| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Musik im Hintergrund! Virus? Was kann ich tun?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
03.08.2010, 19:18
| #1 |
 |  Musik im Hintergrund! Virus? Was kann ich tun? Guten Abend. Ich habe seit 3 Tagen das Problem, dass ca. alle 20-40 min eine seltsame Musik von alleine anfängt zu spielen (Erinnert mich irgendwie an Film Musik von Gladiator). Außerdem öffnen sich auch ständig wenn Opera geöffnet habe Werbefenster. Das war sonst nicht so. Ich habe hier im Forum schon mehrere Beiträge dazu gelesen und habe mich dazu entschlossen mal ein Thema zu erstellen in der hoffnung das mir auch geholfen werden kann. Schon mal ein kleines Dankeschön... |
|
03.08.2010, 19:24
| #2 |
| /// Selecta Jahrusso   | Musik im Hintergrund! Virus? Was kann ich tun? Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________ |
|
03.08.2010, 19:29
| #3 |
| | Musik im Hintergrund! Virus? Was kann ich tun? Ok das ist jetzt dabei herrausgekommen:
__________________MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x00000014 Kernel Drivers (total 113): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x80700000 \WINDOWS\system32\hal.dll 0xF7987000 \WINDOWS\system32\KDCOM.DLL 0xF7897000 \WINDOWS\system32\BOOTVID.dll 0xF75A7000 ACPI.sys 0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7596000 pci.sys 0xF75F7000 isapnp.sys 0xF7A4F000 pciide.sys 0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7607000 MountMgr.sys 0xF74D7000 ftdisk.sys 0xF798B000 dmload.sys 0xF74B1000 dmio.sys 0xF770F000 PartMgr.sys 0xF7617000 VolSnap.sys 0xF7499000 atapi.sys 0xF7627000 disk.sys 0xF7637000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7479000 fltMgr.sys 0xF7467000 sr.sys 0xF7450000 KSecDD.sys 0xF7B52000 Ntfs.sys 0xF7423000 NDIS.sys 0xF7409000 Mup.sys 0xF7516000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xB76B4000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xB76A0000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xB7678000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xB7655000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys 0xF77CF000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xB7631000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF77D7000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xB761D000 \SystemRoot\system32\DRIVERS\parport.sys 0xF7506000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF77DF000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF74F6000 \SystemRoot\system32\DRIVERS\serial.sys 0xB87EA000 \SystemRoot\system32\DRIVERS\serenum.sys 0xB876E000 \SystemRoot\system32\DRIVERS\imapi.sys 0xB875E000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xB874E000 \SystemRoot\system32\DRIVERS\redbook.sys 0xB75FA000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7ABF000 \SystemRoot\system32\DRIVERS\audstub.sys 0xB873E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xB87E2000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xB75E3000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xB872E000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xB871E000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF77E7000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xB75D2000 \SystemRoot\system32\DRIVERS\psched.sys 0xB870E000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF77EF000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF77F7000 \SystemRoot\system32\DRIVERS\raspti.sys 0xB75A2000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xB86FE000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF77FF000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF79A7000 \SystemRoot\system32\DRIVERS\swenum.sys 0xB7454000 \SystemRoot\system32\DRIVERS\update.sys 0xB87C6000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xB86EE000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xB4DCC000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xB4DA8000 \SystemRoot\system32\drivers\portcls.sys 0xF7677000 \SystemRoot\system32\drivers\drmk.sys 0xF7687000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF79AB000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF79AD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xB73F0000 \SystemRoot\System32\Drivers\Null.SYS 0xF79AF000 \SystemRoot\System32\Drivers\Beep.SYS 0xF781F000 \SystemRoot\System32\drivers\vga.sys 0xF79B1000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF79B3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF772F000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF775F000 \SystemRoot\System32\Drivers\Npfs.SYS 0xB7450000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xB4D25000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xB4CCC000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xB4C7C000 \SystemRoot\system32\DRIVERS\netbt.sys 0xB4C56000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xB4C34000 \SystemRoot\System32\drivers\afd.sys 0xF7697000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF7767000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xB4C09000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xB4B99000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF76A7000 \SystemRoot\System32\Drivers\Fips.SYS 0xB4B77000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF79BF000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xB879E000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xF76E7000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF7777000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xB4DA4000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xF76F7000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF7546000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xB4B37000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF79D1000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xB4D6C000 \SystemRoot\System32\drivers\Dxapi.sys 0xF778F000 \SystemRoot\System32\watchdog.sys 0xBD000000 \SystemRoot\System32\drivers\dxg.sys 0xB73FA000 \SystemRoot\System32\drivers\dxgthk.sys 0xBD012000 \SystemRoot\System32\nv4_disp.dll 0xB47CE000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xB47F7000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xB4391000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xB4354000 \SystemRoot\system32\drivers\wdmaud.sys 0xB444E000 \SystemRoot\system32\drivers\sysaudio.sys 0xF79C1000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xB3E9D000 \SystemRoot\system32\DRIVERS\srv.sys 0xB3935000 \SystemRoot\System32\Drivers\HTTP.sys 0xB74FA000 \??\C:\DOKUME~1\Sarah\LOKALE~1\Temp\catchme.sys 0xF79FF000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS 0xB74BA000 \??\C:\DOKUME~1\Sarah\LOKALE~1\Temp\mbr.sys 0xB29D2000 \SystemRoot\system32\drivers\kmixer.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 37): 0 System Idle Process 4 System 652 C:\WINDOWS\system32\smss.exe 700 csrss.exe 732 C:\WINDOWS\system32\winlogon.exe 776 C:\WINDOWS\system32\services.exe 788 C:\WINDOWS\system32\lsass.exe 1000 C:\WINDOWS\system32\nvsvc32.exe 1032 C:\WINDOWS\system32\svchost.exe 1100 svchost.exe 1196 C:\WINDOWS\system32\svchost.exe 1316 svchost.exe 1468 svchost.exe 1640 C:\WINDOWS\system32\spoolsv.exe 1716 C:\Programme\Avira\AntiVir Desktop\sched.exe 2000 svchost.exe 172 C:\WINDOWS\RTHDCPL.EXE 204 C:\WINDOWS\system32\rundll32.exe 264 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 432 C:\WINDOWS\system32\ctfmon.exe 476 C:\Programme\ICQ7.2\ICQ.exe 688 C:\Programme\OpenOffice.org 3\program\soffice.exe 1348 C:\Programme\OpenOffice.org 3\program\soffice.bin 2024 C:\Programme\Avira\AntiVir Desktop\avguard.exe 176 C:\Programme\ICQ6Toolbar\ICQ Service.exe 488 C:\Programme\Java\jre6\bin\jqs.exe 1264 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 2932 C:\WINDOWS\system32\wbem\wmiapsrv.exe 3112 alg.exe 3892 C:\WINDOWS\system32\wscntfy.exe 2272 C:\WINDOWS\system32\svchost.exe 1376 C:\WINDOWS\system32\svchost.exe 3088 C:\WINDOWS\system32\svchost.exe 3076 C:\WINDOWS\explorer.exe 2704 C:\WINDOWS\system32\notepad.exe 3896 C:\Programme\Opera\opera.exe 3332 C:\Dokumente und Einstellungen\Sarah\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: MAXTORSTM3160215A, Rev: 3.AAD Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)! SHA1: AE10E54BE8B7EB18BA76077C6A015DE6C51FCB95 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: |
|
03.08.2010, 19:30
| #4 |
| /// Selecta Jahrusso | Musik im Hintergrund! Virus? Was kann ich tun? Lösche bitte die vorhandenen MBRCheck.txt. Starte bitte MBRCheck.exe erneut. Diesmal tippe in das Fenster folgendes ein und bestätige jede Eingabe mit Enter bei
Nun findest Du 2 MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop. Poste mir den Inhalt von beiden .txt Dokumenten
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
03.08.2010, 19:37
| #5 |
| | Musik im Hintergrund! Virus? Was kann ich tun? das war der vor dem neu start: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x00000014 Kernel Drivers (total 112): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x80700000 \WINDOWS\system32\hal.dll 0xF7987000 \WINDOWS\system32\KDCOM.DLL 0xF7897000 \WINDOWS\system32\BOOTVID.dll 0xF75A7000 ACPI.sys 0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7596000 pci.sys 0xF75F7000 isapnp.sys 0xF7A4F000 pciide.sys 0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7607000 MountMgr.sys 0xF74D7000 ftdisk.sys 0xF798B000 dmload.sys 0xF74B1000 dmio.sys 0xF770F000 PartMgr.sys 0xF7617000 VolSnap.sys 0xF7499000 atapi.sys 0xF7627000 disk.sys 0xF7637000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7479000 fltMgr.sys 0xF7467000 sr.sys 0xF7450000 KSecDD.sys 0xF7B52000 Ntfs.sys 0xF7423000 NDIS.sys 0xF7409000 Mup.sys 0xF7516000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xB76B4000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xB76A0000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xB7678000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xB7655000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys 0xF77CF000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xB7631000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF77D7000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xB761D000 \SystemRoot\system32\DRIVERS\parport.sys 0xF7506000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF77DF000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF74F6000 \SystemRoot\system32\DRIVERS\serial.sys 0xB87EA000 \SystemRoot\system32\DRIVERS\serenum.sys 0xB876E000 \SystemRoot\system32\DRIVERS\imapi.sys 0xB875E000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xB874E000 \SystemRoot\system32\DRIVERS\redbook.sys 0xB75FA000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7ABF000 \SystemRoot\system32\DRIVERS\audstub.sys 0xB873E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xB87E2000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xB75E3000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xB872E000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xB871E000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF77E7000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xB75D2000 \SystemRoot\system32\DRIVERS\psched.sys 0xB870E000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF77EF000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF77F7000 \SystemRoot\system32\DRIVERS\raspti.sys 0xB75A2000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xB86FE000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF77FF000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF79A7000 \SystemRoot\system32\DRIVERS\swenum.sys 0xB7454000 \SystemRoot\system32\DRIVERS\update.sys 0xB87C6000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xB86EE000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xB4DCC000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xB4DA8000 \SystemRoot\system32\drivers\portcls.sys 0xF7677000 \SystemRoot\system32\drivers\drmk.sys 0xF7687000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF79AB000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF79AD000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xB73F0000 \SystemRoot\System32\Drivers\Null.SYS 0xF79AF000 \SystemRoot\System32\Drivers\Beep.SYS 0xF781F000 \SystemRoot\System32\drivers\vga.sys 0xF79B1000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF79B3000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF772F000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF775F000 \SystemRoot\System32\Drivers\Npfs.SYS 0xB7450000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xB4D25000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xB4CCC000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xB4C7C000 \SystemRoot\system32\DRIVERS\netbt.sys 0xB4C56000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xB4C34000 \SystemRoot\System32\drivers\afd.sys 0xF7697000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF7767000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xB4C09000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xB4B99000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF76A7000 \SystemRoot\System32\Drivers\Fips.SYS 0xB4B77000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF79BF000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xB879E000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xF76E7000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF7777000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xB4DA4000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xF76F7000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF7546000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xB4B37000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF79D1000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xB4D6C000 \SystemRoot\System32\drivers\Dxapi.sys 0xF778F000 \SystemRoot\System32\watchdog.sys 0xBD000000 \SystemRoot\System32\drivers\dxg.sys 0xB73FA000 \SystemRoot\System32\drivers\dxgthk.sys 0xBD012000 \SystemRoot\System32\nv4_disp.dll 0xB47CE000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xB47F7000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xB4391000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xB4354000 \SystemRoot\system32\drivers\wdmaud.sys 0xB444E000 \SystemRoot\system32\drivers\sysaudio.sys 0xF79C1000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xB3E9D000 \SystemRoot\system32\DRIVERS\srv.sys 0xB3935000 \SystemRoot\System32\Drivers\HTTP.sys 0xB74FA000 \??\C:\DOKUME~1\Sarah\LOKALE~1\Temp\catchme.sys 0xF79FF000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS 0xB74BA000 \??\C:\DOKUME~1\Sarah\LOKALE~1\Temp\mbr.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 37): 0 System Idle Process 4 System 652 C:\WINDOWS\system32\smss.exe 700 csrss.exe 732 C:\WINDOWS\system32\winlogon.exe 776 C:\WINDOWS\system32\services.exe 788 C:\WINDOWS\system32\lsass.exe 1000 C:\WINDOWS\system32\nvsvc32.exe 1032 C:\WINDOWS\system32\svchost.exe 1100 svchost.exe 1196 C:\WINDOWS\system32\svchost.exe 1316 svchost.exe 1468 svchost.exe 1640 C:\WINDOWS\system32\spoolsv.exe 1716 C:\Programme\Avira\AntiVir Desktop\sched.exe 2000 svchost.exe 172 C:\WINDOWS\RTHDCPL.EXE 204 C:\WINDOWS\system32\rundll32.exe 264 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 432 C:\WINDOWS\system32\ctfmon.exe 476 C:\Programme\ICQ7.2\ICQ.exe 688 C:\Programme\OpenOffice.org 3\program\soffice.exe 1348 C:\Programme\OpenOffice.org 3\program\soffice.bin 2024 C:\Programme\Avira\AntiVir Desktop\avguard.exe 176 C:\Programme\ICQ6Toolbar\ICQ Service.exe 488 C:\Programme\Java\jre6\bin\jqs.exe 1264 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 2932 C:\WINDOWS\system32\wbem\wmiapsrv.exe 3112 alg.exe 3892 C:\WINDOWS\system32\wscntfy.exe 2272 C:\WINDOWS\system32\svchost.exe 1376 C:\WINDOWS\system32\svchost.exe 3088 C:\WINDOWS\system32\svchost.exe 3076 C:\WINDOWS\explorer.exe 2704 C:\WINDOWS\system32\notepad.exe 3896 C:\Programme\Opera\opera.exe 780 C:\Dokumente und Einstellungen\Sarah\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: MAXTORSTM3160215A, Rev: 3.AAD Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)! SHA1: AE10E54BE8B7EB18BA76077C6A015DE6C51FCB95 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Options: [1] Dump the MBR of a physical disk to file. [2] Restore the MBR of a physical disk with a standard boot code. [3] Exit. Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes: [ 0] Default (Windows XP) [ 1] Windows XP [ 2] Windows Server 2003 [ 3] Windows Vista [ 4] Windows 2008 [ 5] Windows 7 [-1] Cancel Please select the MBR code to write to this drive: 1 Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: yes Successfully wrote new MBR code! Please reboot your computer to complete the fix. Done! Das ist der nach dem Neustart MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x00000014 Kernel Drivers (total 109): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x80700000 \WINDOWS\system32\hal.dll 0xF7987000 \WINDOWS\system32\KDCOM.DLL 0xF7897000 \WINDOWS\system32\BOOTVID.dll 0xF75A7000 ACPI.sys 0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF7596000 pci.sys 0xF75F7000 isapnp.sys 0xF7A4F000 pciide.sys 0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF7607000 MountMgr.sys 0xF74D7000 ftdisk.sys 0xF798B000 dmload.sys 0xF74B1000 dmio.sys 0xF770F000 PartMgr.sys 0xF7617000 VolSnap.sys 0xF7499000 atapi.sys 0xF7627000 disk.sys 0xF7637000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF7479000 fltMgr.sys 0xF7467000 sr.sys 0xF7450000 KSecDD.sys 0xF7B52000 Ntfs.sys 0xF7423000 NDIS.sys 0xF7409000 Mup.sys 0xF7516000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xB76B5000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xB76A1000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xB7679000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xB7656000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys 0xF77C7000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xB7632000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF77CF000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xB761E000 \SystemRoot\system32\DRIVERS\parport.sys 0xF7506000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF77D7000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF74F6000 \SystemRoot\system32\DRIVERS\serial.sys 0xB87E6000 \SystemRoot\system32\DRIVERS\serenum.sys 0xB876E000 \SystemRoot\system32\DRIVERS\imapi.sys 0xB875E000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xB874E000 \SystemRoot\system32\DRIVERS\redbook.sys 0xB75FB000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7A78000 \SystemRoot\system32\DRIVERS\audstub.sys 0xB873E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xB87DE000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xB75E4000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xB872E000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xB871E000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF77DF000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xB75D3000 \SystemRoot\system32\DRIVERS\psched.sys 0xB870E000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF77E7000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF77EF000 \SystemRoot\system32\DRIVERS\raspti.sys 0xB75A3000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xB86FE000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF77F7000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF79A5000 \SystemRoot\system32\DRIVERS\swenum.sys 0xB7455000 \SystemRoot\system32\DRIVERS\update.sys 0xB87C2000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xB86EE000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xB4DCD000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xB4DA9000 \SystemRoot\system32\drivers\portcls.sys 0xF7667000 \SystemRoot\system32\drivers\drmk.sys 0xF7677000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF79A9000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF79AB000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xB73E7000 \SystemRoot\System32\Drivers\Null.SYS 0xF79AD000 \SystemRoot\System32\Drivers\Beep.SYS 0xF7817000 \SystemRoot\System32\drivers\vga.sys 0xF79AF000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF79B1000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF781F000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF772F000 \SystemRoot\System32\Drivers\Npfs.SYS 0xB744D000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xB4D26000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xB4CCD000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xB4C7D000 \SystemRoot\system32\DRIVERS\netbt.sys 0xB4C57000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xB4C35000 \SystemRoot\System32\drivers\afd.sys 0xF7687000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF775F000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xB4C0A000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xB4B9A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF7697000 \SystemRoot\System32\Drivers\Fips.SYS 0xB4B78000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF79B5000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xB742D000 \SystemRoot\system32\DRIVERS\hidusb.sys 0xF76B7000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0xF7767000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xB87BE000 \SystemRoot\system32\DRIVERS\mouhid.sys 0xF76C7000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF76E7000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xB4B38000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF79B7000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xB4D81000 \SystemRoot\System32\drivers\Dxapi.sys 0xF7777000 \SystemRoot\System32\watchdog.sys 0xBD000000 \SystemRoot\System32\drivers\dxg.sys 0xB73B9000 \SystemRoot\System32\drivers\dxgthk.sys 0xBD012000 \SystemRoot\System32\nv4_disp.dll 0xB4757000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xB476C000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xB44AA000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xB446D000 \SystemRoot\system32\drivers\wdmaud.sys 0xB47C4000 \SystemRoot\system32\drivers\sysaudio.sys 0xF7A09000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xB3F16000 \SystemRoot\system32\DRIVERS\srv.sys 0xB371C000 \SystemRoot\System32\Drivers\HTTP.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 37): 0 System Idle Process 4 System 648 C:\WINDOWS\system32\smss.exe 696 csrss.exe 728 C:\WINDOWS\system32\winlogon.exe 772 C:\WINDOWS\system32\services.exe 784 C:\WINDOWS\system32\lsass.exe 992 C:\WINDOWS\system32\nvsvc32.exe 1024 C:\WINDOWS\system32\svchost.exe 1092 svchost.exe 1188 C:\WINDOWS\system32\svchost.exe 1316 svchost.exe 1388 svchost.exe 1536 C:\WINDOWS\system32\spoolsv.exe 1612 C:\Programme\Avira\AntiVir Desktop\sched.exe 1696 svchost.exe 1932 C:\WINDOWS\explorer.exe 152 C:\WINDOWS\RTHDCPL.EXE 180 C:\WINDOWS\system32\rundll32.exe 196 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 208 C:\Programme\SweetIM\Messenger\SweetIM.exe 240 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe 372 C:\Programme\OpenOffice.org 3\program\soffice.exe 460 C:\Programme\OpenOffice.org 3\program\soffice.bin 1032 C:\WINDOWS\system32\svchost.exe 1208 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1304 C:\Programme\ICQ6Toolbar\ICQ Service.exe 1348 C:\Programme\Java\jre6\bin\jqs.exe 1904 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 432 C:\WINDOWS\system32\wuauclt.exe 1644 C:\WINDOWS\system32\svchost.exe 2176 wmiprvse.exe 2364 C:\WINDOWS\system32\wbem\wmiapsrv.exe 2444 wmiprvse.exe 2496 alg.exe 3252 C:\Programme\Opera\opera.exe 3844 C:\Dokumente und Einstellungen\Sarah\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: MAXTORSTM3160215A, Rev: 3.AAD Size Device Name MBR Status -------------------------------------------- 149 GB \\.\PhysicalDrive0 Known-bad MBR code detected (Whistler / Black Internet)! SHA1: AE10E54BE8B7EB18BA76077C6A015DE6C51FCB95 Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: |
|
03.08.2010, 19:41
| #6 |
| /// Selecta Jahrusso | Musik im Hintergrund! Virus? Was kann ich tun? Windows XP Cd vorhanden ?
__________________ --> Musik im Hintergrund! Virus? Was kann ich tun? |
|
03.08.2010, 19:45
| #7 |
| | Musik im Hintergrund! Virus? Was kann ich tun? Nein leider nicht! habe auch erst vor ca. 2 wochen xp neu drauf gemacht. Die cd müsste ich mir erst wieder von einem bekannten holen. Gibt es auch eine andere möglichkeit? Hatte gerade erst alles so eingestellt wie ich es haben möchte... Vielen dank schon mal für die schnellen Antworten. |
|
03.08.2010, 21:39
| #8 |
| /// Selecta Jahrusso | Musik im Hintergrund! Virus? Was kann ich tun?Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**  
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
04.08.2010, 16:35
| #9 |
| | Musik im Hintergrund! Virus? Was kann ich tun? so habe das programm mal durchlaufen lassen... das hat es mir ausgespuckt: Combofix Logfile: Code:
ATTFilter ComboFix 10-08-03.04 - Sarah 04.08.2010 17:25:29.2.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3519.3143 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Sarah\Desktop\Combo-Fix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
\\.\PhysicalDrive0 - Bootkit Whistler was found and disinfected
.
((((((((((((((((((((((( Dateien erstellt von 2010-07-04 bis 2010-08-04 ))))))))))))))))))))))))))))))
.
2010-08-03 17:46 . 2010-08-03 17:55 -------- d-----w- C:\ComboFix
2010-07-25 05:46 . 2010-07-25 05:46 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\PrivacIE
2010-07-23 10:05 . 2010-07-23 10:05 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2010-07-23 10:01 . 2010-07-25 05:46 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-07-20 14:47 . 2010-07-20 14:47 -------- d-----w- c:\windows\Sun
2010-07-16 16:07 . 2010-07-16 16:54 -------- d-----w- c:\dokumente und einstellungen\Sarah\Anwendungsdaten\vlc
2010-07-16 12:15 . 2010-07-16 12:15 -------- d-----w- c:\windows\system32\20-20 Technologies
2010-07-16 12:12 . 2010-07-16 12:12 -------- d-sh--w- c:\dokumente und einstellungen\Sarah\IECompatCache
2010-07-08 20:13 . 2010-07-08 20:13 -------- d-----w- c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\BlackJack
2010-07-08 20:12 . 2010-07-08 20:12 -------- d-----w- c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\PunkPong
2010-07-08 20:10 . 2010-07-08 20:10 -------- d-----w- c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Phong
2010-07-08 20:09 . 2010-07-08 20:09 -------- d-----w- c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Roshambo Rumble!
2010-07-08 20:04 . 2010-07-08 20:04 -------- d-----w- c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Basketball
2010-07-08 20:02 . 2010-07-08 20:02 -------- d-----w- c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\SimAquarium
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-04 15:24 . 2010-06-04 10:29 -------- d-----w- c:\dokumente und einstellungen\Sarah\Anwendungsdaten\ICQ
2010-07-20 13:32 . 2010-06-15 10:08 -------- d-----w- c:\programme\JDownloader
2010-07-07 11:09 . 2010-06-04 10:25 -------- d-----w- c:\programme\Opera
2010-07-06 13:14 . 2010-06-04 11:48 1 ----a-w- c:\dokumente und einstellungen\Sarah\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-03 10:27 . 2010-07-03 10:27 -------- d-----w- c:\programme\Ahead
2010-07-03 10:27 . 2010-07-03 10:27 -------- d-----w- c:\programme\Gemeinsame Dateien\Ahead
2010-06-18 13:08 . 2010-06-18 13:08 -------- d-----w- c:\programme\Windows Media Connect 2
2010-06-15 10:58 . 2010-06-15 10:58 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-06-15 10:08 . 2010-06-15 10:08 503808 ----a-w- c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-650b06b3-n\msvcp71.dll
2010-06-15 10:08 . 2010-06-15 10:08 499712 ----a-w- c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-650b06b3-n\jmc.dll
2010-06-15 10:08 . 2010-06-15 10:08 348160 ----a-w- c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-650b06b3-n\msvcr71.dll
2010-06-15 10:08 . 2010-06-15 10:08 411368 ----a-w- c:\windows\system32\deploytk.dll
2010-06-15 10:08 . 2010-06-15 10:08 -------- d-----w- c:\programme\Java
2010-06-15 10:08 . 2010-06-15 10:08 152576 ----a-w- c:\dokumente und einstellungen\Sarah\Anwendungsdaten\Sun\Java\jre1.6.0_15\lzma.dll
2010-06-15 09:58 . 2008-04-14 12:00 84992 ----a-w- c:\windows\system32\perfc007.dat
2010-06-15 09:58 . 2008-04-14 12:00 460722 ----a-w- c:\windows\system32\perfh007.dat
2010-06-15 09:54 . 2010-06-15 09:54 -------- d-----w- c:\programme\Microsoft.NET
2010-06-15 09:38 . 2010-06-15 09:38 -------- d-----w- c:\programme\VideoLAN
2010-06-15 09:14 . 2010-06-04 10:21 16504 ----a-w- c:\dokumente und einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-14 14:31 . 2010-06-04 10:07 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-11 15:23 . 2010-06-11 15:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SweetIM
2010-06-11 15:23 . 2010-06-11 15:23 -------- d-----w- c:\programme\SweetIM
2010-06-10 13:12 . 2010-06-04 10:29 -------- d-----w- c:\programme\ICQ7.2
2010-06-08 18:45 . 2010-06-04 10:29 -------- d-----w- c:\programme\ICQ6Toolbar
2010-06-08 10:23 . 2010-06-04 10:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2010-06-06 12:59 . 2010-07-01 20:33 185112 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1031.dat
2010-06-06 12:59 . 2010-06-04 10:08 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-06-04 11:07 . 2010-06-04 11:07 164352 ----a-w- c:\windows\system32\SpoonUninstall.exe
2010-06-04 11:07 . 2010-06-04 11:07 12321 ----a-w- c:\windows\system32\SpoonUninstall-Jardinains!.dat
2010-06-04 10:06 . 2010-06-04 10:06 21740 ----a-w- c:\windows\system32\emptyregdb.dat
.
((((((((((((((((((((((((((((( SnapShot@2010-08-03_17.53.58 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-08-04 15:24 . 2010-08-04 15:24 16384 c:\windows\Temp\Perflib_Perfdata_688.dat
+ 2010-06-04 10:11 . 2010-08-04 15:23 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2010-06-04 10:11 . 2010-08-03 17:47 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2010-06-04 10:11 . 2010-08-04 15:23 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2010-06-04 10:11 . 2010-08-03 17:47 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2010-06-04 10:11 . 2010-08-04 15:23 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2010-06-04 10:11 . 2010-08-03 17:47 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2010-05-17 138552]
[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2010-05-17 14:55 1444664 ----a-w- c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2010-05-17 1444664]
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2010-05-17 1444664]
[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-10-28 17331200]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2010-05-05 111928]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10e.exe" [2010-01-27 256280]
c:\dokumente und einstellungen\Sarah\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\ICQ7.2\\ICQ.exe"=
"c:\\Programme\\ICQ7.2\\aolload.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Dokumente und Einstellungen\\Sarah\\Desktop\\spiele2\\gameunp.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.06.2010 12:34 135336]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [04.06.2010 12:29 246520]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
Inhalt des "geplante Tasks" Ordners
2010-08-04 c:\windows\Tasks\User_Feed_Synchronization-{666D1691-C611-4286-920A-B576D94A4311}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/skins7/
DPF: {1C11B948-582A-433F-A98D-A8C4D5CC64F2} - hxxp://kitchenplanner.ikea.com/DE/Core/Player/2020PlayerAX_Win32.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-04 17:29
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,8b,e6,0d,f4,68,48,be,40,ba,26,56,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,8b,e6,0d,f4,68,48,be,40,ba,26,56,\
.
Zeit der Fertigstellung: 2010-08-04 17:30:46
ComboFix-quarantined-files.txt 2010-08-04 15:30
ComboFix2.txt 2010-08-03 17:55
Vor Suchlauf: 9 Verzeichnis(se), 149.799.149.568 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 149.804.376.064 Bytes frei
- - End Of File - - 9B3FA08639642D3DBB3784D08298BD66
|
|
04.08.2010, 17:01
| #10 |
| /// Selecta Jahrusso | Musik im Hintergrund! Virus? Was kann ich tun? Sieht gut aus, noch Musik ?  Schritt 1 Downloade Dir bitte Malwarebytes
Schritt 2 ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Wenn der Scan beendet wurde
Schritt 3 Downloade Dir bitte SecurityCheck
Poste den Inhalt bitte hier. Schritt 4 Starte bitte OTL.exe. Wähle unter Extra Registrierung: Benutze Safe List und klicke auf den Scan Button. Bitte poste in Deiner nächsten Antwort MBAM Log ESET Log Sescan.log OTL.txt Extras.txt Berichte wie der Rechner läuft
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
04.08.2010, 17:36
| #11 |
| | Musik im Hintergrund! Virus? Was kann ich tun? so hier schon mal der MBAM-LOG Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4388 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 04.08.2010 18:09:25 mbam-log-2010-08-04 (18-09-25).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 120509 Laufzeit: 2 Minute(n), 58 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
04.08.2010, 17:49
| #12 |
| | Musik im Hintergrund! Virus? Was kann ich tun? So der ESET LOG ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6211 # api_version=3.0.2 # EOSSerial=44ca02ffcd84fe4b98c370e8ebf76fd7 # end=finished # remove_checked=true # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2010-08-04 04:45:44 # local_time=2010-08-04 06:45:44 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1797 16775125 100 93 456062 40031465 77120 0 # compatibility_mode=8192 67108863 100 0 99 99 0 0 # scanned=36234 # found=6 # cleaned=6 # scan_time=1971 C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24\17e64958-28e8a585 a variant of Win32/Unruy.AA trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\Dokumente und Einstellungen\Sarah\Desktop\RSD 0.61\RSD.exe probably unknown NewHeur_PE virus (deleted - quarantined) 00000000000000000000000000000000 C C:\System Volume Information\_restore{757677E4-A0E8-41A2-BCBD-5F56185C3DE5}\RP44\A0002276.dll probably a variant of Win32/Agent trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\System Volume Information\_restore{757677E4-A0E8-41A2-BCBD-5F56185C3DE5}\RP44\A0002277.exe a variant of Win32/Inject.NDT trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\System Volume Information\_restore{757677E4-A0E8-41A2-BCBD-5F56185C3DE5}\RP44\A0002278.exe a variant of Win32/Inject.NDT trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C C:\System Volume Information\_restore{757677E4-A0E8-41A2-BCBD-5F56185C3DE5}\RP49\A0004710.exe probably unknown NewHeur_PE virus (deleted - quarantined) 00000000000000000000000000000000 C |
|
04.08.2010, 17:51
| #13 |
| | Musik im Hintergrund! Virus? Was kann ich tun? der SESCAN LOG Results of screen317's Security Check version 0.99.5 Windows XP Service Pack 3 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Avira AntiVir Personal - Free Antivirus ESET Online Scanner v3 Antivirus up to date! ``````````````````````````````` Anti-malware/Other Utilities Check: Malwarebytes' Anti-Malware Java(TM) 6 Update 15 Out of date Java installed! Adobe Flash Player 10.1.53.64 Adobe Reader 8.1.0 - Deutsch Out of date Adobe Reader installed! ```````````````````````````````` Process Check: objlist.exe by Laurent Avira Antivir avguard.exe ```````````````````````````````` DNS Vulnerability Check: GREAT! (Not vulnerable to DNS cache poisoning) ``````````End of Log```````````` |
|
04.08.2010, 17:58
| #14 |
| | Musik im Hintergrund! Virus? Was kann ich tun? OTL.TXT OTL Logfile: Code:
ATTFilter OTL logfile created on: 04.08.2010 18:53:59 - Run 1 OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Sarah\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 87,00% Memory free 5,00 Gb Paging File | 5,00 Gb Available in Paging File | 90,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 149,04 Gb Total Space | 139,43 Gb Free Space | 93,55% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: ARSCHLOCH Current User Name: Sarah Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Standard ========== Processes (SafeList) ========== PRC - [2010.08.04 18:52:34 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sarah\Desktop\OTL.exe PRC - [2010.06.30 14:52:22 | 000,836,464 | ---- | M] (Opera Software) -- C:\Programme\Opera\opera.exe PRC - [2010.04.12 23:56:48 | 000,246,520 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe PRC - [2010.04.01 13:33:15 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (SafeList) ========== MOD - [2010.08.04 18:52:34 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sarah\Desktop\OTL.exe MOD - [2008.04.14 14:00:00 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ) SRV - [2010.04.12 23:56:48 | 000,246,520 | ---- | M] () [Auto | Running] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service) SRV - [2010.04.01 13:33:15 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.03.18 16:47:22 | 000,035,160 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe -- (aspnet_state) SRV - [2010.03.18 13:16:28 | 000,753,504 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe -- (WPFFontCache_v0400) SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2010.03.18 13:16:28 | 000,124,240 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe -- (NetTcpPortSharing) SRV - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Running] -- C:\DOKUME~1\Sarah\LOKALE~1\Temp\catchme.sys -- (catchme) DRV - [2010.04.04 00:55:31 | 010,232,128 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv) DRV - [2010.03.01 10:05:19 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2010.02.16 14:24:01 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.05.11 12:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2009.05.11 10:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.04.23 19:22:16 | 000,141,568 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2008.10.31 11:38:08 | 004,942,336 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2008.04.14 14:00:00 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/skins7/ IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) IE - HKCU\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O3 - HKCU\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.) O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\Sarah\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.) O16 - DPF: {1C11B948-582A-433F-A98D-A8C4D5CC64F2} hxxp://kitchenplanner.ikea.com/DE/Core/Player/2020PlayerAX_Win32.cab (20-20 3D Viewer) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.06.04 12:08:57 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.08.04 18:52:33 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sarah\Desktop\OTL.exe [2010.08.04 18:11:13 | 000,000,000 | ---D | C] -- C:\Programme\ESET [2010.08.04 18:05:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\Malwarebytes [2010.08.04 18:05:48 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.08.04 18:05:47 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.08.04 18:05:47 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.08.04 18:05:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.08.04 18:04:56 | 006,153,384 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Sarah\Desktop\mbam-setup.exe [2010.08.03 19:49:30 | 000,000,000 | RHSD | C] -- C:\cmdcons [2010.08.03 19:46:42 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2010.08.03 19:46:42 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2010.08.03 19:46:41 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2010.08.03 19:46:41 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2010.08.03 19:46:37 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2010.08.03 19:46:36 | 000,000,000 | ---D | C] -- C:\ComboFix [2010.08.03 19:45:25 | 000,000,000 | ---D | C] -- C:\Qoobox [2010.07.25 07:47:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia [2010.07.23 12:01:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [2010.07.20 16:47:36 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun [2010.07.20 14:38:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Desktop\D3DWindower-English [2010.07.20 14:38:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Desktop\spiele2 [2010.07.16 18:07:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Anwendungsdaten\vlc [2010.07.16 14:15:11 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\20-20 Technologies [2010.07.16 14:12:22 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Sarah\IECompatCache [2010.07.08 22:13:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\BlackJack [2010.07.08 22:12:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\PunkPong [2010.07.08 22:10:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Phong [2010.07.08 22:09:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Roshambo Rumble! [2010.07.08 22:04:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\Basketball [2010.07.08 22:02:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\SimAquarium [2010.07.06 15:13:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\ICQ [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.08.04 18:52:34 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sarah\Desktop\OTL.exe [2010.08.04 18:48:41 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{666D1691-C611-4286-920A-B576D94A4311}.job [2010.08.04 18:48:31 | 000,869,051 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\SecurityCheck.exe [2010.08.04 18:10:59 | 002,672,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\esetsmartinstaller_enu.exe [2010.08.04 18:05:51 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.04 18:05:10 | 006,153,384 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Sarah\Desktop\mbam-setup.exe [2010.08.04 17:30:46 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.08.04 17:29:36 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.08.04 17:25:02 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.08.04 17:24:39 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.08.04 17:24:10 | 002,883,584 | -H-- | M] () -- C:\Dokumente und Einstellungen\Sarah\NTUSER.DAT [2010.08.04 17:21:44 | 003,749,693 | R--- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\Combo-Fix.exe [2010.08.04 17:14:42 | 000,276,202 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml [2010.08.03 22:02:26 | 003,195,510 | -H-- | M] () -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.08.03 20:32:53 | 000,000,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\MBRCheck_MBR_Backup_08-03-10_20-32-53.bak [2010.08.03 19:49:35 | 000,000,281 | RHS- | M] () -- C:\boot.ini [2010.08.03 19:36:11 | 000,080,384 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\MBRCheck.exe [2010.07.27 08:29:42 | 008,503,296 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shell32.dll [2010.07.20 17:55:40 | 000,007,372 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\1-216e50b62a2c1b27.jpg [2010.07.20 17:28:21 | 000,007,680 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.20 17:27:33 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.07.16 18:07:32 | 000,000,691 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk [2010.07.14 15:00:22 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.07.14 13:57:45 | 000,082,986 | ---- | M] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\Foto151++.jpg [2010.07.07 13:09:28 | 000,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Opera.lnk [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.08.04 18:48:29 | 000,869,051 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\SecurityCheck.exe [2010.08.04 18:10:59 | 002,672,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\esetsmartinstaller_enu.exe [2010.08.04 18:05:51 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.04 17:21:44 | 003,749,693 | R--- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\Combo-Fix.exe [2010.08.03 20:32:53 | 000,000,512 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\MBRCheck_MBR_Backup_08-03-10_20-32-53.bak [2010.08.03 19:49:35 | 000,000,211 | ---- | C] () -- C:\Boot.bak [2010.08.03 19:49:31 | 000,262,448 | ---- | C] () -- C:\cmldr [2010.08.03 19:46:42 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe [2010.08.03 19:46:42 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe [2010.08.03 19:46:42 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2010.08.03 19:46:41 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2010.08.03 19:46:41 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2010.08.03 19:36:11 | 000,080,384 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\MBRCheck.exe [2010.07.20 17:55:40 | 000,007,372 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\1-216e50b62a2c1b27.jpg [2010.07.20 14:38:42 | 000,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\novokey.dat [2010.07.16 18:07:32 | 000,000,691 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\VLC media player.lnk [2010.07.16 18:03:40 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2010.07.16 14:12:17 | 000,000,418 | -H-- | C] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{666D1691-C611-4286-920A-B576D94A4311}.job [2010.07.14 13:59:18 | 000,082,986 | ---- | C] () -- C:\Dokumente und Einstellungen\Sarah\Desktop\Foto151++.jpg [2010.06.04 12:13:43 | 000,073,728 | R--- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll < End of report > EXTRA.TXT OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 04.08.2010 18:53:59 - Run 1
OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Sarah\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 87,00% Memory free
5,00 Gb Paging File | 5,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 139,43 Gb Free Space | 93,55% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: ARSCHLOCH
Current User Name: Sarah
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- C:\Programme\Opera\opera.exe (Opera Software)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Opera\opera.exe" "%1" (Opera Software)
https [open] -- "C:\Programme\Opera\opera.exe" "%1" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player -- ()
"C:\Dokumente und Einstellungen\Sarah\Desktop\spiele2\gameunp.exe" = C:\Dokumente und Einstellungen\Sarah\Desktop\spiele2\gameunp.exe:*:Enabled:gameunp -- ()
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{1CD4D45E-4851-496D-840F-2C2E752ECFB7}" = SweetIM Toolbar for Internet Explorer 3.9
"{1D2C96C3-A3F3-49E7-B839-95279DED837F}" = Opera 10.60
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java(TM) 6 Update 15
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{AC76BA86-7AD7-1031-7B44-A81000000003}" = Adobe Reader 8.1.0 - Deutsch
"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{DA95E878-B181-4366-A433-6145592707A8}" = SweetIM for Messenger 3.1
"{DEA314C4-0929-4250-BC92-98E4C105F28D}" = NVIDIA PhysX
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"ESET Online Scanner" = ESET Online Scanner v3
"ICQToolbar" = ICQ Toolbar
"ie8" = Windows Internet Explorer 8
"Jardinains!" = Jardinains!
"JDownloader" = JDownloader
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6 Demo
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"VLC media player" = VLC media player 1.1.0
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Basketball" = Basketball
"BlackJack" = BlackJack
"Phong" = Phong
"PunkPong" = PunkPong
"Roshambo Rumble!" = Roshambo Rumble!
"SimAquarium" = SimAquarium
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 23.07.2010 05:33:47 | Computer Name = ARSCHLOCH | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 23.07.2010 05:34:02 | Computer Name = ARSCHLOCH | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 24.07.2010 02:03:32 | Computer Name = ARSCHLOCH | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 24.07.2010 02:03:32 | Computer Name = ARSCHLOCH | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 24.07.2010 02:03:47 | Computer Name = ARSCHLOCH | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 25.07.2010 01:45:57 | Computer Name = ARSCHLOCH | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 25.07.2010 01:45:57 | Computer Name = ARSCHLOCH | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 25.07.2010 01:46:12 | Computer Name = ARSCHLOCH | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 26.07.2010 00:58:04 | Computer Name = ARSCHLOCH | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 26.07.2010 00:58:04 | Computer Name = ARSCHLOCH | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
[ System Events ]
Error - 19.06.2010 12:16:46 | Computer Name = ARSCHLOCH | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst WMI-Leistungsadapter.
Error - 19.06.2010 12:16:46 | Computer Name = ARSCHLOCH | Source = Service Control Manager | ID = 7000
Description = Der Dienst "WMI-Leistungsadapter" wurde aufgrund folgenden Fehlers
nicht gestartet: %%1053
< End of report >
Ich hoffe, dass ich alles richtig gemacht habe... Also bis jetzt habe ich keine Musik mehr gehabt und Werbeseiten haben sich auch nich nicht wieder geöffnet... |
|
04.08.2010, 18:03
| #15 |
| /// Selecta Jahrusso | Musik im Hintergrund! Virus? Was kann ich tun? Logfile ist sauber  Hier noch die letzten paar Schritte zur Säuberung Deines Rechners. Schritt 1 Deinstalliere bitte deine aktuelle Version von Adobe Reader Start--> Systemsteuerung--> Software--> Adobe Reader und lade dir die neue Version von Hier herunter Als alternative würde ich dir den schlankeren Foxit Reader empfehlen Schritt 2 Java aktualisieren Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).
Schritt 3 Combofix deinstallieren Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Start => Ausführen (bei Vista (Windows-Taste + R) => dort reinschreiben ComboFix /uninstall => Enter drücken - damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch auch dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. Schritt 4 Tool CleanUp Starte bitte die OTL.exe. Klicke nun auf den Bereinigung Button. Dies wird die meisten Tools und Logfiles entfernen. Sollte denoch etwas bestehen bleiben, bitte manuell entfernen sowie den Papierkorb leeren. Schritt 5 Automatische Updates Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten. Windows + R Taste drücken. Kopiere nun folgenden Text in die Kommandozeile RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl und klicke auf OK. Stelle sicher das die automatischen Updates aktiviert sind. Schritt 6 Um Dich für die Zukunft vor weiteren Infizierungen zu schützen empfehle ich Dir noch ein paar Programme.
Schritt 7 Tipps für sicheres Surfen Das sind meine Vorschläge. Verwende einen alternativen Browser statt den IE. Ich empfehle Mozilla Firefox. Für Firefox gibt es verschiedenste AddOns um sicher durch das WWW zu kommen.
Don'ts
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen. Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
| Themen zu Musik im Hintergrund! Virus? Was kann ich tun? |
| beiträge, erstelle, erstellen, film, forum, fängt, geholfen, gladiator, guten, hintergrund, hoffnung, kleines, min, musik, musik im hintergrund, opera, problem, seltsame, spiele, spielen, tagen, thema, virus, virus?, öffnen |
Button.
Linear-Darstellung
