|
Plagegeister aller Art und deren Bekämpfung: Windows Security Alert / AV Security Suite / Antivirus Software AlertWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.07.2010, 09:37 | #1 |
| Windows Security Alert / AV Security Suite / Antivirus Software Alert hallo, ich habe leider seit heute morgen ein grosses Problem mein acer aspire one 150 netbook mit windows XP läuft nicht mehr richtig. auf meinem rechner befindet sich die kostenlose avira antivir personal - free antivirus software. regenschirm ist offen (aktiv) und auf aktuellem stand. wenn ich es hochfahre kommt unten aus der task leiste die meldung "windows security alert". in diesem fenster steht: windows reports that computer is infected. antivirus software helps to protect your computer against viruses and other security threats. click here for the scan your computer. your system might be at risk now. zusätzlich kommt dann noch ein fenster in der mitte des bildschirms mit: "antivirus software alert". dort steht dann: ATTENTION ! SPYWARE ALERT ! vulnerabilities found. your computer is infected by spyware - 34 serious threats have been found while scanning your files and registry. it is strongly recommended that you disinfect your computer and activate realtime secure protection against future intusions. upgrade to full version of antivirus software to clean your computer and prevent new security and privacy attacks. you will be able to download daily updates and get online protection against internet attacks. zur auswahl >>> "activate your antivirus software" oder " stay unprotected" dann kommt noch ein kleines fenster mit "security warning" in der mitte. da steht dann: application cannot be executed. the file drwtsn32.exe is infected. do you want to activate your antivirus software now ? zur auswahl >>> "Ja" oder "Nein" dies fenster kommt immer wieder mit verschiedenen datei meldungen wenn man nein anklickt. ccleaner kann nicht gestartet werden. wenn ich es anklicke öffnet es kurz und wird sofort wieder geschlossen. es kommt die gleiche meldung mit ccleaner.exe is infected... unten rechts öffnet sich nach einiger zeit ein fenster mit "antivirus sofware alert" infiltration alert virus attack your computer is beeing attacked by an internet virus. it could be a password-stealing attack, a trojan - dropper or similar. details attack from: 121.158.107.14, port 64242 attacked port: 45799 threat: win32/nuqel.E do you want to block this attack ? "yes" or "no" (die IP und port adressen wechseln immer, dieses war eine meldung von vielen) egal was ich mache diese ganzen meldungen erscheinen immer wieder und ich kann keine anderen programme starten. wenn ich den firefox browser öffne kommt dieser auch aber im browser erscheint folgende meldung: internet explorer warning - visiting this web site may harm your computer! most likely causes: - the website contains exploits that can launch a malicious code on your computer - suspicious network activity detected - there might be an active spyware running on your computer what can you try: - purchase for secure internet surfing (recommended) - check your computer for viruses and malware more information... wenn ich mein avira antivir versuche zu öffnen kommt auch die meldung "avcenter.exe is infected wie oben beschrieben... was kann ich tun damit dieser virus oder was auch immer es ist verschwindet ? ich glaube das sämtliche meldungen und fenster nicht von meinem avira antivir programm stammen und mich nur dazu verleiten wollen irgendein kostenpflichtiges update zu kaufen. bin schon total verzweifelt und wäre über eure hilfe sehr dankbar ! |
12.07.2010, 17:04 | #2 |
/// Malware-holic | Windows Security Alert / AV Security Suite / Antivirus Software Alert starte den pc im abgesicherten modus mit netzwerk, normalerweise ists die f8-taste beim start
__________________download malwarebytes: Malwarebytes instalieren, registerkarte aktualisierung, programm updaten. dann, schalte alle laufenden programme ab, auch den avir guard. bitte trenne außerdem die internetverbindung, in dem du das netzwerkkabel ziehst, bzw wlan abschaltest. malwarebytes, registerkarte scanner, komplett scan, funde löschen, avira und internet ein, log posten. starte wieder neu, diesmal in den normal modus. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt poste die beiden. wenn Malwarebytes sich nicht starten lässt, meld dich |
16.07.2010, 21:24 | #3 |
| Windows Security Alert / AV Security Suite / Antivirus Software Alert habe alles so wie geschildert durchgeführt.
__________________konnte Malwarebytes installieren, scan durchlaufen lassen und 2 funde löschen... aber als ich dann versucht habe im normalen modus wieder hochzufahren kam genau das gleiche wieder wie vorher hier der log von malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4319 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 8.0.6001.18702 16.07.2010 17:20:24 mbam-log-2010-07-16 (17-20-24).txt Art des Suchlaufs: Vollst�ndiger Suchlauf (C:\|) Durchsuchte Objekte: 243363 Laufzeit: 40 Minute(n), 47 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschl�ssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine b�sartigen Objekte gefunden) Infizierte Speichermodule: (Keine b�sartigen Objekte gefunden) Infizierte Registrierungsschl�ssel: HKEY_CLASSES_ROOT\CLSID\{037c7b8a-151a-49e6-baed-cc05fcb50328} (Trojan.BHO) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> No action taken. Infizierte Registrierungswerte: (Keine b�sartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine b�sartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine b�sartigen Objekte gefunden) Infizierte Dateien: (Keine b�sartigen Objekte gefunden) was kann ich nun noch versuchen ? bin schon am verzweifeln. |
17.07.2010, 12:59 | #4 |
/// Malware-holic | Windows Security Alert / AV Security Suite / Antivirus Software Alert immer mit der ruhe, otl logs posten. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt |
17.07.2010, 22:20 | #5 |
| Windows Security Alert / AV Security Suite / Antivirus Software Alert OTL Logfile: Code:
ATTFilter OTL logfile created on: 17.07.2010 15:16:47 - Run 1 OTL by OldTimer - Version 3.2.9.0 Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.012,00 Mb Total Physical Memory | 817,00 Mb Available Physical Memory | 81,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 94,00% Paging File free Paging file location(s): C:\pagefile.sys 1512 3024 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 105,94 Gb Total Space | 3,21 Gb Free Space | 3,03% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: REINKE Current User Name: Administrator Logged in as Administrator. Current Boot Mode: SafeMode with Networking Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe (Adobe Systems Incorporated) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe (Adobe Systems Incorporated) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\appeaint.dll () MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (fsssvc) -- C:\Programme\Windows Live\Family Safety\fsssvc.exe (Microsoft Corporation) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (SeaPort) -- C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (Microsoft Corporation) SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (Anyplace Control Security) -- C:\WINDOWS\svcadmin.exe () SRV - (IviRegMgr) -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe (InterVideo) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (truecrypt) -- C:\WINDOWS\system32\drivers\truecrypt.sys (TrueCrypt Foundation) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys (Duplex Secure Ltd.) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (CAMTHWDM) -- C:\WINDOWS\system32\drivers\CAMTHWDM.sys () DRV - (fssfltr) -- C:\WINDOWS\system32\drivers\fssfltr_tdi.sys (Microsoft Corporation) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (hwdatacard) -- C:\WINDOWS\system32\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.) DRV - (JMCR) -- C:\WINDOWS\system32\drivers\jmcr.sys (JMicron Technology Corporation) DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation ) DRV - (AR5416) -- C:\WINDOWS\system32\drivers\athw.sys (Atheros Communications, Inc.) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (M3000Srv) -- C:\WINDOWS\system32\drivers\M3000KNT.sys () DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.) DRV - (dac2w2k) -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys (Mylex Corporation) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (ql1280) -- C:\WINDOWS\system32\DRIVERS\ql1280.sys (QLogic Corporation) DRV - (ql12160) -- C:\WINDOWS\system32\DRIVERS\ql12160.sys (QLogic Corporation) DRV - (ql1080) -- C:\WINDOWS\system32\DRIVERS\ql1080.sys (QLogic Corporation) DRV - (ultra) -- C:\WINDOWS\system32\DRIVERS\ultra.sys (Promise Technology, Inc.) DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic) DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic) DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic) DRV - (asc) -- C:\WINDOWS\system32\DRIVERS\asc.sys (Advanced System Products, Inc.) DRV - (Sparrow) -- C:\WINDOWS\system32\DRIVERS\sparrow.sys (Adaptec, Inc.) DRV - (mraid35x) -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys (American Megatrends Inc.) DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.) DRV - (asc3550) -- C:\WINDOWS\system32\DRIVERS\asc3550.sys (Advanced System Products, Inc.) DRV - (CmdIde) -- C:\WINDOWS\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.) DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.) DRV - (amdagp) -- C:\WINDOWS\system32\DRIVERS\amdagp.sys (Advanced Micro Devices, Inc.) DRV - (sisagp) -- C:\WINDOWS\system32\DRIVERS\sisagp.sys (Silicon Integrated Systems Corporation) DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation) DRV - (ManyCam) -- C:\WINDOWS\system32\drivers\ManyCam.sys (ManyCam LLC.) DRV - (int15.sys) -- C:\Acer\Empowering Technology\eRecovery\int15.sys () DRV - (DKbFltr) -- C:\WINDOWS\system32\drivers\DKbFltr.SYS (Dritek System Inc.) DRV - (OVT511Plus) -- C:\WINDOWS\system32\drivers\omcamvid.sys (OmniVision Technologies, Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1743194580-4019140873-3077747528-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/sp/*hxxp://de.yahoo.com IE - HKU\S-1-5-21-1743194580-4019140873-3077747528-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://global.acer.com IE - HKU\S-1-5-21-1743194580-4019140873-3077747528-500\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch = IE - HKU\S-1-5-21-1743194580-4019140873-3077747528-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {000a9d1c-beef-4f90-9363-039d445309b8}:0.5.36.0 FF - HKLM\software\mozilla\Firefox\Extensions\\{000a9d1c-beef-4f90-9363-039d445309b8}: C:\Programme\Google\Google Gears\Firefox\ [2010.05.18 11:13:37 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.10 16:41:01 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.06.27 23:53:57 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.04.24 06:27:42 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.07.16 16:16:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions [2010.07.16 22:10:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\hv1rezo7.default\extensions [2010.07.16 22:10:52 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\hv1rezo7.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.07.12 10:01:31 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.04.29 06:33:47 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.04.12 17:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.03.12 15:14:02 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.03.12 15:14:03 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.03.12 15:14:03 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.03.12 15:14:03 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.03.12 15:14:03 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll (Microsoft Corporation) O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O2 - BHO: (Google Gears Helper) - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll (Google Inc.) O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation) O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe (Acer Inc.) O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation) O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [LaunchApp] C:\WINDOWS\Alaunch.exe (Acer Inc.) O4 - HKLM..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE (Dritek System Inc.) O4 - HKLM..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE (Lexmark International Inc.) O4 - HKLM..\Run: [M3000Mnt] File not found O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe () O4 - HKLM..\Run: [myfkvudp] C:\Dokumente und Einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\mcfxmuegu\artmjshtssd.exe File not found O4 - HKLM..\Run: [Orb] C:\Programme\Orb Networks\Orb\bin\OrbLauncher.exe (Orb Networks) O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe (InterVideo Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1743194580-4019140873-3077747528-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll (Google Inc.) O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} hxxp://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab (UnoCtrl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab (Oberon Flash Game Host) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Acer.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Acer.bmp O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.07.11 15:23:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: igfxdt32 - (C:\WINDOWS\system32\appeaint.dll) - C:\WINDOWS\system32\appeaint.dll () O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found NetSvcs: HidServ - C:\WINDOWS\System32\hidserv.dll File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: Wmi - C:\WINDOWS\System32\wmi.dll (Microsoft Corporation) NetSvcs: WmdmPmSp - File not found SafeBootMin: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: SCSI Class - Driver Group SafeBootMin: sermouse.sys - Driver SafeBootMin: System Bus Extender - Driver Group SafeBootMin: vga.sys - Driver SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: SCSI Class - Driver Group SafeBootNet: sermouse.sys - Driver SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: vga.sys - Driver SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906) ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7 ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install ActiveX: {8b15971b-5355-4c82-8c07-7e181ea07608} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {94de52c8-2d59-4f1b-883e-79663d2d9a8c} - rundll32.exe C:\WINDOWS\system32\Setup\FxsOcm.dll,XP_UninstallProvider ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.siren - C:\WINDOWS\System32\sirenacm.dll (Microsoft Corporation) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) CREATERESTOREPOINT Error starting restore point: The function was called in safe mode. Error closing restore point: The sequence number is invalid. ========== Files/Folders - Created Within 30 Days ========== [2010.07.17 15:15:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun [2010.07.16 22:11:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia [2010.07.16 22:11:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe [2010.07.16 16:19:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes [2010.07.16 16:18:39 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.07.16 16:18:37 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.07.16 16:18:37 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.07.16 16:18:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.07.16 16:17:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads [2010.07.16 16:16:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla [2010.07.16 16:16:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla [2010.07.16 16:15:49 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache [2010.07.16 16:15:14 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft [2010.07.16 16:15:14 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten [2010.07.16 16:15:14 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten [2010.07.16 16:15:14 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Musik [2010.07.16 16:15:14 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien [2010.07.16 16:15:14 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Bilder [2010.07.16 16:15:14 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies [2010.07.16 16:15:14 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung [2010.07.16 16:15:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SiteAdvisor [2010.07.16 16:15:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Seven Zip [2010.07.16 16:15:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft Help [2010.07.16 16:15:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft [2010.07.16 16:15:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield [2010.07.16 16:15:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Identities [2010.07.16 16:15:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop [2010.07.16 16:15:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory [2010.07.16 16:15:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe [2010.07.16 16:15:13 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo [2010.07.16 16:15:13 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent [2010.07.16 16:15:13 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü [2010.07.16 16:15:13 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen [2010.07.16 16:15:13 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung [2010.07.16 16:15:13 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen [2010.07.12 08:16:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia [2010.07.12 08:16:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.07.17 15:15:39 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.07.17 15:03:24 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.07.17 15:01:18 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.07.16 22:29:04 | 001,048,576 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT [2010.07.16 22:29:04 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini [2010.07.16 22:29:03 | 001,930,896 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.07.16 18:43:00 | 000,001,256 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1743194580-4019140873-3077747528-1006UA.job [2010.07.16 18:18:00 | 000,000,900 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.07.16 17:26:29 | 000,000,896 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.07.16 16:21:57 | 000,092,352 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.07.16 16:18:42 | 000,000,680 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.07.16 16:14:32 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.07.11 13:59:50 | 000,000,302 | ---- | M] () -- C:\WINDOWS\tasks\Orb Index when idle.job [2010.07.11 07:43:00 | 000,001,204 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1743194580-4019140873-3077747528-1006Core.job [2010.07.10 08:57:11 | 000,046,592 | -H-- | M] () -- C:\WINDOWS\System32\appeaint.dll [2010.07.02 21:55:09 | 000,000,110 | ---- | M] () -- C:\WINDOWS\GMouse.ini [2010.06.23 11:20:50 | 001,031,728 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.06.23 11:20:50 | 000,461,240 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.06.23 11:20:50 | 000,443,114 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.06.23 11:20:50 | 000,085,942 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.06.23 11:20:50 | 000,072,380 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.07.16 22:28:53 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.07.16 16:18:42 | 000,000,680 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.07.16 16:15:15 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2010.07.16 16:15:13 | 001,048,576 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT [2010.07.16 16:15:13 | 000,135,168 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG [2010.07.16 16:15:13 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini [2010.07.10 08:57:11 | 000,046,592 | -H-- | C] () -- C:\WINDOWS\System32\appeaint.dll [2009.09.12 05:55:38 | 001,053,056 | ---- | C] () -- C:\WINDOWS\System32\drivers\CAMTHWDM.sys [2009.01.04 06:21:29 | 000,000,024 | ---- | C] () -- C:\WINDOWS\ShellIcon32.dll [2008.11.17 12:59:02 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll [2008.10.12 11:05:10 | 000,000,110 | ---- | C] () -- C:\WINDOWS\GMouse.ini [2008.10.08 16:57:18 | 000,012,288 | ---- | C] () -- C:\WINDOWS\impborl.dll [2008.07.11 17:16:42 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2008.05.05 09:01:02 | 000,254,976 | ---- | C] () -- C:\WINDOWS\System32\drivers\M3000KNT.sys [2008.02.15 07:21:56 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll [2007.07.13 08:49:00 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\M3000DIF.dll [2006.03.10 23:15:44 | 000,037,706 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2005.03.29 00:45:26 | 000,000,141 | ---- | C] () -- C:\WINDOWS\ALaunch.ini [2003.09.22 07:49:36 | 000,015,190 | ---- | C] () -- C:\WINDOWS\M3000Twn.ini [2002.11.22 02:57:26 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2002.11.22 02:57:26 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2002.11.22 02:57:26 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2002.11.22 02:57:26 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2002.11.22 02:57:26 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2002.11.22 02:57:24 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2001.09.18 12:00:00 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\bmpproc.dll ========== LOP Check ========== [2010.03.18 22:46:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2009.07.14 21:14:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2010.04.25 12:42:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks [2009.07.01 14:05:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM [2010.05.06 05:58:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrueCrypt [2009.09.12 05:56:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WebcamMax [2008.08.08 07:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{174892B1-CBE7-44F5-86FF-AB555EFD73A3} [2008.10.04 03:33:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\SACore [2010.07.11 13:59:50 | 000,000,302 | ---- | M] () -- C:\WINDOWS\Tasks\Orb Index when idle.job [2010.03.23 08:29:17 | 000,000,304 | ---- | M] () -- C:\WINDOWS\Tasks\photostageSevenDays.job [2010.03.26 08:29:01 | 000,000,304 | ---- | M] () -- C:\WINDOWS\Tasks\photostageShakeIcon.job [2010.03.23 08:29:29 | 000,000,296 | ---- | M] () -- C:\WINDOWS\Tasks\videopadSevenDays.job [2010.03.26 08:29:02 | 000,000,296 | ---- | M] () -- C:\WINDOWS\Tasks\videopadShakeIcon.job ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2010.07.17 15:16:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe [2008.08.08 07:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Identities [2008.08.08 07:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield [2010.07.16 22:11:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia [2010.07.16 16:19:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes [2010.07.16 16:23:13 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft [2010.07.16 16:16:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla [2008.07.11 15:47:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SiteAdvisor [2010.07.17 15:15:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun < %APPDATA%\*.exe /s > < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\I386\sp3.cab:AGP440.sys [2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys [2008.04.14 00:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\dllcache\agp440.sys [2008.04.14 00:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\AGP440.SYS < MD5 for: ATAPI.SYS > [2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\I386\sp3.cab:atapi.sys [2008.04.14 14:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2008.04.14 14:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\dllcache\atapi.sys [2008.04.14 14:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys [2008.04.14 14:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0006\DriverFiles\i386\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 14:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\dllcache\eventlog.dll [2008.04.14 14:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll < MD5 for: NETLOGON.DLL > [2008.04.14 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\dllcache\netlogon.dll [2008.04.14 14:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 14:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\dllcache\scecli.dll [2008.04.14 14:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll < MD5 for: USERINIT.EXE > [2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe [2008.04.14 14:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WS2IFSL.SYS > [2008.04.14 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2008.04.14 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2008.07.11 17:14:34 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2008.07.11 17:14:34 | 001,069,056 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2008.07.11 17:14:34 | 000,438,272 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [3 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < End of report > |
18.07.2010, 14:46 | #6 |
/// Malware-holic | Windows Security Alert / AV Security Suite / Antivirus Software Alert Fixen mit OTL • Starte bitte die OTL.exe. Vista-User mit Rechtsklick "als Administrator starten" • Kopiere nun das Folgende in die Textbox. :OTL O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found O4 - HKLM..\Run: [M3000Mnt] File not found O4 - HKLM..\Run: [myfkvudp] C:\Dokumente und Einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\mcfxmuegu\artmjshtssd.exe File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O36 - AppCertDlls: igfxdt32 - (C:\WINDOWS\system32\appeaint.dll) - C:\WINDOWS\system32\appeaint.dll () :Files C:\WINDOWS\system32\appeaint.dll :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten nutze den ccleaner, bereinige dateien + registry: http://www.trojaner-board.de/51464-a...-ccleaner.html bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
18.07.2010, 16:52 | #7 |
| Windows Security Alert / AV Security Suite / Antivirus Software Alert er läuft wieder im normalen modus und internetverbindung geht auch wieder ist er denn jetzt wieder völlig bereinigt ? hier mal die logs: All processes killed ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\M3000Mnt deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\myfkvudp deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session manager\\BootExecute:autocheck autochk * deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\igfxdt32:C:\WINDOWS\system32\appeaint.dll deleted successfully. C:\WINDOWS\system32\appeaint.dll moved successfully. ========== FILES ========== File\Folder C:\WINDOWS\system32\appeaint.dll not found. ========== COMMANDS ========== [EMPTYFLASH] User: Administrator ->Flash cache emptied: 456 bytes User: All Users User: Default User User: LocalService User: NetworkService ->Flash cache emptied: 593 bytes User: Postbank - BHW ->Flash cache emptied: 405 bytes User: Postbank - Reinke Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrator ->Temp folder emptied: 1029514 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 9057443 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 212992 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: LocalService ->Temp folder emptied: 82513 bytes ->Temporary Internet Files folder emptied: 754997 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 362905 bytes ->Flash cache emptied: 0 bytes User: Postbank - BHW ->Temp folder emptied: 800663 bytes ->Temporary Internet Files folder emptied: 1049647 bytes ->FireFox cache emptied: 24075952 bytes ->Flash cache emptied: 0 bytes User: Postbank - Reinke %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 1163143 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 16384 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 37,00 mb OTL by OldTimer - Version 3.2.9.0 log created on 07182010_164440 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Combofix Logfile: Code:
ATTFilter ComboFix 10-07-16.02 - Postbank - Reinke 18.07.2010 17:29:44.1.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1012.551 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Eigene Dateien\Downloads\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . Infizierte Kopie von c:\windows\system32\drivers\aic78u2.sys wurde gefunden und desinfiziert Kopie von - Kitty had a snack :p wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2010-06-18 bis 2010-07-18 )))))))))))))))))))))))))))))) . 2010-07-18 14:44 . 2010-07-18 14:44 -------- d-----w- C:\_OTL 2010-07-16 20:28 . 2010-07-18 15:11 664 ----a-w- c:\windows\system32\d3d9caps.dat 2010-07-16 14:21 . 2010-07-16 14:21 92352 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-07-16 14:19 . 2010-07-16 14:19 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2010-07-16 14:18 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-07-16 14:18 . 2010-07-16 15:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-07-16 14:18 . 2010-07-16 14:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-07-16 14:18 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-07-16 14:16 . 2010-07-16 14:16 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-06-23 09:20 . 2008-07-11 14:08 85942 ----a-w- c:\windows\system32\perfc007.dat 2010-06-23 09:20 . 2008-07-11 14:08 461240 ----a-w- c:\windows\system32\perfh007.dat 2010-06-22 04:53 . 2008-11-13 13:54 -------- d-----w- c:\programme\CCleaner 2010-06-10 11:01 . 2008-07-11 14:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2010-06-04 19:53 . 2008-10-02 21:44 -------- d-----w- c:\programme\Microsoft Silverlight 2010-06-03 05:39 . 2010-06-03 05:38 -------- d-----w- c:\programme\SecondLifeViewer2 2010-05-06 10:31 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2010-05-06 03:58 . 2010-05-06 03:58 223440 ----a-w- c:\windows\system32\drivers\truecrypt.sys 2010-05-02 08:05 . 2008-04-14 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys 2010-04-20 05:29 . 2008-04-14 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Google Update"="c:\dokumente und einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2009-06-13 133104] "MsgCenterExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" [2008-10-24 69632] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696] "myfkvudp"="c:\dokumente und einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\mcfxmuegu\artmjshtssd.exe" [2010-07-11 293632] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [X] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424] "Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752] "RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720] "AzMixerSel"="c:\programme\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-17 53248] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-04-25 1044480] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-14 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168] "LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2008-05-14 821768] "eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2008-05-22 425984] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-24 185872] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2009-04-26 111928] "LXSUPMON"="c:\windows\system32\LXSUPMON.EXE" [2002-03-25 900096] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072] "Orb"="c:\programme\Orb Networks\Orb\bin\OrbLauncher.exe" [2010-04-02 754288] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2008-6-4 114688] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\SecondLife\\SLVoice.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Program Files\\Real\\RealPlayer\\realplay.exe"= "c:\\Programme\\ebis\\jre\\bin\\javaw.exe"= "c:\\Programme\\LimeWire\\LimeWire.exe"= "c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"= "c:\\WINDOWS\\system32\\java.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Gold Club Casino\\casino.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Orb Networks\\Orb\\bin\\Orb.exe"= "c:\\Programme\\Orb Networks\\Orb\\bin\\OrbLauncher.exe"= "c:\\Programme\\Orb Networks\\Orb\\bin\\OrbSetupWizard.exe"= "c:\\Programme\\Orb Networks\\Orb\\bin\\OrbControlPanel.exe"= "c:\\Programme\\Orb Networks\\Orb\\bin\\OrbStreamerClient.exe"= "c:\\Programme\\SecondLifeViewer2\\SLVoice.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "443:TCP"= 443:TCP:*:Disabled:ooVoo TCP Port 443 "443:UDP"= 443:UDP:*:Disabled:ooVoo UDP Port 443 "37674:TCP"= 37674:TCP:*:Disabled:ooVoo TCP Port 37674 "37674:UDP"= 37674:UDP:*:Disabled:ooVoo UDP Port 37674 "37675:UDP"= 37675:UDP:*:Disabled:ooVoo UDP Port 37675 R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.05.2009 19:13 108289] R2 CAMTHWDM;WebcamMax, WDM Video Capture;c:\windows\system32\drivers\CAMTHWDM.sys [12.09.2009 05:55 1053056] R3 M3000Srv;Acer Crystal Eye webcam Driver;c:\windows\system32\drivers\M3000KNT.sys [05.05.2008 09:01 254976] R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14.01.2008 12:06 21632] S2 Anyplace Control Security;Anyplace Control Security;c:\windows\svcadmin.exe [15.06.2008 12:24 104960] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [18.05.2010 11:13 136176] S3 JMCR;JMCR;c:\windows\system32\drivers\jmcr.sys [21.05.2008 10:11 96856] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [05.05.2009 17:39 691696] . Inhalt des "geplante Tasks" Ordners 2010-07-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-05-18 09:13] 2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-05-18 09:13] 2010-07-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1743194580-4019140873-3077747528-1006Core.job - c:\dokumente und einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-06-13 18:01] 2010-07-16 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1743194580-4019140873-3077747528-1006UA.job - c:\dokumente und einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-06-13 18:01] 2010-07-11 c:\windows\Tasks\Orb Index when idle.job - c:\programme\Orb Networks\Orb\bin\OrbLauncher.exe [2010-04-02 23:48] 2010-03-23 c:\windows\Tasks\photostageSevenDays.job - c:\programme\NCH Software\PhotoStage\photostage.exe [2010-03-23 06:29] 2010-03-26 c:\windows\Tasks\photostageShakeIcon.job - c:\programme\NCH Software\PhotoStage\photostage.exe [2010-03-23 06:29] 2010-03-23 c:\windows\Tasks\videopadSevenDays.job - c:\programme\NCH Software\VideoPad\videopad.exe [2010-03-23 06:29] 2010-03-26 c:\windows\Tasks\videopadShakeIcon.job - c:\programme\NCH Software\VideoPad\videopad.exe [2010-03-23 06:29] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 uInternet Connection Wizard,ShellNext = iexplore uInternet Settings,ProxyServer = http=127.0.0.1:5577 uInternet Settings,ProxyOverride = <local> uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*hxxp://de.yahoo.com IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Save YouTube Video - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm IE: Zur Filterliste hinzufügen (WebWasher) - hxxp://-Web.Washer-/ie_add FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\hv1rezo7.default\ FF - component: c:\programme\Google\Google Gears\Firefox\lib\ff36\gears.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file) HKCU-Run-MsnMsgr - ~c:\programme\Windows Live\Messenger\msnmsgr.exe HKCU-Run-ICQ - ~c:\programme\ICQ6.5\ICQ.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-07-18 17:37 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKCU\Software\Microsoft\Windows\CurrentVersion\Run MsnMsgr = ~"c:\programme\Windows Live\Messenger\msnmsgr.exe" /background? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1743194580-4019140873-3077747528-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{134109E6-FBDD-7671-5E72-BAE04F3BE3CC}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "hagnoedlpkjpimep"=hex:66,61,63,62,6e,6f,70,61,6b,70,70,67,00,00 "iafioghikcogkkccoi"=hex:69,61,68,62,68,62,6a,6c,69,61,6f,6a,66,6d,70,70,68,6f, 00,00 "hapiepnjbajpppmo"=hex:69,61,69,62,69,6f,69,62,6a,6e,6a,62,70,6b,6a,6a,69,63, 00,00 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(416) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2010-07-18 17:40:02 ComboFix-quarantined-files.txt 2010-07-18 15:39 Vor Suchlauf: 2.273.976.320 Bytes frei Nach Suchlauf: 2.302.275.584 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect - - End Of File - - 66C2F9CE3C9A02D5E67055A5EF69C04D |
18.07.2010, 18:01 | #8 |
/// Malware-holic | Windows Security Alert / AV Security Suite / Antivirus Software Alert nein, noch nicht fertig. Start programme, zubehör, editor. kopiere rein: Killall:: Folder:: c:\dokumente und einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\mcfxmuegu Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "myfkvudp"=- dds:: uInternet Settings,ProxyServer = http=127.0.0.1:5577 uInternet Settings,ProxyOverride = <local> Datei speichern unter, dateityp, alle name, cfscript.txt speicherort, dort wo sich combofix.exe befindet. ziehe cfscript auf combofix. programm startet, log posten. |
19.07.2010, 08:28 | #9 |
| Windows Security Alert / AV Security Suite / Antivirus Software Alert ok hab ich gemacht. hier der log: Combofix Logfile: Code:
ATTFilter ComboFix 10-07-16.02 - Postbank - Reinke 19.07.2010 9:07.2.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1012.633 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Administrator\Eigene Dateien\Downloads\ComboFix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Eigene Dateien\Downloads\cfscript.txt AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\mcfxmuegu c:\dokumente und einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\mcfxmuegu\artmjshtssd.exe . ((((((((((((((((((((((( Dateien erstellt von 2010-06-19 bis 2010-07-19 )))))))))))))))))))))))))))))) . 2010-07-18 14:44 . 2010-07-18 14:44 -------- d-----w- C:\_OTL 2010-07-16 20:28 . 2010-07-18 15:11 664 ----a-w- c:\windows\system32\d3d9caps.dat 2010-07-16 14:21 . 2010-07-16 14:21 92352 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-07-16 14:19 . 2010-07-16 14:19 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2010-07-16 14:18 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-07-16 14:18 . 2010-07-16 15:20 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-07-16 14:18 . 2010-07-16 14:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-07-16 14:18 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-07-16 14:16 . 2010-07-16 14:16 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-06-23 09:20 . 2008-07-11 14:08 85942 ----a-w- c:\windows\system32\perfc007.dat 2010-06-23 09:20 . 2008-07-11 14:08 461240 ----a-w- c:\windows\system32\perfh007.dat 2010-06-22 04:53 . 2008-11-13 13:54 -------- d-----w- c:\programme\CCleaner 2010-06-10 11:01 . 2008-07-11 14:00 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2010-06-04 19:53 . 2008-10-02 21:44 -------- d-----w- c:\programme\Microsoft Silverlight 2010-06-03 05:39 . 2010-06-03 05:38 -------- d-----w- c:\programme\SecondLifeViewer2 2010-05-06 10:31 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2010-05-06 03:58 . 2010-05-06 03:58 223440 ----a-w- c:\windows\system32\drivers\truecrypt.sys 2010-05-02 08:05 . 2008-04-14 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Google Update"="c:\dokumente und einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2009-06-13 133104] "MsgCenterExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" [2008-10-24 69632] "DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [X] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424] "Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752] "RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720] "AzMixerSel"="c:\programme\Realtek\Audio\InstallShield\AzMixerSel.exe" [2006-07-17 53248] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2008-04-25 1044480] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-14 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168] "LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2008-05-14 821768] "eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2008-05-22 425984] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-24 185872] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2009-04-26 111928] "LXSUPMON"="c:\windows\system32\LXSUPMON.EXE" [2002-03-25 900096] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072] "Orb"="c:\programme\Orb Networks\Orb\bin\OrbLauncher.exe" [2010-04-02 754288] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2008-6-4 114688] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\SecondLife\\SLVoice.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Program Files\\Real\\RealPlayer\\realplay.exe"= "c:\\Programme\\ebis\\jre\\bin\\javaw.exe"= "c:\\Programme\\LimeWire\\LimeWire.exe"= "c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"= "c:\\WINDOWS\\system32\\java.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Java\\jre6\\bin\\javaw.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Gold Club Casino\\casino.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\Orb Networks\\Orb\\bin\\Orb.exe"= "c:\\Programme\\Orb Networks\\Orb\\bin\\OrbLauncher.exe"= "c:\\Programme\\Orb Networks\\Orb\\bin\\OrbSetupWizard.exe"= "c:\\Programme\\Orb Networks\\Orb\\bin\\OrbControlPanel.exe"= "c:\\Programme\\Orb Networks\\Orb\\bin\\OrbStreamerClient.exe"= "c:\\Programme\\SecondLifeViewer2\\SLVoice.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "443:TCP"= 443:TCP:*:Disabled:ooVoo TCP Port 443 "443:UDP"= 443:UDP:*:Disabled:ooVoo UDP Port 443 "37674:TCP"= 37674:TCP:*:Disabled:ooVoo TCP Port 37674 "37674:UDP"= 37674:UDP:*:Disabled:ooVoo UDP Port 37674 "37675:UDP"= 37675:UDP:*:Disabled:ooVoo UDP Port 37675 R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [18.05.2009 19:13 108289] R2 Anyplace Control Security;Anyplace Control Security;c:\windows\svcadmin.exe [15.06.2008 12:24 104960] R2 CAMTHWDM;WebcamMax, WDM Video Capture;c:\windows\system32\drivers\CAMTHWDM.sys [12.09.2009 05:55 1053056] R3 M3000Srv;Acer Crystal Eye webcam Driver;c:\windows\system32\drivers\M3000KNT.sys [05.05.2008 09:01 254976] R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\ManyCam.sys [14.01.2008 12:06 21632] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [18.05.2010 11:13 136176] S3 JMCR;JMCR;c:\windows\system32\drivers\jmcr.sys [21.05.2008 10:11 96856] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [05.05.2009 17:39 691696] . Inhalt des "geplante Tasks" Ordners 2010-07-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-05-18 09:13] 2010-07-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-05-18 09:13] 2010-07-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1743194580-4019140873-3077747528-1006Core.job - c:\dokumente und einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-06-13 18:01] 2010-07-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1743194580-4019140873-3077747528-1006UA.job - c:\dokumente und einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-06-13 18:01] 2010-07-11 c:\windows\Tasks\Orb Index when idle.job - c:\programme\Orb Networks\Orb\bin\OrbLauncher.exe [2010-04-02 23:48] 2010-03-23 c:\windows\Tasks\photostageSevenDays.job - c:\programme\NCH Software\PhotoStage\photostage.exe [2010-03-23 06:29] 2010-03-26 c:\windows\Tasks\photostageShakeIcon.job - c:\programme\NCH Software\PhotoStage\photostage.exe [2010-03-23 06:29] 2010-03-23 c:\windows\Tasks\videopadSevenDays.job - c:\programme\NCH Software\VideoPad\videopad.exe [2010-03-23 06:29] 2010-03-26 c:\windows\Tasks\videopadShakeIcon.job - c:\programme\NCH Software\VideoPad\videopad.exe [2010-03-23 06:29] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://start.icq.com/ uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/su/*hxxp://de.yahoo.com IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 IE: Save YouTube Video - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm IE: Zur Filterliste hinzufügen (WebWasher) - hxxp://-Web.Washer-/ie_add FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\hv1rezo7.default\ FF - component: c:\programme\Google\Google Gears\Firefox\lib\ff36\gears.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5); c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-07-19 09:16 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1743194580-4019140873-3077747528-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{134109E6-FBDD-7671-5E72-BAE04F3BE3CC}*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) "hagnoedlpkjpimep"=hex:66,61,63,62,6e,6f,70,61,6b,70,70,67,00,00 "iafioghikcogkkccoi"=hex:69,61,68,62,68,62,6a,6c,69,61,6f,6a,66,6d,70,70,68,6f, 00,00 "hapiepnjbajpppmo"=hex:69,61,69,62,69,6f,69,62,6a,6e,6a,62,70,6b,6a,6a,69,63, 00,00 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(3644) c:\programme\SweetIM\Messenger\mgAdaptersProxy.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\LEXBCES.EXE c:\windows\system32\LEXPPS.EXE c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\wscntfy.exe c:\windows\system32\igfxsrvc.exe c:\windows\RTHDCPL.EXE c:\windows\system32\igfxext.exe c:\programme\Orb Networks\Orb\bin\Orb.exe c:\dokume~1\POSTBA~1\LOKALE~1\Temp\RtkBtMnt.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-07-19 09:23:43 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-07-19 07:23 ComboFix2.txt 2010-07-18 15:40 Vor Suchlauf: 2.220.068.864 Bytes frei Nach Suchlauf: 2.210.041.856 Bytes frei - - End Of File - - C9606F420C1080E8D7672BD75A6F2096 |
19.07.2010, 14:16 | #10 |
/// Malware-holic | Windows Security Alert / AV Security Suite / Antivirus Software Alert rechtsklick avira schirm, guard deaktivieren. öffne arbeitsplatz, c: dort ist ein ordner _otl dort nen rechtsklick drauf, zu _otl.rar oder zip hinzufügen und an uns hochladen. http://www.trojaner-board.de/54791-a...ner-board.html das selbe mit dem ordner qoobox. gib bescheid wenn das erledigt ist. dann einen scan mit avira. avira avira so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
20.07.2010, 09:46 | #11 |
| Windows Security Alert / AV Security Suite / Antivirus Software Alert OK ist erledigt. Habe beide als rar hochgeladen. Mache jetzt einen scan mit avira 10 nach der anleitung. |
20.07.2010, 11:38 | #12 |
| Windows Security Alert / AV Security Suite / Antivirus Software Alert scan ist jetzt auch fertig. avira hat 6 funde gehabt und ich habe sie in quarantäne verschoben. hier der report von avira: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Dienstag, 20. Juli 2010 11:38 Es wird nach 2365435 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : Postbank - Reinke Computername : REINKE Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:11:43 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 09:11:52 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 09:11:52 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 09:11:52 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 09:11:52 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 09:11:52 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 09:11:52 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 09:11:53 VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 09:11:54 VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 09:11:55 VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 09:11:55 VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 09:11:56 VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 09:11:57 VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 09:11:58 VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 09:11:59 VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 09:12:00 VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 09:12:00 VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 09:12:01 VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 09:12:02 VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 09:12:03 VBASE025.VDF : 7.10.9.99 158720 Bytes 16.07.2010 09:12:03 VBASE026.VDF : 7.10.9.112 155136 Bytes 19.07.2010 09:12:04 VBASE027.VDF : 7.10.9.113 2048 Bytes 19.07.2010 09:12:04 VBASE028.VDF : 7.10.9.114 2048 Bytes 19.07.2010 09:12:05 VBASE029.VDF : 7.10.9.115 2048 Bytes 19.07.2010 09:12:05 VBASE030.VDF : 7.10.9.116 2048 Bytes 19.07.2010 09:12:05 VBASE031.VDF : 7.10.9.122 60928 Bytes 20.07.2010 09:12:05 Engineversion : 8.2.4.12 AEVDF.DLL : 8.1.2.0 106868 Bytes 20.07.2010 09:12:20 AESCRIPT.DLL : 8.1.3.40 1360250 Bytes 20.07.2010 09:12:20 AESCN.DLL : 8.1.6.1 127347 Bytes 20.07.2010 09:12:18 AESBX.DLL : 8.1.3.1 254324 Bytes 20.07.2010 09:12:21 AERDL.DLL : 8.1.4.6 541043 Bytes 20.07.2010 09:12:18 AEPACK.DLL : 8.2.2.6 430452 Bytes 20.07.2010 09:12:16 AEOFFICE.DLL : 8.1.1.6 201081 Bytes 20.07.2010 09:12:15 AEHEUR.DLL : 8.1.1.38 2724214 Bytes 20.07.2010 09:12:15 AEHELP.DLL : 8.1.11.6 242038 Bytes 20.07.2010 09:12:10 AEGEN.DLL : 8.1.3.14 381299 Bytes 20.07.2010 09:12:10 AEEMU.DLL : 8.1.2.0 393588 Bytes 20.07.2010 09:12:09 AECORE.DLL : 8.1.15.4 192886 Bytes 20.07.2010 09:12:07 AEBB.DLL : 8.1.1.0 53618 Bytes 20.07.2010 09:12:07 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\alldrives.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: aus Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR, Beginn des Suchlaufs: Dienstag, 20. Juli 2010 11:38 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'rsmsink.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RtkBtMnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Orb.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WinCinemaMgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DTLite.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RealOneMessageCenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'OrbLauncher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LXSUPMON.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SweetIM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'QtZgAcer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'eRAgent.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svcadmin.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '467' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <ACER> C:\Dokumente und Einstellungen\Postbank - Reinke\Eigene Dateien\Eigene Musik\AC DC\ACDC - Black Ice - 07 - spoiling for fight ac dc black(1).mp3 [FUND] Enthält Erkennungsmuster des Exploits EXP/ASF.GetCodec.Gen C:\Dokumente und Einstellungen\Postbank - Reinke\Eigene Dateien\Eigene Musik\Böhse Onkelz\bohse onkelz mexico i love latinas cd4.avi [FUND] Enthält Erkennungsmuster des Exploits EXP/ASF.GetCodec.Gen C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\mcfxmuegu\artmjshtssd.exe.vir [FUND] Ist das Trojanische Pferd TR/Fake.SecSui.O C:\System Volume Information\_restore{63424077-D6C7-4118-84E0-FDC2757B780D}\RP340\A0057831.sys [FUND] Ist das Trojanische Pferd TR/Patched.Gen C:\System Volume Information\_restore{63424077-D6C7-4118-84E0-FDC2757B780D}\RP341\A0058005.exe [FUND] Ist das Trojanische Pferd TR/Fake.SecSui.O C:\_OTL\MovedFiles\07182010_164440\C_WINDOWS\system32\appeaint.dll [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Papras.KN Beginne mit der Suche in 'D:\' Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Desinfektion: C:\_OTL\MovedFiles\07182010_164440\C_WINDOWS\system32\appeaint.dll [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Papras.KN [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4644d880.qua' verschoben! C:\System Volume Information\_restore{63424077-D6C7-4118-84E0-FDC2757B780D}\RP341\A0058005.exe [FUND] Ist das Trojanische Pferd TR/Fake.SecSui.O [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e13f0e7.qua' verschoben! C:\System Volume Information\_restore{63424077-D6C7-4118-84E0-FDC2757B780D}\RP340\A0057831.sys [FUND] Ist das Trojanische Pferd TR/Patched.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0c4caa0f.qua' verschoben! C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Postbank - Reinke\Lokale Einstellungen\Anwendungsdaten\mcfxmuegu\artmjshtssd.exe.vir [FUND] Ist das Trojanische Pferd TR/Fake.SecSui.O [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6ab7e203.qua' verschoben! C:\Dokumente und Einstellungen\Postbank - Reinke\Eigene Dateien\Eigene Musik\Böhse Onkelz\bohse onkelz mexico i love latinas cd4.avi [FUND] Enthält Erkennungsmuster des Exploits EXP/ASF.GetCodec.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2f27cf32.qua' verschoben! C:\Dokumente und Einstellungen\Postbank - Reinke\Eigene Dateien\Eigene Musik\AC DC\ACDC - Black Ice - 07 - spoiling for fight ac dc black(1).mp3 [FUND] Enthält Erkennungsmuster des Exploits EXP/ASF.GetCodec.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5018faa8.qua' verschoben! Ende des Suchlaufs: Dienstag, 20. Juli 2010 12:34 Benötigte Zeit: 54:39 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 8616 Verzeichnisse wurden überprüft 110849 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 6 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 110843 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 6 Hinweise 71519 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
20.07.2010, 14:25 | #13 |
/// Malware-holic | Windows Security Alert / AV Security Suite / Antivirus Software Alert ok, nutze noch mal den ccleaner, bereinige dateien + registry. rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, auf allen laufwerken deaktiviren, übernehmen, ok 5 min warten, wieder ein schalten. nutze den eset online scanner: Free ESET Online Antivirus Scanner ergebniss posten. |
21.07.2010, 02:59 | #14 |
| Windows Security Alert / AV Security Suite / Antivirus Software Alert hallo, habe alle schritte durchgeführt und danach dann eset online scanner laufen lassen und er hat folgendes in quarantäne gestellt: C:\Qoobox.rar Win32/Adware.SpywareProtect2009 application deleted - quarantined C:\_OTL.rar a variant of Win32/Kryptik.FOX trojan deleted - quarantined |
21.07.2010, 14:30 | #15 |
/// Malware-holic | Windows Security Alert / AV Security Suite / Antivirus Software Alert jo das ist kein problem, nur otl und qoobox. gabs noch probleme? |
Themen zu Windows Security Alert / AV Security Suite / Antivirus Software Alert |
acer aspire, alert, antivir, antivirus, antivirus software alert, application cannot be executed., attention, avira, browser, computer, download, explorer, firefox, internet, kommt immer wieder, launch, malicious code, problem, programme, scan, secure, security, security suite, security warning, software, spyware, spyware alert, system, trojan, updates, windows, windows reports that computer is infected., windows security, windows security alert, windows xp, öffnet |