Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.07.2010, 20:22   #1
ReBlubb
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



Hallo...sorry schonmal für den folgenden langen Post, aber lange Geschichte...
Ich bin vor einigen Tagen auf attackierenden Seiten gelandet.Avira hat jedesmal sofort Alarm geschrieen, Meldung war
Code:
ATTFilter
In der Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\Cache\736B9F3Dd01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         
das ganze 3 mal- bei den ersten beiden Malen Zugriff erlaubt, beim 3.mal verweigert.Ich habe immer "Entfernen" angeklickt.

Die 2. Warnung war
Code:
ATTFilter
In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\Cache\B3320EFFd01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         
kam 2mal, beim ersten mal erlaubt, beim 2.Mal Zugriff verweigert.

Beide Warnungen kamen vom Guard.
In beiden Fällen kam rechts unten das Avira-Warnkästchen, und wenn ich was angeklickt hab, ist in Bildschirmmitte ein kleines Avira-Kästchen aufgegangen,in dem stand nur Avira-Suchlauf und ein Zeitbalken.Weit entfernt vom Aussehen des normalen Luke Filewalker.Ich hab das jeweils ganz schnell über den Taskmanager ausgeschaltet weil mir das spanisch vorkam.

Dann hab ich nen Avira-Suchlauf selber initiiert, und dabei kamen beide Meldungen wieder,diesmal mit der Meldung, dass die Dateien ins Quarantäneverzeichnis verschoben wurden.Vorerst war ich dann beruhigt.

Heute schalt ich den Rechner ein, dann kommt Avira plötzlich im Minutentakt mit folgender Meldung:
Code:
ATTFilter
In der Datei 'C:\WINXP\system32\autoager.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
         
Ansonsten wieder dasselbe:Entfernen geklickt- und der "suchlauf" fing wieder an, den ich gestoppt hab.Das auffälligeiese Meldung kam 6 mal durch, jedesmal identischer Text. Aber wenn ich jetzt ins Avira LOG reinschaue, steht die Meldung da 15mal drin, immer in den Minuten der mir gezeigten Meldung noch 1-2 mal.Gemeldet wurde alles vom Guard, und jedesmal Zugriff verweigert.Seit ner halben Std is plötzlich Ruhe.

Malwarebytes Anti-Malware hab ich damals schon drüberlaufen lassen, keine Meldung.Auch heute, also gerade eben, hab ich es die Datei "WINXP" durchsuchen lassen, noch in der Zeit in der ständig mein Avira alarm geschriien hat- keine Treffer, MBAM sagt "alles sauber".

Und zuletzt:
Als das vorhin losging mit den Meldungen, hab ich zum Ableich mein Avira-Log durchsucht, und folgende Einträge gefunden:
Code:
ATTFilter
In der Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\pdfupd.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bredolab.foh' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff verweigern
         
, diese 2mal mit verweigert, dann 1 mal mit erlaubt, gefolgt von 2 mal dem Eintrag
Code:
ATTFilter
In der Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9CN00FZK\svchost[1].exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/Bredolab.foh' [backdoor] gefunden.
Ausgeführte Aktion: Zugriff erlauben
         
Nach rumhorchen hab ich mitbekommen dass da ein Kumpel von mir am Rechner war, er erzählt ungefähr dasselbe wie ich beim ersten Alarm vor einigen Tagen hatte...auf "Entfernen" gegangen als die Meldung kam, seltsamer Suchlauf, und auch er hat ihn per Taskmanager unterbrochen.

Fragen:
1.Wieso erlaubt Avira nen Zugriff?
2.Ist MBAM so unzuverlässig?
3.Was genau ist da passiert???
4.Ich bitte um Hilfe bei der Systembereinigung.


Ich surfe unter eingeschränktem Benutzerkonto.MBAM hat dammit beim Suchlauf keine Probleme, Lop SD hat am anfang vom Suchlauf massenhaft Fehlermeldungen gebracht,und dann kein Log abgespeichert,liegt das an den Viren oder am eingeschränkten Konto?Und RSIT meldet gleich dass es Adminrechte braucht.
Dazu folgende Frage:Wenn ich diese Suchläufe unter Adminrechten mache, besteht dann nicht die Gefahr dass die Malware, die ja bisher zumindest nicht allzuviel anrichten konnte, erst richtig zuschlägt, wenn sie plötzlich Adminrechte bekommt?
Das ist mir leider erst eingefallen, als ich mich kurz als Admin angemeldet hatte um die Scans zu machen, ich hab dann sofort den Rechner runtergefahren, kann da schon was passiert sein?

Alt 21.07.2010, 18:31   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



Zitat:
Nach rumhorchen hab ich mitbekommen dass da ein Kumpel von mir am Rechner war,
Was genau hat der da am PC gemacht? Wieso hatte er Adminrechte wenn Du keine zum normalen Arbeiten benutzt?

Zitat:
Dazu folgende Frage:Wenn ich diese Suchläufe unter Adminrechten mache, besteht dann nicht die Gefahr dass die Malware, die ja bisher zumindest nicht allzuviel anrichten konnte, erst richtig zuschlägt, wenn sie plötzlich Adminrechte bekommt?
Dass Du eingeschränkte Rechte nutzt ist löblich, aber das System ist schon kompromittiert, denn wie sonst kann da ein Schädling im Windows-Ordner sein? Da hat ein normaler Benutzer keine Schreibrechte!

Zitat:
1.Wieso erlaubt Avira nen Zugriff?
Wo "erlaubt" AntiVir irgendwas? Es ist bestimmt keine Absicht, dass virulente Dateien "erlaubt" werden, vielmehr ist es so, dass kein Virenscanner jemals zu 100% jeden Schädling finden kann!

Zitat:
2.Ist MBAM so unzuverlässig?
Siehe oben, kein Tool findet zu 100% alle Schädlinge.
MBAM an sich ist ein sehr effizientes Anti-Malware-Tool.

Zitat:
3.Was genau ist da passiert???
Das weiß wohl nur Dein "Kumpel" (toller Kumpel, der shice auf Deinem Rechner ausführt )

Zitat:
4.Ich bitte um Hilfe bei der Systembereinigung.
Poste das Logfile von MBAM auch wenn keine Funde dabei waren.
__________________

__________________

Alt 21.07.2010, 20:28   #3
ReBlubb
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



Zitat:
Zitat von cosinus Beitrag anzeigen
Was genau hat der da am PC gemacht? Wieso hatte er Adminrechte wenn Du keine zum normalen Arbeiten benutzt?
Dass Du eingeschränkte Rechte nutzt ist löblich, aber das System ist schon kompromittiert, denn wie sonst kann da ein Schädling im Windows-Ordner sein? Da hat ein normaler Benutzer keine Schreibrechte!
Ähm...Das eingeschränkte Konto hab ich erst angelegt als diese erste Attacke vor einigen Tagen kam.
Kann´s sein dass der Rechner da schon was abbekommen hat?Den Zugangspass zum Adminkonto kennt er nicht mal.Oder später, als ich zwar beim surfen das eingeschränkte Konto hatte, aber kurz für die Scans in den Adminzugang rüber bin?Scheiss gemacht hat er ja nicht, zumindest net bewusst.Da haben wir ein bisschen nen Medienabend gemacht, die eine Hälfte is vor der PS gesessen, die andere hat rumgesurft.

Zitat:
Zitat von cosinus Beitrag anzeigen
Wo "erlaubt" AntiVir irgendwas? Es ist bestimmt keine Absicht, dass virulente Dateien "erlaubt" werden, vielmehr ist es so, dass kein Virenscanner jemals zu 100% jeden Schädling finden kann!
Gefunden hat er ihn ja, aber "Zugriff erlaubt"?



Zitat:
Zitat von cosinus Beitrag anzeigen
Siehe oben, kein Tool findet zu 100% alle Schädlinge.
MBAM an sich ist ein sehr effizientes Anti-Malware-Tool.
Poste das Logfile von MBAM auch wenn keine Funde dabei waren.
Mich hat halt gewundert dass in eiunem Ordner, in dem Avira parmanent Meldungen bringt, Mbam nix findet.Falscher Typ für Mbam?

Hier das Logfile:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4336

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.07.2010 21:20:49
mbam-log-2010-07-21 (21-20-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 158017
Laufzeit: 23 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Zu diesem eigeninitiierten Suchlauf von Avira:Ist das wirklich eine Avira-Funktion?Bei den Meldungen, egal ob bei den ersten die ich gesehen hab, von der Webseite im Tempordner, oder jetzt, bei den Meldungen von der Malware unter WinXP,hat sofort ein Suchlauf begonnen, egal was ich angeklickt habe.aber nur ein kleines Kästschen, und ohne "beenden"-Taste.
Oder ist das die Malware die sich so tarnt oder ähnliches?Sah mir einfach komisch aus.
__________________

Alt 22.07.2010, 13:58   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



Zitat:
Ähm...Das eingeschränkte Konto hab ich erst angelegt als diese erste Attacke vor einigen Tagen kam.
Kann´s sein dass der Rechner da schon was abbekommen hat?Den Zugangspass zum Adminkonto kennt er nicht mal.
Passt irgendwie nicht zusammen.
Wenn Du das eingeschränkte Konto erst danach erstellt hast, wird er mit Adminrechten gesurft haben.

Zitat:
Gefunden hat er ihn ja, aber "Zugriff erlaubt"?
Automatisch oder hast Du den Zugriff abgenickt?


Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.07.2010, 20:40   #5
ReBlubb
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



So....hier die logfiles...in deinem link sind die Kästchen LOP und Ourity rechts unten angeklickt, in deiner Beschreibung erwähnst du nix davon...ich hab mal mit probiert:

[/CODE]OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 22.07.2010 20:49:58 - Run 4
OTL by OldTimer - Version 3.2.9.1     Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 623,00 Mb Available Physical Memory | 61,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 4,40 Gb Free Space | 11,81% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 465,64 Gb Total Space | 241,94 Gb Free Space | 51,96% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC1
Current User Name: xxx
NOT logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINXP\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINXP\system32\framedyn.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
 
========== Driver Services (SafeList) ==========
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = ht  tp://www.xxx.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = ht  tp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 18 90 E9 F8 84 EC CA 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaulturl: "ht  tp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "ht  tp://www.Google.de"
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.7.4
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.1
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.06 00:10:08 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.06.27 10:54:26 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.06.18 17:54:38 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.08.26 00:45:27 | 000,000,000 | ---D | M]
 
[2010.06.18 17:54:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions
[2010.06.18 17:54:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010.07.21 21:31:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\extensions
[2010.07.13 20:26:20 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2010.07.13 20:26:18 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2009.10.22 21:11:43 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.23 22:52:46 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.23 22:52:46 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.23 22:52:46 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.23 22:52:46 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.23 22:52:46 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINXP\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKCU..\Run: [{204D54A9-590E-7316-B9D4-B783363BBC3D}] C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Vozaz\yxew.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 43 01 00 00  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} ht  tp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} ht  tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} ht  tp://ax.emsisoft.com/asquared.cab (a-squared Scanner)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} ht  tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} ht  tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} ht  tp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINXP\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.05.12 17:58:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.22 20:25:01 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.07.20 22:07:11 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Recent
[2010.06.30 22:14:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Foxit Software
[11 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.22 20:25:02 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.07.22 20:07:27 | 000,000,006 | -H-- | M] () -- C:\WINXP\tasks\SA.DAT
[2010.07.22 20:07:02 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2010.07.22 20:06:57 | 1073,274,880 | -HS- | M] () -- C:\hiberfil.sys
[2010.07.21 23:38:31 | 005,767,168 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
[2010.07.21 23:38:31 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.07.21 20:49:08 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2010.07.19 00:13:31 | 000,077,312 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Lohnrechner.xls
[2010.07.18 07:31:51 | 066,281,006 | ---- | M] () -- C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Vid1.flv
[2010.07.16 03:23:31 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxDesktop\CCleaner.lnk
[2010.07.14 00:54:17 | 067,459,978 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid3.flv
[2010.07.14 00:47:11 | 022,431,513 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid2.avi.flv
[2010.07.10 17:48:43 | 066,887,065 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid4.flv
[2010.07.09 18:50:43 | 000,022,528 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Theke.xls
[2010.07.08 22:41:55 | 000,080,896 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Kennzahlen.xls
[2010.07.06 00:20:09 | 051,265,163 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid5.flv
[2010.07.02 00:55:13 | 088,967,977 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid8.flv
[2010.06.30 22:14:14 | 010,609,547 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\SSP 111 motronic 3B.pdf
[2010.06.30 20:00:01 | 007,226,537 | ---- | M] () -- C:\Dokumente und Einstellungen\Olli\Desktop\3b Mechanik.pdf
[2010.06.29 01:27:12 | 128,123,654 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid9.flv
[2010.06.26 15:42:09 | 004,163,048 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Lass die Finger von der Vuvuzela - Fettes Brot Schallplatten.flv
[2010.06.23 23:15:48 | 000,080,880 | ---- | M] () -- C:\Dokumente und Einstellungenxxx\Desktop\Private-Nachrichten-Turbonaut-23.06.2010.xml
[2010.06.22 23:56:35 | 080,122,990 | ---- | M] () -- C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Vid12.wmv-2.flv
[11 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.19 00:13:20 | 000,077,312 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Lohnrechner.xls
[2010.07.18 07:17:06 | 066,281,006 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid1.flv
[2010.07.14 00:46:38 | 022,431,513 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid2.avi.flv
[2010.07.14 00:43:45 | 067,459,978 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid3.flv
[2010.07.10 17:34:51 | 066,887,065 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid4.flv
[2010.07.08 21:10:08 | 000,080,896 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Kennzahlen.xls
[2010.07.06 00:10:46 | 051,265,163 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid5.flv
[2010.07.02 00:32:18 | 088,967,977 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid8.flv
[2010.06.30 22:14:11 | 010,609,547 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\SSP 111 motronic 3B.pdf
[2010.06.30 19:59:59 | 007,226,537 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\3b Mechanik.pdf
[2010.06.29 00:51:54 | 128,123,654 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid9.flv
[2010.06.26 15:40:51 | 004,163,048 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Lass die Finger von der Vuvuzela - Fettes Brot Schallplatten.flv
[2010.06.23 23:15:46 | 000,080,880 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Private-Nachrichten-xxx-23.06.2010.xml
[2010.06.22 23:54:37 | 080,122,990 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Vid12.wmv-2.flv
[2009.10.15 00:54:20 | 000,000,063 | ---- | C] () -- C:\WINXP\wininit.ini
[2009.09.02 18:40:46 | 000,000,466 | ---- | C] () -- C:\WINXP\audiovie.ini
[2009.06.25 11:35:59 | 000,175,865 | ---- | C] () -- C:\WINXP\WOC_CDDA.ini
[2009.06.10 14:05:13 | 000,113,869 | ---- | C] () -- C:\WINXP\cddabase.ini
[2009.05.27 01:17:11 | 000,005,632 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys
[2009.05.27 00:46:52 | 000,000,000 | ---- | C] () -- C:\WINXP\tosOBEX.INI
[2009.05.27 00:38:45 | 000,000,100 | ---- | C] () -- C:\WINXP\WirelessFTP.INI
[2009.05.12 18:57:53 | 000,000,025 | ---- | C] () -- C:\WINXP\mixerdef.ini
[2009.01.05 15:44:10 | 000,000,483 | ---- | C] () -- C:\WINXP\bdoscandellang.ini
[2006.12.05 13:05:06 | 000,114,688 | ---- | C] () -- C:\WINXP\System32\TosBtAcc.dll
[2005.07.22 21:30:20 | 000,065,536 | ---- | C] () -- C:\WINXP\System32\TosCommAPI.dll
[2002.05.16 14:05:54 | 000,098,304 | ---- | C] () -- C:\WINXP\System32\CddbLangIT.dll
[2002.05.10 10:58:10 | 000,102,400 | ---- | C] () -- C:\WINXP\System32\CddbLangFR.dll
 
========== LOP Check ==========
 
[2009.05.17 01:38:34 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2009.11.10 02:18:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap Games
[2009.12.11 05:00:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
[2010.07.20 20:12:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Cydiq
[2009.08.26 00:45:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Foxit
[2010.06.30 22:14:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Foxit Software
[2010.07.20 00:17:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ICQ
[2009.05.27 01:46:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Samsung
[2010.06.18 17:54:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Thunderbird
[2009.05.27 00:49:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\TOSHIBA
[2009.06.28 11:39:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Vozaz
 
========== Purity Check ==========
 
 
< End of report >
         
--- --- ---



[/CODE]OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 22.07.2010 20:49:58 - Run 4
OTL by OldTimer - Version 3.2.9.1     Folder = C:\Dokumente und Einstellungen\Olli\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 623,00 Mb Available Physical Memory | 61,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 4,40 Gb Free Space | 11,81% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 465,64 Gb Total Space | 241,94 Gb Free Space | 51,96% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC1
Current User Name: xxx
NOT logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"4662:TCP" = 4662:TCP:*:Enabled:eMule-TCP
"4672:UDP" = 4672:UDP:*:Enabled:eMule-UDP
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- (http://www.emule-project.net)
"C:\WINXP\system32\mmc.exe" = C:\WINXP\system32\mmc.exe:*:Disabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player -- ()
"C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE" = C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE:*:Enabled:QUAKE3 -- ()
"C:\Programme\RealVNC\VNC4\winvnc4.exe" = C:\Programme\RealVNC\VNC4\winvnc4.exe:*:Enabled:VNC Server Free Edition for Win32 -- (RealVNC Ltd.)
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Disabled:ICQ6 -- File not found
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP510" = Canon MP510
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{5E0C9350-250A-45B1-B77A-C18F27E256FE}" = Roxio WinOnCD 6 Power Edition
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{DD5B65F7-7CA5-4DE4-AEE7-7E8F26BF78F5}" = OpenOffice.org 2.3
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = AusLogics Disk Defrag
"{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}" = ATI Catalyst Control Center
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"CAL" = Canon Camera Access Library
"CameraWindowDC" = Canon Utilities CameraWindow DC
"CameraWindowDVC6" = Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
"CameraWindowLauncher" = Canon Utilities CameraWindow
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"Canon MOV Decoder" = Canon MOV Decoder
"Canon MOV Encoder" = Canon MOV Encoder
"CCleaner" = CCleaner
"eMule" = eMule
"Foxit Reader" = Foxit Reader
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Martin LightJockey_is1" = Martin LightJockey version 2.8 build 1
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX
"Mozilla Firefox (3.6.6)" = Mozilla Firefox (3.6.6)
"Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4)
"MyCamera" = Canon Utilities MyCamera
"MyCameraDC" = Canon Utilities MyCamera DC
"PCI Audio Driver" = PCI Audio Driver
"PhotoStitch" = Canon Utilities PhotoStitch
"RealVNC_is1" = VNC Free Edition 4.1.2
"RemoteCaptureTask" = Canon Utilities RemoteCapture Task for ZoomBrowser EX
"VLC media player" = VLC media player 1.0.2
"Winamp" = Winamp
"WinRAR archiver" = WinRAR
"XMedia Recode" = XMedia Recode 2.1.0.3
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX
"ZoomBrowser EX Memory Card Utility" = Canon ZoomBrowser EX Memory Card Utility
 
========== Last 10 Event Log Errors ==========
 
Error: Unable to start EventLog service!
 
< End of report >
         
--- --- ---


Und hierzu gleich ne Frage: Im ersten Post les ich immer noch was von drei online-scans die ich vor Monaten mal gemacht hab, verbleiben die Geschichten auf em Rechner?Ich lasse regelmässig CCleaner durchlaufen, und habe nach diesen Scans auch nie wieder was mit den Seiten zu tun gehabt, wieso schwirren da immer noch Einträge auf meinem Rechner rum?

Ich wüsste nicht, dass ich den Zugriff abgenickt hab, hab lediglich ein oder zweimal gar nix angeklickt, oder erst sehr viel später "entfernen" geklickt, weil ich nachdem das kleine Suchfenster beim erstenmal aufging bei der 2.Meldung erstmal ein neues Tab aufgemacht hab und kurz gegoogelt hab ob ich was darüber finde.


Alt 22.07.2010, 20:55   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



Zitat:
========== Win32 Services (SafeList) ==========
========== Driver Services (SafeList) ==========
========== Standard Registry (SafeList) ==========
Das war irgendwie nichts, bitte OTL nochmal ausführen und ein neues OTL-Log posten. Die drei o.g. Sektionen sind bei Dir leer, ist nicht normal.

Zitat:
Und hierzu gleich ne Frage: Im ersten Post les ich immer noch was von drei online-scans die ich vor Monaten mal gemacht hab, verbleiben die Geschichten auf em Rechner?Ich lasse regelmässig CCleaner durchlaufen, und habe nach diesen Scans auch nie wieder was mit den Seiten zu tun gehabt, wieso schwirren da immer noch Einträge auf meinem Rechner rum?
Was für Online-Scans meinst Du da?
__________________
--> Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"

Alt 22.07.2010, 21:28   #7
ReBlubb
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



Selbes Ergebnis.Kann´s sein dass es daran liegt dass ich im eingeschränkten Konto bin?Kann ich bedenkenlos in´s Adminkonto wechseln?

Diese Einträge:

Code:
ATTFilter
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} ht  tp://ax.emsisoft.com/asquared.cab (a-squared Scanner)
.
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} http://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (Reg Error: Key error.)
.
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
         
Die drei.Das waren online-Virenscans vor bestimmt nem halben Jahr oder so.Wobei ich mir bei letztem nicht sicher bin...

Alt 22.07.2010, 22:18   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



Zitat:
Selbes Ergebnis.Kann´s sein dass es daran liegt dass ich im eingeschränkten Konto bin?Kann ich bedenkenlos in´s Adminkonto wechseln?
Oje, ich dachte das sollte eigentlich selbstverständlich sein, dass Du solche Analysetools nur mit Adminrechten ausführst! Ist doch logisch, dass man uneingeschränkten Zugriff aufs System braucht...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.07.2010, 22:53   #9
ReBlubb
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



Deswegen hab ich ja extra gefragt ob das nicht die Gefahr birgt dass der Virus sich dann noch weiter ausbreitet oder in noch mehr Ordnern festsetzt.... :-D

Code:
ATTFilter
OTL logfile created on: 22.07.2010 23:32:23 - Run 6
OTL by OldTimer - Version 3.2.9.1     Folder = C:\Dokumente und Einstellungen\Adminkonto\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 729,00 Mb Available Physical Memory | 71,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 4,36 Gb Free Space | 11,71% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 465,64 Gb Total Space | 241,94 Gb Free Space | 51,96% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC1
Current User Name: Adminkonto
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINXP\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINXP\system32\framedyn.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (wuauserv) -- C:\WINDOWS\system32\wuauserv.dll File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (CCALib8) -- C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
SRV - (TOSHIBA Bluetooth Service) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
SRV - (WinVNC4) -- C:\Programme\RealVNC\VNC4\WinVNC4.exe (RealVNC Ltd.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (IRENUM) -- C:\WINXP\System32\DRIVERS\irenum.sys File not found
DRV - (catchme) -- C:\DOKUME~1\xxx\LOKALE~1\Temp\catchme.sys File not found
DRV - (avipbb) -- C:\WINXP\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINXP\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (StarOpen) -- C:\WINXP\System32\drivers\StarOpen.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINXP\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (FWLANUSB) -- C:\WINXP\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (avmeject) -- C:\WINXP\system32\drivers\avmeject.sys (AVM Berlin)
DRV - (gameenum) -- C:\WINXP\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (tosrfbd) -- C:\WINXP\system32\drivers\tosrfbd.sys (TOSHIBA CORPORATION)
DRV - (TosRfSnd) -- C:\WINXP\system32\drivers\TosRfSnd.sys (TOSHIBA Corporation)
DRV - (tosrfbnp) -- C:\WINXP\system32\drivers\tosrfbnp.sys (TOSHIBA Corporation)
DRV - (tosrfusb) -- C:\WINXP\system32\drivers\tosrfusb.sys (TOSHIBA CORPORATION)
DRV - (tosporte) -- C:\WINXP\system32\drivers\tosporte.sys (TOSHIBA Corporation)
DRV - (Tosrfhid) -- C:\WINXP\system32\drivers\Tosrfhid.sys (TOSHIBA Corporation.)
DRV - (ati2mtag) -- C:\WINXP\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (Tosrfcom) -- C:\WINXP\system32\drivers\tosrfcom.sys (TOSHIBA Corporation)
DRV - (tosrfnds) -- C:\WINXP\system32\drivers\tosrfnds.sys (TOSHIBA Corporation.)
DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINXP\system32\drivers\cmaudio.sys (C-Media Inc)
DRV - (ms_mpu401) -- C:\WINXP\system32\drivers\msmpu401.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.22 23:30:41 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.22 21:44:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.06.18 17:54:38 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.08.26 00:45:27 | 000,000,000 | ---D | M]
 
[2010.07.22 23:30:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Extensions
[2010.07.22 23:30:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Firefox\Profiles\iwfspeeh.default\extensions
[2009.10.22 21:11:43 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.23 22:52:46 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.23 22:52:46 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.23 22:52:46 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.23 22:52:46 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.23 22:52:46 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINXP\System32\bthprops.cpl (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} ht tp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} ht tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} ht tp://ax.emsisoft.com/asquared.cab (a-squared Scanner)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} ht tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} ht tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} ht tp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ht tp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ht tp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ht tps\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ht tps\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINXP\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.05.12 17:58:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.22 23:33:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Malwarebytes
[2010.07.22 23:31:36 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.07.22 23:31:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Downloads
[2010.07.22 23:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2010.07.22 23:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla
[2010.07.11 05:07:34 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\xxx\IETldCache
[2010.07.11 05:07:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Identities
[2010.07.11 05:07:23 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\xxx\Cookies
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Bilder
[2010.07.11 05:07:10 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2010.07.11 05:07:10 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\SendTo
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Recent
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten
[2010.07.11 05:07:10 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Startmenü
[2010.07.11 05:07:10 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Favoriten
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Vorlagen
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Netzwerkumgebung
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Druckumgebung
[2010.07.11 05:07:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Desktop
[11 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.22 23:36:47 | 000,786,432 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
[2010.07.22 23:31:39 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.07.22 20:07:27 | 000,000,006 | -H-- | M] () -- C:\WINXP\tasks\SA.DAT
[2010.07.22 20:07:02 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2010.07.22 20:06:57 | 1073,274,880 | -HS- | M] () -- C:\hiberfil.sys
[2010.07.21 20:49:08 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2010.07.11 05:51:26 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.07.11 05:51:18 | 003,241,156 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[11 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.11 05:08:46 | 000,000,075 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\FASTWiz.log
[2010.07.11 05:07:12 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.07.11 05:07:10 | 000,786,432 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
[2010.07.11 05:07:10 | 000,061,440 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\ntuser.dat.LOG
[2009.10.15 00:54:20 | 000,000,063 | ---- | C] () -- C:\WINXP\wininit.ini
[2009.09.02 18:40:46 | 000,000,466 | ---- | C] () -- C:\WINXP\audiovie.ini
[2009.06.25 11:35:59 | 000,175,865 | ---- | C] () -- C:\WINXP\WOC_CDDA.ini
[2009.06.10 14:05:13 | 000,113,869 | ---- | C] () -- C:\WINXP\cddabase.ini
[2009.05.27 01:17:11 | 000,005,632 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys
[2009.05.27 00:46:52 | 000,000,000 | ---- | C] () -- C:\WINXP\tosOBEX.INI
[2009.05.27 00:38:45 | 000,000,100 | ---- | C] () -- C:\WINXP\WirelessFTP.INI
[2009.05.12 18:57:53 | 000,000,025 | ---- | C] () -- C:\WINXP\mixerdef.ini
[2009.01.05 15:44:10 | 000,000,483 | ---- | C] () -- C:\WINXP\bdoscandellang.ini
[2006.12.05 13:05:06 | 000,114,688 | ---- | C] () -- C:\WINXP\System32\TosBtAcc.dll
[2005.07.22 21:30:20 | 000,065,536 | ---- | C] () -- C:\WINXP\System32\TosCommAPI.dll
[2002.05.16 14:05:54 | 000,098,304 | ---- | C] () -- C:\WINXP\System32\CddbLangIT.dll
[2002.05.10 10:58:10 | 000,102,400 | ---- | C] () -- C:\WINXP\System32\CddbLangFR.dll
 
========== LOP Check ==========
 
[2009.05.17 01:38:34 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\CanonBJ
[2009.11.10 02:18:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\PopCap Games
[2009.12.11 05:00:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx \Anwendungsdaten\WinZip
 
========== Purity Check ==========
 
 
< End of report >
         
Code:
ATTFilter
OTL Extras logfile created on: 22.07.2010 23:32:23 - Run 6
OTL by OldTimer - Version 3.2.9.1     Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 729,00 Mb Available Physical Memory | 71,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 4,36 Gb Free Space | 11,71% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 465,64 Gb Total Space | 241,94 Gb Free Space | 51,96% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC1
Current User Name: xxx
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- Reg Error: Key error.
https [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"4662:TCP" = 4662:TCP:*:Enabled:eMule-TCP
"4672:UDP" = 4672:UDP:*:Enabled:eMule-UDP
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- (http://www.emule-project.net)
"C:\WINXP\system32\mmc.exe" = C:\WINXP\system32\mmc.exe:*:Disabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player -- ()
"C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE" = C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE:*:Enabled:QUAKE3 -- ()
"C:\Programme\RealVNC\VNC4\winvnc4.exe" = C:\Programme\RealVNC\VNC4\winvnc4.exe:*:Enabled:VNC Server Free Edition for Win32 -- (RealVNC Ltd.)
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Disabled:ICQ6 -- File not found
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP510" = Canon MP510
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{5E0C9350-250A-45B1-B77A-C18F27E256FE}" = Roxio WinOnCD 6 Power Edition
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{DD5B65F7-7CA5-4DE4-AEE7-7E8F26BF78F5}" = OpenOffice.org 2.3
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = AusLogics Disk Defrag
"{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}" = ATI Catalyst Control Center
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"CAL" = Canon Camera Access Library
"CameraWindowDC" = Canon Utilities CameraWindow DC
"CameraWindowDVC6" = Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
"CameraWindowLauncher" = Canon Utilities CameraWindow
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"Canon MOV Decoder" = Canon MOV Decoder
"Canon MOV Encoder" = Canon MOV Encoder
"CCleaner" = CCleaner
"eMule" = eMule
"Foxit Reader" = Foxit Reader
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Martin LightJockey_is1" = Martin LightJockey version 2.8 build 1
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX
"Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4)
"MyCamera" = Canon Utilities MyCamera
"MyCameraDC" = Canon Utilities MyCamera DC
"PCI Audio Driver" = PCI Audio Driver
"PhotoStitch" = Canon Utilities PhotoStitch
"RealVNC_is1" = VNC Free Edition 4.1.2
"RemoteCaptureTask" = Canon Utilities RemoteCapture Task for ZoomBrowser EX
"VLC media player" = VLC media player 1.0.2
"Winamp" = Winamp
"WinRAR archiver" = WinRAR
"XMedia Recode" = XMedia Recode 2.1.0.3
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX
"ZoomBrowser EX Memory Card Utility" = Canon ZoomBrowser EX Memory Card Utility
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 10.01.2010 20:05:21 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 11.01.2010 14:54:56 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 11.01.2010 14:54:56 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 11.01.2010 14:54:56 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 12.01.2010 15:20:07 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 12.01.2010 15:20:07 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 12.01.2010 15:20:07 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 13.01.2010 14:13:10 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 13.01.2010 14:13:10 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 13.01.2010 14:13:10 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
[ System Events ]
Error - 17.07.2010 08:09:59 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 17.07.2010 14:00:06 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 17.07.2010 23:53:06 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 18.07.2010 08:37:48 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 18.07.2010 18:31:36 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.07.2010 06:44:27 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 20.07.2010 14:05:58 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 21.07.2010 14:49:16 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 21.07.2010 16:38:44 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 22.07.2010 14:07:32 | Computer Name = PC1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Automatische Updates" wurde mit folgendem Fehler beendet:
   %%126
 
 
< End of report >
         

Alt 22.07.2010, 22:56   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



Zitat:
Deswegen hab ich ja extra gefragt ob das nicht die Gefahr birgt dass der Virus sich dann noch weiter ausbreitet oder in noch mehr Ordnern festsetzt.... :-D
Wenn Dein Rechner eh schon kompromittiert ist?
Wie willst Du mit eingeschränkten Rechten was aus dem Windows-Ordner löschen?


Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
SRV - (wuauserv) -- C:\WINDOWS\system32\wuauserv.dll File not found
:Files
C:\WINXP\system32\autoager.dll
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 26.07.2010, 19:25   #11
ReBlubb
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



Ist das normal dass Der Fix die ganze Nacht mit 100% Auslastung am ackern ist?
Als ich morgens aufgewacht bin war er zwr fertig, aber als ich dann den Neustart bestätigt hab hat er sich vollends aufgehängt.
Hab das ganze dann nochmal durchlaufen lassen, da war´s ne Sache von 5 sek :-) sieht danach aus als ob es beim 1.mal erfolgreich war.Hier die Logs:

Code:
ATTFilter
OTL logfile created on: 26.07.2010 19:56:17 - Run 7
OTL by OldTimer - Version 3.2.9.1     Folder = C:\Dokumente und Einstellungen\Adminkonto\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 689,00 Mb Available Physical Memory | 67,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 4,38 Gb Free Space | 11,75% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 465,64 Gb Total Space | 241,94 Gb Free Space | 51,96% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC1
Current User Name: xxx
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
PRC - C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINXP\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINXP\system32\framedyn.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin)
SRV - (CCALib8) -- C:\Programme\Canon\CAL\CALMAIN.exe (Canon Inc.)
SRV - (TOSHIBA Bluetooth Service) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION)
SRV - (WinVNC4) -- C:\Programme\RealVNC\VNC4\WinVNC4.exe (RealVNC Ltd.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (IRENUM) -- C:\WINXP\System32\DRIVERS\irenum.sys File not found
DRV - (catchme) -- C:\DOKUME~1\xxx2\LOKALE~1\Temp\catchme.sys File not found
DRV - (avipbb) -- C:\WINXP\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINXP\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (StarOpen) -- C:\WINXP\System32\drivers\StarOpen.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINXP\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (FWLANUSB) -- C:\WINXP\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (avmeject) -- C:\WINXP\system32\drivers\avmeject.sys (AVM Berlin)
DRV - (gameenum) -- C:\WINXP\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (tosrfbd) -- C:\WINXP\system32\drivers\tosrfbd.sys (TOSHIBA CORPORATION)
DRV - (TosRfSnd) -- C:\WINXP\system32\drivers\TosRfSnd.sys (TOSHIBA Corporation)
DRV - (tosrfbnp) -- C:\WINXP\system32\drivers\tosrfbnp.sys (TOSHIBA Corporation)
DRV - (tosrfusb) -- C:\WINXP\system32\drivers\tosrfusb.sys (TOSHIBA CORPORATION)
DRV - (tosporte) -- C:\WINXP\system32\drivers\tosporte.sys (TOSHIBA Corporation)
DRV - (Tosrfhid) -- C:\WINXP\system32\drivers\Tosrfhid.sys (TOSHIBA Corporation.)
DRV - (ati2mtag) -- C:\WINXP\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (Tosrfcom) -- C:\WINXP\system32\drivers\tosrfcom.sys (TOSHIBA Corporation)
DRV - (tosrfnds) -- C:\WINXP\system32\drivers\tosrfnds.sys (TOSHIBA Corporation.)
DRV - (cmpci) C-Media PCI Audio Driver (WDM) -- C:\WINXP\system32\drivers\cmaudio.sys (C-Media Inc)
DRV - (ms_mpu401) -- C:\WINXP\system32\drivers\msmpu401.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.22 23:30:41 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.22 21:44:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.06.18 17:54:38 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.08.26 00:45:27 | 000,000,000 | ---D | M]
 
[2010.07.22 23:30:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Adminkonto\Anwendungsdaten\Mozilla\Extensions
[2010.07.22 23:30:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\iwfspeeh.default\extensions
[2009.10.22 21:11:43 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.23 22:52:46 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.03.23 22:52:46 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.03.23 22:52:46 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.03.23 22:52:46 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.03.23 22:52:46 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.07.26 19:52:30 | 000,000,098 | ---- | M]) - C:\WINXP\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1       localhost
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\WLanGUI.exe (AVM Berlin)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINXP\System32\bthprops.cpl (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} ht tp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} ht tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} ht tp://ax.emsisoft.com/asquared.cab (a-squared Scanner)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} ht tp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINXP\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.05.12 17:58:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.23 00:40:08 | 000,000,000 | ---D | C] -- C:\_OTL
[2010.07.23 00:36:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Macromedia
[2010.07.23 00:36:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Adobe
[2010.07.23 00:24:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Avira
[2010.07.22 23:33:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes
[2010.07.22 23:31:36 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
[2010.07.22 23:31:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Downloads
[2010.07.22 23:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2010.07.22 23:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla
[2010.07.11 05:07:34 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\xxx\IETldCache
[2010.07.11 05:07:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Identities
[2010.07.11 05:07:23 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\xxx\Cookies
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien
[2010.07.11 05:07:21 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Bilder
[2010.07.11 05:07:10 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2010.07.11 05:07:10 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\SendTo
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Recent
[2010.07.11 05:07:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten
[2010.07.11 05:07:10 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Startmenü
[2010.07.11 05:07:10 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\xxx\Favoriten
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Vorlagen
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Netzwerkumgebung
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen
[2010.07.11 05:07:10 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\xxx\Druckumgebung
[2010.07.11 05:07:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Desktop
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.26 19:54:07 | 000,000,006 | -H-- | M] () -- C:\WINXP\tasks\SA.DAT
[2010.07.26 19:53:42 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2010.07.26 19:53:37 | 1073,274,880 | -HS- | M] () -- C:\hiberfil.sys
[2010.07.26 19:52:42 | 001,048,576 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
[2010.07.26 19:52:42 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.07.26 19:52:30 | 000,000,098 | ---- | M] () -- C:\WINXP\System32\drivers\etc\Hosts
[2010.07.26 19:46:47 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2010.07.23 07:04:26 | 003,241,942 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.07.22 23:31:39 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe
 
========== Files Created - No Company Name ==========
 
[2010.07.11 05:08:46 | 000,000,075 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\FASTWiz.log
[2010.07.11 05:07:12 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\xxx\ntuser.ini
[2010.07.11 05:07:10 | 001,048,576 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\NTUSER.DAT
[2010.07.11 05:07:10 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\xxx\ntuser.dat.LOG
[2009.10.15 00:54:20 | 000,000,063 | ---- | C] () -- C:\WINXP\wininit.ini
[2009.09.02 18:40:46 | 000,000,466 | ---- | C] () -- C:\WINXP\audiovie.ini
[2009.06.25 11:35:59 | 000,175,865 | ---- | C] () -- C:\WINXP\WOC_CDDA.ini
[2009.06.10 14:05:13 | 000,113,869 | ---- | C] () -- C:\WINXP\cddabase.ini
[2009.05.27 01:17:11 | 000,005,632 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys
[2009.05.27 00:46:52 | 000,000,000 | ---- | C] () -- C:\WINXP\tosOBEX.INI
[2009.05.27 00:38:45 | 000,000,100 | ---- | C] () -- C:\WINXP\WirelessFTP.INI
[2009.05.12 18:57:53 | 000,000,025 | ---- | C] () -- C:\WINXP\mixerdef.ini
[2009.01.05 15:44:10 | 000,000,483 | ---- | C] () -- C:\WINXP\bdoscandellang.ini
[2006.12.05 13:05:06 | 000,114,688 | ---- | C] () -- C:\WINXP\System32\TosBtAcc.dll
[2005.07.22 21:30:20 | 000,065,536 | ---- | C] () -- C:\WINXP\System32\TosCommAPI.dll
[2002.05.16 14:05:54 | 000,098,304 | ---- | C] () -- C:\WINXP\System32\CddbLangIT.dll
[2002.05.10 10:58:10 | 000,102,400 | ---- | C] () -- C:\WINXP\System32\CddbLangFR.dll
 
========== LOP Check ==========
 
[2009.05.17 01:38:34 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2009.11.10 02:18:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap Games
[2009.12.11 05:00:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
 
========== Purity Check ==========
 
 
< End of report >
         
Code:
ATTFilter
OTL Extras logfile created on: 26.07.2010 19:56:17 - Run 7
OTL by OldTimer - Version 3.2.9.1     Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 689,00 Mb Available Physical Memory | 67,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 4,38 Gb Free Space | 11,75% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
Drive G: | 465,64 Gb Total Space | 241,94 Gb Free Space | 51,96% Space Free | Partition Type: FAT32
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: PC1
Current User Name: xxx
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
ht tp [open] -- Reg Error: Key error.
ht tps [open] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"4662:TCP" = 4662:TCP:*:Enabled:eMule-TCP
"4672:UDP" = 4672:UDP:*:Enabled:eMule-UDP
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule -- (http://www.emule-project.net)
"C:\WINXP\system32\mmc.exe" = C:\WINXP\system32\mmc.exe:*:Disabled:Microsoft Management Console -- (Microsoft Corporation)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player -- ()
"C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE" = C:\Service\Quake III Arena.129g.V01\Quake III Arena.129g.V01\QUAKE3.EXE:*:Enabled:QUAKE3 -- ()
"C:\Programme\RealVNC\VNC4\winvnc4.exe" = C:\Programme\RealVNC\VNC4\winvnc4.exe:*:Enabled:VNC Server Free Edition for Win32 -- (RealVNC Ltd.)
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Disabled:ICQ6 -- File not found
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP510" = Canon MP510
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{2BA00471-0328-3743-93BD-FA813353A783}" = Microsoft .NET Framework 3.0 Service Pack 1
"{2FC099BD-AC9B-33EB-809C-D332E1B27C40}" = Microsoft .NET Framework 3.5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{5E0C9350-250A-45B1-B77A-C18F27E256FE}" = Roxio WinOnCD 6 Power Edition
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{DD5B65F7-7CA5-4DE4-AEE7-7E8F26BF78F5}" = OpenOffice.org 2.3
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = AusLogics Disk Defrag
"{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}" = ATI Catalyst Control Center
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVMWLANCLI" = AVM FRITZ!WLAN
"CAL" = Canon Camera Access Library
"CameraWindowDC" = Canon Utilities CameraWindow DC
"CameraWindowDVC6" = Canon Utilities CameraWindow DC_DV 6 for ZoomBrowser EX
"CameraWindowLauncher" = Canon Utilities CameraWindow
"CANON iMAGE GATEWAY Task" = CANON iMAGE GATEWAY Task for ZoomBrowser EX
"Canon Internet Library for ZoomBrowser EX" = Canon Internet Library for ZoomBrowser EX
"Canon MOV Decoder" = Canon MOV Decoder
"Canon MOV Encoder" = Canon MOV Encoder
"CCleaner" = CCleaner
"eMule" = eMule
"Foxit Reader" = Foxit Reader
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Martin LightJockey_is1" = Martin LightJockey version 2.8 build 1
"Microsoft .NET Framework 3.5" = Microsoft .NET Framework 3.5
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"MovieEditTask" = Canon MovieEdit Task for ZoomBrowser EX
"Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4)
"MyCamera" = Canon Utilities MyCamera
"MyCameraDC" = Canon Utilities MyCamera DC
"PCI Audio Driver" = PCI Audio Driver
"PhotoStitch" = Canon Utilities PhotoStitch
"RealVNC_is1" = VNC Free Edition 4.1.2
"RemoteCaptureTask" = Canon Utilities RemoteCapture Task for ZoomBrowser EX
"VLC media player" = VLC media player 1.0.2
"Winamp" = Winamp
"WinRAR archiver" = WinRAR
"XMedia Recode" = XMedia Recode 2.1.0.3
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoomBrowser EX" = Canon Utilities ZoomBrowser EX
"ZoomBrowser EX Memory Card Utility" = Canon ZoomBrowser EX Memory Card Utility
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 12.01.2010 15:20:07 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 13.01.2010 14:13:10 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 13.01.2010 14:13:10 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 13.01.2010 14:13:10 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 14.01.2010 14:51:41 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 14.01.2010 14:51:41 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 14.01.2010 14:51:41 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 15.01.2010 13:26:47 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 15.01.2010 13:26:47 | Computer Name = PC1 | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 15.01.2010 13:26:47 | Computer Name = PC1 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
[ System Events ]
Error - 22.07.2010 18:40:08 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Ati HotKey Poller" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 22.07.2010 18:40:08 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "AVM WLAN Connection Service" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 22.07.2010 18:40:09 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 22.07.2010 18:40:09 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "TOSHIBA Bluetooth Service" wurde unerwartet beendet. Dies 
ist bereits 1 Mal passiert.
 
Error - 22.07.2010 18:40:09 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Canon Camera Access Library 8" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 26.07.2010 13:52:29 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Ati HotKey Poller" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 26.07.2010 13:52:29 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "AVM WLAN Connection Service" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 26.07.2010 13:52:29 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "TOSHIBA Bluetooth Service" wurde unerwartet beendet. Dies 
ist bereits 1 Mal passiert.
 
Error - 26.07.2010 13:52:29 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Canon Camera Access Library 8" wurde unerwartet beendet. Dies
 ist bereits 1 Mal passiert.
 
Error - 26.07.2010 13:52:30 | Computer Name = PC1 | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
 
< End of report >
         

Alt 26.07.2010, 21:11   #12
ReBlubb
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



HAb dann gleich noch nen Suchlauf von Avira hinterher geschoben...irgendwie ist der aber in ne Dauerschleife gegangen, nach knapp anderthalb Std hab ich entnervt abgebrochen, da hat er ein und dieselbe Datei 5 mal gefunden.Hier das Log:

Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 26. Juli 2010  20:30

Es wird nach 2574572 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : PC1

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  21.04.2010 18:12:46
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  21.04.2010 18:12:46
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 18:27:49
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 16:37:42
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 15:37:42
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 10:29:03
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 18:41:49
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 13:15:40
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 18:25:49
VBASE008.VDF   : 7.10.9.166      2048 Bytes  23.07.2010 18:25:49
VBASE009.VDF   : 7.10.9.167      2048 Bytes  23.07.2010 18:25:49
VBASE010.VDF   : 7.10.9.168      2048 Bytes  23.07.2010 18:25:49
VBASE011.VDF   : 7.10.9.169      2048 Bytes  23.07.2010 18:25:49
VBASE012.VDF   : 7.10.9.170      2048 Bytes  23.07.2010 18:25:49
VBASE013.VDF   : 7.10.9.198    157696 Bytes  26.07.2010 18:25:49
VBASE014.VDF   : 7.10.9.199      2048 Bytes  26.07.2010 18:25:49
VBASE015.VDF   : 7.10.9.200      2048 Bytes  26.07.2010 18:25:50
VBASE016.VDF   : 7.10.9.201      2048 Bytes  26.07.2010 18:25:50
VBASE017.VDF   : 7.10.9.202      2048 Bytes  26.07.2010 18:25:50
VBASE018.VDF   : 7.10.9.203      2048 Bytes  26.07.2010 18:25:50
VBASE019.VDF   : 7.10.9.204      2048 Bytes  26.07.2010 18:25:50
VBASE020.VDF   : 7.10.9.205      2048 Bytes  26.07.2010 18:25:50
VBASE021.VDF   : 7.10.9.206      2048 Bytes  26.07.2010 18:25:50
VBASE022.VDF   : 7.10.9.207      2048 Bytes  26.07.2010 18:25:50
VBASE023.VDF   : 7.10.9.208      2048 Bytes  26.07.2010 18:25:50
VBASE024.VDF   : 7.10.9.209      2048 Bytes  26.07.2010 18:25:50
VBASE025.VDF   : 7.10.9.210      2048 Bytes  26.07.2010 18:25:50
VBASE026.VDF   : 7.10.9.211      2048 Bytes  26.07.2010 18:25:50
VBASE027.VDF   : 7.10.9.212      2048 Bytes  26.07.2010 18:25:50
VBASE028.VDF   : 7.10.9.213      2048 Bytes  26.07.2010 18:25:50
VBASE029.VDF   : 7.10.9.214      2048 Bytes  26.07.2010 18:25:50
VBASE030.VDF   : 7.10.9.215      2048 Bytes  26.07.2010 18:25:50
VBASE031.VDF   : 7.10.9.219     38400 Bytes  26.07.2010 18:25:51
Engineversion  : 8.2.4.26  
AEVDF.DLL      : 8.1.2.0       106868 Bytes  23.04.2010 17:16:49
AESCRIPT.DLL   : 8.1.3.41     1364346 Bytes  20.07.2010 18:09:36
AESCN.DLL      : 8.1.6.1       127347 Bytes  12.05.2010 18:33:00
AESBX.DLL      : 8.1.3.1       254324 Bytes  23.04.2010 17:16:49
AERDL.DLL      : 8.1.8.2       614772 Bytes  20.07.2010 18:09:28
AEPACK.DLL     : 8.2.3.2       471414 Bytes  20.07.2010 18:09:21
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  21.07.2010 18:52:01
AEHEUR.DLL     : 8.1.2.6      2793846 Bytes  20.07.2010 18:09:11
AEHELP.DLL     : 8.1.13.2      242039 Bytes  20.07.2010 18:08:49
AEGEN.DLL      : 8.1.3.17      385396 Bytes  21.07.2010 18:52:00
AEEMU.DLL      : 8.1.2.0       393588 Bytes  23.04.2010 17:16:48
AECORE.DLL     : 8.1.16.2      192887 Bytes  20.07.2010 18:08:40
AEBB.DLL       : 8.1.1.0        53618 Bytes  23.04.2010 17:16:47
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  21.04.2010 18:12:47
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  21.04.2010 18:12:47
AVARKT.DLL     : 10.0.0.14     227176 Bytes  21.04.2010 18:12:46
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  21.04.2010 18:12:46

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, G:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 26. Juli 2010  20:30

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlangui.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtSrv.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WlanNetService.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '153' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'G:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '438' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound\Swedish House Mafia Vs Marvin Gaye I Heard It Through One.wma
    [FUND]      Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.X
C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound\Swedish House Mafia Vs Marvin Gaye I Heard It Through One.wma
    [FUND]      Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.X
C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound\Swedish House Mafia Vs Marvin Gaye I Heard It Through One.wma
    [FUND]      Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.X
C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound\Swedish House Mafia Vs Marvin Gaye I Heard It Through One.wma
    [FUND]      Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.X
C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound\Swedish House Mafia Vs Marvin Gaye I Heard It Through One.wma
    [FUND]      Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.X

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound\Swedish House Mafia Vs Marvin Gaye I Heard It Through One.wma
    [FUND]      Ist das Trojanische Pferd TR/Dldr.WMA.Wimad.X
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '465b4d28.qua' verschoben!


Ende des Suchlaufs: Montag, 26. Juli 2010  22:00
Benötigte Zeit:  1:29:27 Stunde(n)

Der Suchlauf wurde abgebrochen!

   8012 Verzeichnisse wurden überprüft
 442977 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 442972 Dateien ohne Befall
   4114 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
 249374 Objekte wurden beim Rootkitscan durchsucht
      1 Versteckte Objekte wurden gefunden
         
Die infizierte Datei wurde in in Quarantäne verschoben und ich hab sie dann aus der rausgelöscht.Muss ich mir um die versteckte Datei beim Rootkitscan Sorgen machen?

Log Mbam:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4354

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.07.2010 22:49:27
mbam-log-2010-07-26 (22-49-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 214717
Laufzeit: 40 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Geändert von ReBlubb (26.07.2010 um 21:53 Uhr)

Alt 26.07.2010, 23:16   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 27.07.2010, 18:49   #14
ReBlubb
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



Code:
ATTFilter
ComboFix 10-07-26.04 - xxx 27.07.2010  19:32:34.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.703 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\CoFi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((   Dateien erstellt von 2010-06-27 bis 2010-07-27  ))))))))))))))))))))))))))))))
.

2010-07-27 17:28 . 2010-07-27 17:28	15736	----a-w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-26 19:50 . 2010-07-26 19:50	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Avira
2010-07-22 22:40 . 2010-07-22 22:40	--------	d-----w-	C:\_OTL
2010-07-22 22:24 . 2010-07-22 22:24	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Avira
2010-07-22 21:33 . 2010-07-22 21:33	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-07-22 21:30 . 2010-07-22 21:30	--------	d-----w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-07-11 03:19 . 2010-07-11 03:19	--------	d-----w-	c:\dokumente und einstellungen\Gast\Anwendungsdaten\Avira
2010-07-11 03:08 . 2008-04-14 12:00	2560	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\USMT\iconlib.dll
2010-07-11 02:50 . 2010-07-11 02:50	--------	d-sh--w-	c:\dokumente und einstellungen\Gast\IETldCache
2010-06-30 20:14 . 2010-06-30 20:14	--------	d-----w-	c:\dokumente und einstellungen\xxx2\Anwendungsdaten\Foxit Software

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-27 17:20 . 2009-05-16 04:22	--------	d-----w-	c:\programme\CCleaner
2010-07-26 21:49 . 2009-11-11 21:54	--------	d-----w-	c:\dokumente und einstellungen\xxx2\Anwendungsdaten\vlc
2010-07-21 19:18 . 2009-06-05 07:26	--------	d-----w-	c:\programme\Mozilla Thunderbird
2010-07-20 18:12 . 2010-04-15 19:47	--------	d-----w-	c:\dokumente und einstellungen\xxx2\Anwendungsdaten\Cydiq
2010-07-19 22:17 . 2009-05-13 01:06	--------	d-----w-	c:\dokumente und einstellungen\xxx2\Anwendungsdaten\ICQ
2010-07-19 11:54 . 2009-05-13 01:52	--------	d-----w-	c:\dokumente und einstellungen\xxx2\Anwendungsdaten\OpenOffice.org2
2010-07-18 13:17 . 2009-05-13 01:53	1	----a-w-	c:\dokumente und einstellungen\xxx2\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-07-13 21:03 . 2010-02-05 17:25	--------	d-----w-	c:\dokumente und einstellungen\xxx2\Anwendungsdaten\CameraWindowDC
2010-07-13 21:03 . 2010-02-05 17:10	--------	d-----w-	c:\dokumente und einstellungen\xxx2\Anwendungsdaten\ZoomBrowser EX
2010-06-20 19:52 . 2008-04-14 12:00	547054	----a-w-	c:\winxp\system32\perfh007.dat
2010-06-20 19:52 . 2008-04-14 12:00	114304	----a-w-	c:\winxp\system32\perfc007.dat
2010-06-19 10:54 . 2009-05-13 00:18	--------	d-----w-	c:\programme\eMule
2010-06-18 15:54 . 2009-06-05 07:26	--------	d-----w-	c:\dokumente und einstellungen\xxx2\Anwendungsdaten\Thunderbird
2010-06-16 18:36 . 2010-06-16 18:35	--------	d-----w-	c:\programme\ICQ7.2
2010-06-16 18:35 . 2009-05-12 16:23	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-06-07 21:33 . 2009-05-13 16:47	--------	d-----w-	c:\dokumente und einstellungen\xxx2\Anwendungsdaten\dvdcss
2010-04-29 13:39 . 2009-10-14 19:27	38224	----a-w-	c:\winxp\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2009-10-14 19:27	20952	----a-w-	c:\winxp\system32\drivers\mbam.sys
.

------- Sigcheck -------

[-] 2008-05-09 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll

[-] 2008-05-09 22:32 . C51B4A5C05A5475708E3C81C7765B71D . 27136 . . [11.0.5721.5145] . . c:\winxp\system32\mspmsnsv.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2009-05-07 1904640]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\winxp\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
2006-01-02 14:41	45056	----a-w-	c:\programme\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
2002-11-25 10:10	1622016	----a-w-	c:\winxp\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-10-15 11:47	149280	----a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\eMule\\emule.exe"=
"c:\\WINXP\\system32\\sessmgr.exe"=
"c:\\WINXP\\system32\\mmc.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Service\\Quake III Arena.129g.V01\\Quake III Arena.129g.V01\\QUAKE3.EXE"=
"c:\\Programme\\RealVNC\\VNC4\\winvnc4.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4662:TCP"= 4662:TCP:eMule-TCP
"4672:UDP"= 4672:UDP:eMule-UDP

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [27.03.2010 14:28 135336]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\winxp\system32\drivers\fwlanusb.sys [07.05.2009 02:01 265088]
S3 avmeject;AVM Eject;c:\winxp\system32\drivers\avmeject.sys [07.05.2009 02:01 4352]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: {{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - c:\programme\ICQ7.2\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\iwfspeeh.default\
FF - plugin: c:\programme\Canon\ZoomBrowser EX\Program\NPCIG.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-27 19:37
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(480)
c:\winxp\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3100)
c:\winxp\system32\ieframe.dll
c:\winxp\system32\webcheck.dll
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2010-07-27  19:40:08
ComboFix-quarantined-files.txt  2010-07-27 17:40

Vor Suchlauf: 4.588.584.960 Bytes frei
Nach Suchlauf: 4.579.946.496 Bytes frei

- - End Of File - - 67DBAB332267952E3C717CE37BB4B98D
         
Ähm...und nur mal so nebenher:Ich bemerke in den letzten Tagen, dass jedesmal wenn ich ein Apostroph setze- mit der Taste neben dem ß bzw ?- 2 Stück davon kommen.
Ohne darauf rumzureiten ob das jetzt Accents oder Apostrophe sind, früher ging es und es kam immer nur eins raus, jetzt immer doppelt.Ich hab schon gelesen das wäre die Auswirkung von dem einen oder anderen Virus/Trojaner, ist euch da was bekannt?

Geändert von ReBlubb (27.07.2010 um 19:31 Uhr)

Alt 29.07.2010, 13:24   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Standard

Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.
=> das "xxx2" musst Du wieder in Deinen richtigen Benutzernamen umschreiben

Code:
ATTFilter
Folder::
c:\dokumente und einstellungen\xxx2\Anwendungsdaten\Cydiq
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"
anfang, attackierende, avira, backdoor, bitte um hilfe, dateien, einstellungen, entfernen, firefox, internet, kein log, log, mozilla, probleme, programm, seite, seiten, svchost, system, system32, taskmanager, temp, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/crypt.xpack.gen2, trojan, viren, virus, warnung, winxp



Ähnliche Themen: Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"


  1. Avira meldet einen Fund "TR/Crypt.ZPACK.Gen2 [trojan]"
    Log-Analyse und Auswertung - 21.11.2015 (9)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Windows 7 Webseiten werden auf Werbung umgeleitet. Avira fund "adware/multiPlug.Gen2" und 2 TR/Crypt.ZPACK.gen2
    Log-Analyse und Auswertung - 16.12.2014 (16)
  4. Windows 8.1 "Telekom-Trojaner" Avira meldet "Emotet.A.43"
    Log-Analyse und Auswertung - 24.11.2014 (9)
  5. Win7 nach AntiVir Funden "TR/Crypt.zpack.Gen7" und "Adspy.Gen2" stark verlangsamt
    Log-Analyse und Auswertung - 13.04.2014 (28)
  6. Avira meldet TR/Crypt.XPACK.Gen" in Datei "mjcrosoft-windows-hal-events.exe"
    Plagegeister aller Art und deren Bekämpfung - 09.04.2014 (13)
  7. Windows 8: "TR/Crypt.XPACK.Gen2" / "ADWARE/Amonetize.U.3"
    Plagegeister aller Art und deren Bekämpfung - 30.09.2013 (9)
  8. Avira meldet Trojaner "TR/Sirefef.AG.9" und "TR/ATRAPS.Gen2"
    Plagegeister aller Art und deren Bekämpfung - 26.04.2013 (9)
  9. Avira meldet "TR/Downloader.Gen8" und "TR/Matsnu.EB.130" nach öffnen von Malware
    Plagegeister aller Art und deren Bekämpfung - 20.03.2013 (32)
  10. Einblendung "Budesamt" sperrt PC, Avira meldet Crypt.EPACK.Gen2 & Rogue.kdz.7567.1
    Plagegeister aller Art und deren Bekämpfung - 17.02.2013 (17)
  11. AVIRA meldet "W32/Patched.ZA", "TR/ATRAPS.Gen2", "TR/ATRAPS.Gen", "ZR/sirefe.P.487"
    Log-Analyse und Auswertung - 30.07.2012 (9)
  12. PC nach Befall durch "TR/Crypt.XPACK.Gen" und "TR/Crypt.ZPACK.Gen2" extrem langsam
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (7)
  13. "CorruptBootConfigData" Nach Virusbefall ("TR/Crypt.XPack.Gen")
    Plagegeister aller Art und deren Bekämpfung - 08.10.2011 (1)
  14. Avira AntiVir hat folgenden Fund: "TR/Crypt.XPACK.Gen2"
    Plagegeister aller Art und deren Bekämpfung - 04.03.2011 (0)
  15. Was ist tr "crypt.xpack.gen2" und "TR/Banker.Multi.TB"?
    Plagegeister aller Art und deren Bekämpfung - 09.01.2011 (7)
  16. Was ist tr "crypt.xpack.gen2" und "TR/Banker.Multi.TB"?
    Alles rund um Windows - 07.01.2011 (1)
  17. Trojaner Spy.31.232.57, Crypt.XPACK.Gen, ....Gen2, ....Gen3; BDS/Papras.RR >> Quarantäne "voll"
    Plagegeister aller Art und deren Bekämpfung - 29.09.2010 (3)

Zum Thema Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" - Hallo...sorry schonmal für den folgenden langen Post, aber lange Geschichte... Ich bin vor einigen Tagen auf attackierenden Seiten gelandet.Avira hat jedesmal sofort Alarm geschrieen, Meldung war Code: Alles auswählen Aufklappen - Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"...
Archiv
Du betrachtest: Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.