/59299-a...eb-cureit.html Sollte das nicht funktionieren: > Download hier ClamWin Portable | PortableApps.com - Portable software for USB drives und Malwarebytes Anti-Malware - Download - CHIP Online auf ein USB Stick, von einem anderem Computer aus, und steckte den USB Sticks dann an deinen verseuchten an und führe beide Programme aus. > Deinstalliere Panda Security. Das Programm ist deaktiviert worden. Installiere A-squared Testversion und führe einen Detail Scan durch: Emsisoft Anti-Malware - Kostenlos - Bester Schutz vor Viren, Trojanern, Spyware, Würmern, Dialern, Adware, Keyloggern und Rootkits Fünde löschen lassen/Log posten. ******************************************
__________________ --> Welcher Virus? Geändert von MalwareHero (10.07.2010 um 11:20 Uhr) |
|
10.07.2010, 17:44
| #7 |
| | Welcher Virus? Leider gingen die Programme nicht zu starten. Habe jetzt auf einer anderen Platte ein neues System aufgesetzt und mit Malwarebytes, Kaspersky sowie mit drweb-cureit gescannt. Jetzt habe ich das alte System im Abgesicherten Modus wieder hoch gefahren und jetzt startet drweb-cureit wenigstens. Ich warte mal den Scan ab und poste das log. |
|
10.07.2010, 18:14
| #8 | |
| | Welcher Virus?Zitat:
__________________ Arroganz ist das Selbstbewusstsein des Minderwertigkeitskomplexes. (Jean Rostand) |
|
11.07.2010, 14:15
| #9 |
| | Welcher Virus? OTL.log Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SigmatelSysTrayApp deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\nlsf deleted successfully.
C:\WINDOWS\system32\cmd.exe moved successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\\tscuninstall deleted successfully.
C:\WINDOWS\system32\tscupgrd.exe moved successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\nlsf not found.
File C:\WINDOWS\System32\cmd.exe not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\\tscuninstall not found.
File C:\WINDOWS\system32\tscupgrd.exe not found.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\nlsf deleted successfully.
File C:\WINDOWS\System32\cmd.exe not found.
Registry value HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\RunOnce\\tscuninstall deleted successfully.
File C:\WINDOWS\system32\tscupgrd.exe not found.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\nlsf deleted successfully.
File C:\WINDOWS\System32\cmd.exe not found.
Registry value HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\RunOnce\\tscuninstall deleted successfully.
File C:\WINDOWS\system32\tscupgrd.exe not found.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job moved successfully.
File C:\Dokumente und Einstellungen\User\ntuser.dat not found.
C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-1844237615-746137067-725345543-1003.job moved successfully.
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job moved successfully.
C:\WINDOWS\tasks\Google Software Updater.job moved successfully.
C:\WINDOWS\tasks\SA.DAT moved successfully.
Error: No service named PavTPK.sys was found to stop!
Service\Driver key PavTPK.sys not found.
File C:\WINDOWS\System32\PavTPK.sys not found.
Error: No service named PavSRK.sys was found to stop!
Service\Driver key PavSRK.sys not found.
File C:\WINDOWS\System32\PavSRK.sys not found.
Error: No service named pavboot was found to stop!
Service\Driver key pavboot not found.
File C:\WINDOWS\System32\Drivers\pavboot.sys not found.
Service InCDRm stopped successfully!
Service InCDRm deleted successfully!
File C:\WINDOWS\System32\drivers\InCDRm.sys not found.
Service InCDPass stopped successfully!
Service InCDPass deleted successfully!
File C:\WINDOWS\System32\drivers\InCDPass.sys not found.
Service InCDFs stopped successfully!
Service InCDFs deleted successfully!
File C:\WINDOWS\System32\drivers\InCDFs.sys not found.
Error: No service named AvFlt was found to stop!
Service\Driver key AvFlt not found.
File C:\WINDOWS\System32\drivers\av5flt.sys not found.
========== FILES ==========
File\Folder C:\WINDOWS\System32\syssetub.dll not found.
========== COMMANDS ==========
[EMPTYFLASH]
User: Administrator
User: All Users
User: Default User
->Flash cache emptied: 41 bytes
User: Jürgen Blumentritt
->Flash cache emptied: 35877 bytes
User: LocalService
User: NetworkService
Total Flash Files Cleaned = 0,00 mb
[EMPTYTEMP]
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 159674 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes
User: Jürgen Blumentritt
->Temp folder emptied: 2976998 bytes
->Temporary Internet Files folder emptied: 43276054 bytes
->Java cache emptied: 12420435 bytes
->FireFox cache emptied: 57125431 bytes
->Google Chrome cache emptied: 5876372 bytes
->Flash cache emptied: 0 bytes
User: LocalService
->Temp folder emptied: 50280457 bytes
->Temporary Internet Files folder emptied: 14472348 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2677346 bytes
%systemroot%\System32 .tmp files removed: 4182407 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 66499 bytes
RecycleBin emptied: 366207328 bytes
Total Files Cleaned = 534,00 mb
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
OTL by OldTimer - Version 3.2.9.0 log created on 07112010_150720
Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temp\~DF291C.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temp\~DF6910.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temp\~DF691A.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temp\~DF696C.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temp\~DF6984.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temp\~DF69AA.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temp\~DF69B4.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temp\~DF8F95.tmp not found!
C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y4O59VH6\87968-welcher-virus[1].html moved successfully.
C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W42KM2GM\ads[1].htm moved successfully.
C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W42KM2GM\ads[2].htm moved successfully.
C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IRLYLEX7\ads[1].htm moved successfully.
C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
C:\Dokumente und Einstellungen\Jürgen Blumentritt\Lokale Einstellungen\Temporary Internet Files\SuggestedSites.dat moved successfully.
File move failed. C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\nvcbin.def.32c90ee3.tmp scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 15:16:24, on 11.07.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Programme\Norman\Npm\Bin\Elogsvc.exe C:\Programme\Norman\Ngs\Bin\Nnf.exe C:\Programme\Norman\Ngs\Bin\Nprosec.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norman\Npm\Bin\Zanda.exe C:\Programme\Norman\npm\bin\nvoy.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Norman\npf\bin\npfsvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\Programme\TeamViewer\Version5\TeamViewer.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Programme\Norman\Npm\Bin\scheduler.exe C:\Programme\Norman\Npm\Bin\Njeeves.exe C:\Programme\Norman\Nse\Bin\NSESVC.EXE C:\Programme\Norman\Nvc\Bin\nvcoas.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Norman\Npm\Bin\ZLH.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Norman\Nvc\Bin\Nip.exe C:\Programme\Norman\Nvc\Bin\cclaw.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE C:\Dokumente und Einstellungen\Jürgen Blumentritt\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.live.com/sphome.aspx R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.live.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.live.com/sphome.aspx O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\exp\sss.exe" /runcleanupscript O4 - HKLM\..\Run: [Norman ZANDA] "C:\Programme\Norman\Npm\Bin\ZLH.EXE" /LOAD /SPLASH O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = ? O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O10 - Unknown file in Winsock LSP: c:\programme\norman\ngs\bin\nlf.dll O10 - Unknown file in Winsock LSP: c:\programme\norman\ngs\bin\nlf.dll O10 - Unknown file in Winsock LSP: c:\programme\norman\ngs\bin\nlf.dll O10 - Unknown file in Winsock LSP: c:\programme\norman\ngs\bin\nlf.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154356598593 O17 - HKLM\System\CCS\Services\Tcpip\..\{53F4226F-08C6-450F-84BA-027B6FADC9D8}: NameServer = 172.16.11.1,212.80.224.161 O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Programme\Norman\Npm\Bin\Elogsvc.exe O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPBPRO.EXE O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPBOID.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Norman Network Filtering service (NNFSVC) - Norman ASA - C:\Programme\Norman\Ngs\Bin\Nnf.exe O23 - Service: Norman NJeeves - Norman ASA - C:\Programme\Norman\Npm\Bin\Njeeves.exe O23 - Service: Norman ZANDA - Norman ASA - C:\Programme\Norman\Npm\Bin\Zanda.exe O23 - Service: Norman Personal Firewall Service (NPFSvc32) - Norman ASA - C:\Programme\Norman\npf\bin\npfsvc32.exe O23 - Service: Norman Security service (NPROSECSVC) - Norman ASA - C:\Programme\Norman\Ngs\Bin\Nprosec.exe O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Programme\Norman\Nse\Bin\NSESVC.EXE O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programme\Norman\Nvc\Bin\nvcoas.exe O23 - Service: Norman Resource Provider (NVOY) - Norman ASA - C:\Programme\Norman\npm\bin\nvoy.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe O23 - Service: Norman Scheduler Service (Scheduler) - Norman ASA - C:\Programme\Norman\Npm\Bin\scheduler.exe O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe -- End of file - 9062 bytes |
|
11.07.2010, 14:43
| #10 |
| | Welcher Virus? Hallo, wie ist die Lage? Hast du Dr. Web ausgeführt? Wie läuft der Computer? A-squared hast du scannen lassen? ? Mach mal einen Vollscan mit Malwarebytes und poste das Log.
__________________ Arroganz ist das Selbstbewusstsein des Minderwertigkeitskomplexes. (Jean Rostand) Geändert von MalwareHero (11.07.2010 um 14:54 Uhr) |
|
11.07.2010, 20:58
| #11 |
| /// Selecta Jahrusso   | Welcher Virus? Darf ich fragen warum folgendes gekillt wurde ? O4 - HKU\.DEFAULT..\RunOnce: [nlsf] C:\WINDOWS\System32\cmd.exe (Microsoft Corporation) O4 - HKU\.DEFAULT..\RunOnce: [tscuninstall] C:\WINDOWS\system32\tscupgrd.exe (Microsoft Corporation) 
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
12.07.2010, 06:16
| #12 |
| | Welcher Virus? Mit Malwarebytes gab es keine Funde und am PC scheint alles wieder gut. @Larusso Keine Ahnung wahrscheinlich weil es im Codefenster mit drin stand. Aber er hat's ja eh nicht gemacht. Vielen Dank für Deine mühen MalwareHero, werde den PC heut wieder weg schaffen. |
|
12.07.2010, 11:47
| #13 | |
| | Welcher Virus?Zitat:
Wenn ich es richtig verstanden habe, läuft der PC wieder Problemlos? Dann führe einen Windows Datei check durch: Start/Ausführen schreibe rein cmd in das schwarze Fenster schreibe sfc/scannow drücke enter. Alle Windows Systemdateien werden überprüft und gegenfalls ersetzt. Halte deine Windows CD bereit. Deaktiviere die Windows Systemwiederherstellung > restarte den Computer und aktiviere ihn wieder. Windows Update durchführen Alle Passwörter ändern.
__________________ Arroganz ist das Selbstbewusstsein des Minderwertigkeitskomplexes. (Jean Rostand) |
|
12.07.2010, 14:15
| #14 |
| /// Selecta Jahrusso | Welcher Virus? Die Frage ging eher an unseren MalwareHero  Code:
ATTFilter C:\WINDOWS\system32\cmd.exe moved successfully.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
| Themen zu Welcher Virus? |
| adobe, bho, browseui preloader, desktop, einstellungen, explorer, firewall, frage, google, gupdate, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, norman, plug-in, port, rootkit, security, software, superantispyware, system, temp, virus, windows, windows xp |
Linear-Darstellung
