| |
| |||||||
Log-Analyse und Auswertung: Virus versendet mails - HiackThis log auswertenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
19.10.2010, 22:24
| #1 |
| |  Virus versendet mails - HiackThis log auswerten Wie oben schon geschrieben versendet mein PC automatisch Mails. Viellleicht könnt ihr was in meinem Log entdecken, dass da nicht hingehört: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 23:19:57, on 19.10.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\vsnp2std.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\VideoLAN\VLC\vlc.exe C:\Programme\iTunes\iTunes.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Raulster\Desktop\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RelevantKnowledge] C:\programme\relevantknowledge\rlvknlg.exe -boot O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 6854 bytes Vielen Dank im vorraus, Rauli |
|
20.10.2010, 06:31
| #2 |
  | Virus versendet mails - HiackThis log auswerten Hi,
__________________zuerst die einfachen Sachen: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|RelevantKnowledge
Files to delete:
C:\programme\relevantknowledge\rlvknlg.exe
Folders to delete:
C:\Programme\AskBarDis
C:\programme\relevantknowledge
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! (Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren: Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->dHäkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen)->exit) Code:
ATTFilter O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
chris
__________________ |
|
20.10.2010, 18:58
| #3 |
| | Virus versendet mails - HiackThis log auswerten danke für die schnelle antwort!
__________________hier sind die angeforderten log-datein: avenger: Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: could not open file "C:\programme\relevantknowledge\rlvknlg.exe" Deletion of file "C:\programme\relevantknowledge\rlvknlg.exe" failed! Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND) --> bad path / the parent directory does not exist Folder "C:\Programme\AskBarDis" deleted successfully. Error: folder "C:\programme\relevantknowledge" not found! Deletion of folder "C:\programme\relevantknowledge" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|RelevantKnowledge" deleted successfully. Completed script processing. ******************* Finished! Terminate. Malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4889 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 20.10.2010 19:41:20 mbam-log-2010-10-20 (19-41-20).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|H:\|I:\|J:\|K:\|L:\|M:\|N:\|) Durchsuchte Objekte: 296481 Laufzeit: 2 Stunde(n), 35 Minute(n), 46 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (Adware.RelevantKnowledge) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Raulster\Eigene Dateien\ICQ\348637644\ReceivedFiles\324786917 Peacemaker\Keygen.exe (Trojan.Agent) -> No action taken. C:\Programme\CryptLoad\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken. C:\Programme\CryptLoad\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken. C:\System Volume Information\_restore{F0085C3D-F76A-45E2-9BA7-F73DF2AF0787}\RP384\A0096580.exe (Trojan.Zapchast) -> No action taken. (die sachen habe ich gelöscht, obwohl da noch "No action taken" steht) OTL:OTL Logfile: Code:
ATTFilter OTL logfile created on: 20.10.2010 19:47:23 - Run 1 OTL by OldTimer - Version 3.2.16.0 Folder = C:\Dokumente und Einstellungen\Raulster\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.023,00 Mb Total Physical Memory | 633,00 Mb Available Physical Memory | 62,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 87,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 149,04 Gb Total Space | 37,57 Gb Free Space | 25,21% Space Free | Partition Type: NTFS Drive N: | 931,51 Gb Total Space | 479,57 Gb Free Space | 51,48% Space Free | Partition Type: NTFS Computer Name: RAULI | User Name: Raulster | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Raulster\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\vsnp2std.exe (Sonix) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Raulster\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (npggsvc) -- C:\WINDOWS\System32\GameMon.des (INCA Internet Co., Ltd.) SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.) SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) ========== Driver Services (SafeList) ========== DRV - (upperdev) -- C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys File not found DRV - (nmwcdnsuc) -- C:\WINDOWS\System32\drivers\nmwcdnsuc.sys File not found DRV - (nmwcdnsu) -- C:\WINDOWS\System32\drivers\nmwcdnsu.sys File not found DRV - (EagleNT) -- C:\WINDOWS\System32\drivers\EagleNT.sys File not found DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (acedrv11) -- C:\WINDOWS\system32\drivers\acedrv11.sys (Protect Software GmbH) DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys () DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys () DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys () DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (rt2870) -- C:\WINDOWS\system32\drivers\rt2870.sys (Ralink Technology, Corp.) DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation) DRV - (ElbyCDFL) -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys (SlySoft, Inc.) DRV - (SNP2STD) USB2.0 PC Camera (SNP2STD) -- C:\WINDOWS\system32\drivers\snp2sxp.sys () DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology) DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology) DRV - (sfsync02) StarForce Protection Synchronization Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfsync02.sys (Protection Technology) DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.arcor.de IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.arcor.de IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu" FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: {E9A1DEE0-C623-4439-8932-001E7D17607D}:2.1.0.2 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.03 14:55:08 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.06.07 16:00:48 | 000,000,000 | ---D | M] [2009.05.29 16:46:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Mozilla\Extensions [2010.10.19 23:22:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Mozilla\Firefox\Profiles\rqb7lmue.default\extensions [2009.09.03 22:33:21 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Mozilla\Firefox\Profiles\rqb7lmue.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.09.21 13:19:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Mozilla\Firefox\Profiles\rqb7lmue.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2009.05.31 17:49:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Mozilla\Firefox\Profiles\rqb7lmue.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D} [2010.10.19 23:22:42 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2008.03.15 15:56:14 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2008.10.13 20:34:40 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2008.02.19 16:40:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2006.12.03 17:59:22 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2006.11.17 13:19:24 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2003.04.02 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll File not found O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [CHotkey] C:\WINDOWS\mHotkey.exe (Chicony) O4 - HKLM..\Run: [Cmaudio] File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] File not found O4 - HKLM..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe (Sonix) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm () O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19) O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19) O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab (Oberon Flash Game Host) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.05.29 00:03:15 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{65bf1a7f-4cb5-11df-9c42-000c7673c568}\Shell\AutoRun\command - "" = O:\Menu.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.10.20 12:33:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Malwarebytes [2010.10.20 12:32:23 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.10.20 12:32:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.10.20 12:32:20 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.10.20 12:32:20 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.10.20 12:27:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Raulster\Desktop\backups [2010.10.20 12:17:07 | 006,153,648 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Raulster\Desktop\mbam-setup.exe [2010.10.20 12:16:37 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Raulster\Desktop\OTL.exe [2010.10.19 23:18:43 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Raulster\Desktop\HiJackThis204.exe [2010.10.19 21:15:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files [2010.10.15 12:28:10 | 000,974,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc42.dll [2010.10.15 12:28:00 | 000,617,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\comctl32.dll [2010.10.08 02:16:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Hamachi [2010.10.08 02:16:02 | 000,000,000 | ---D | C] -- C:\Programme\Hamachi [2010.10.05 13:46:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\City Interactive [2010.10.04 23:46:27 | 000,000,000 | ---D | C] -- C:\Programme\Sega [2010.10.04 22:14:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Raulster\Eigene Dateien\Hitman Blood Money [2010.10.04 21:03:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia [2010.09.22 13:37:03 | 000,000,000 | ---D | C] -- C:\Programme\LOTRO [2010.09.21 13:19:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\DVDVideoSoftIEHelpers [2009.10.25 17:19:25 | 000,049,152 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnp2std.dll [2009.10.25 17:19:25 | 000,045,056 | ---- | C] ( ) -- C:\WINDOWS\System32\csnp2std.dll [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.10.20 19:48:23 | 000,002,121 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk [2010.10.20 19:43:26 | 000,276,202 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml [2010.10.20 19:43:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.10.20 13:43:11 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.10.20 13:43:10 | 000,217,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.10.20 12:17:10 | 006,153,648 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Raulster\Desktop\mbam-setup.exe [2010.10.20 12:16:38 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Raulster\Desktop\OTL.exe [2010.10.20 12:16:26 | 000,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\avenger.exe [2010.10.19 23:18:44 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Raulster\Desktop\HiJackThis204.exe [2010.10.19 23:10:05 | 000,012,915 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Unbenannt.JPG [2010.10.19 17:30:00 | 000,000,316 | ---- | M] () -- C:\WINDOWS\tasks\TWIN XP Live-Update.job [2010.10.18 01:21:19 | 000,458,402 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.10.18 01:21:19 | 000,440,684 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.10.18 01:21:19 | 000,084,500 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.10.18 01:21:19 | 000,071,002 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.10.17 23:08:58 | 000,075,284 | ---- | M] () -- C:\WINDOWS\System32\oodbs.lor [2010.10.16 19:02:21 | 000,035,328 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Trainingplan Halle 2010.xls [2010.10.15 18:36:54 | 000,117,360 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.10.15 13:40:52 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.10.15 12:34:10 | 000,046,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\hockeyliga Spielerfragebogen.doc [2010.10.15 12:31:16 | 000,020,480 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM MA 2010.xls [2010.10.15 12:24:01 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.10.08 12:17:05 | 000,020,480 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM KA 2010(2).xls [2010.10.08 02:16:03 | 000,016,224 | ---- | M] (LogMeIn, Inc.) -- C:\WINDOWS\System32\drivers\hamachi.sys [2010.10.07 12:29:58 | 000,022,328 | ---- | M] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys [2010.10.07 12:29:58 | 000,022,328 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\PnkBstrK.sys [2010.10.07 12:29:41 | 002,337,865 | ---- | M] () -- C:\WINDOWS\System32\pbsvc.exe [2010.10.07 12:27:42 | 000,002,026 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Tom Clancy's Rainbow Six Vegas 2.lnk [2010.09.30 11:16:22 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM MA 2010(2).xls [2010.09.30 11:15:51 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM KA 2010.xls [2010.09.21 13:19:15 | 000,000,906 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\DVDVideoSoft Free Studio.lnk [2010.09.21 12:43:22 | 000,058,368 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\PLAN20102011 Feld.doc [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.10.20 12:16:23 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\avenger.exe [2010.10.19 23:10:05 | 000,012,915 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Unbenannt.JPG [2010.10.16 19:02:20 | 000,035,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Trainingplan Halle 2010.xls [2010.10.15 12:34:09 | 000,046,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\hockeyliga Spielerfragebogen.doc [2010.10.15 12:31:15 | 000,020,480 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM MA 2010.xls [2010.10.08 12:17:03 | 000,020,480 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM KA 2010(2).xls [2010.10.07 12:29:58 | 000,022,328 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys [2010.10.07 12:29:58 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\PnkBstrK.sys [2010.10.07 12:29:43 | 000,107,832 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe [2010.10.07 12:29:42 | 000,066,872 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe [2010.10.07 12:29:41 | 002,337,865 | ---- | C] () -- C:\WINDOWS\System32\pbsvc.exe [2010.10.07 12:27:42 | 000,002,026 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Tom Clancy's Rainbow Six Vegas 2.lnk [2010.09.30 11:16:21 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM MA 2010(2).xls [2010.09.30 11:15:49 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM KA 2010.xls [2010.09.01 14:29:48 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2010.04.19 18:43:06 | 000,000,234 | ---- | C] () -- C:\WINDOWS\scummvm.ini [2010.04.05 13:56:57 | 000,016,098 | ---- | C] () -- C:\WINDOWS\German2.ini [2010.03.10 01:40:26 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\chrtmp [2010.01.21 00:34:51 | 000,000,023 | ---- | C] () -- C:\WINDOWS\BlendSettings.ini [2009.12.21 17:20:59 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys [2009.12.21 17:20:58 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys [2009.10.25 17:19:27 | 000,015,497 | ---- | C] () -- C:\WINDOWS\snp2std.ini [2009.10.25 17:19:25 | 008,767,232 | ---- | C] () -- C:\WINDOWS\System32\drivers\snp2sxp.sys [2009.08.19 16:13:34 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll [2009.08.19 16:13:34 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll [2009.08.17 09:52:14 | 000,000,604 | ---- | C] () -- C:\WINDOWS\Thps3.INI [2009.08.02 13:51:40 | 000,000,177 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\default.rss [2009.07.23 13:37:28 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2009.07.23 13:00:51 | 000,004,767 | ---- | C] () -- C:\WINDOWS\Irremote.ini [2009.07.08 18:06:31 | 000,000,041 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib [2009.06.18 00:30:48 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2009.05.29 20:38:43 | 000,000,770 | ---- | C] () -- C:\WINDOWS\Sof2.INI [2009.05.29 20:30:42 | 000,721,904 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys [2009.05.29 16:32:36 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI [2009.05.29 16:32:36 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI [2009.05.29 16:32:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Wininit.ini [2009.05.29 16:32:33 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll [2009.05.29 16:32:31 | 000,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll [2009.05.29 16:31:50 | 000,024,576 | ---- | C] () -- C:\WINDOWS\HKNTDLL.dll [2009.05.29 16:31:50 | 000,000,491 | ---- | C] () -- C:\WINDOWS\Instit.ini [2009.05.29 16:31:19 | 000,065,536 | ---- | C] () -- C:\WINDOWS\Dit.DLL [2009.05.29 16:31:19 | 000,000,208 | ---- | C] () -- C:\WINDOWS\Dit.INI [2009.05.29 00:33:02 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2009.05.29 00:10:06 | 000,217,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2007.01.12 17:48:16 | 000,071,208 | ---- | C] () -- C:\WINDOWS\System32\PhysXLoader.dll [2007.01.05 23:23:06 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll [2007.01.05 23:23:06 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll [2007.01.05 23:23:04 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll [2007.01.05 23:23:04 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll [2007.01.05 23:23:02 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll [2007.01.05 23:23:02 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll [2007.01.05 23:23:02 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll [2007.01.05 23:23:02 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll [2007.01.05 23:23:02 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll ========== Alternate Data Streams ========== @Alternate Data Stream - 24 bytes -> C:\WINDOWS:64B9CCC97A3CD0C4 < End of report > undOTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 20.10.2010 19:47:23 - Run 1
OTL by OldTimer - Version 3.2.16.0 Folder = C:\Dokumente und Einstellungen\Raulster\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1.023,00 Mb Total Physical Memory | 633,00 Mb Available Physical Memory | 62,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 37,57 Gb Free Space | 25,21% Space Free | Partition Type: NTFS
Drive N: | 931,51 Gb Total Space | 479,57 Gb Free Space | 51,48% Space Free | Partition Type: NTFS
Computer Name: RAULI | User Name: Raulster | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"56532:TCP" = 56532:TCP:*:Enabled:Pando Media Booster
"56532:UDP" = 56532:UDP:*:Enabled:Pando Media Booster
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"56532:TCP" = 56532:TCP:*:Enabled:Pando Media Booster
"56532:UDP" = 56532:UDP:*:Enabled:Pando Media Booster
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Soldier of Fortune II - Double Helix GOLD\SoF2MP.exe" = C:\Programme\Soldier of Fortune II - Double Helix GOLD\SoF2MP.exe:*:Enabled:SoF2MP -- ()
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ -- (ICQ, LLC.)
"C:\Programme\TmNationsForever\TmForever.exe" = C:\Programme\TmNationsForever\TmForever.exe:*:Enabled:TmForever -- File not found
"C:\Programme\EA Games\Need For Speed Hot Pursuit 2\NFSHP2.exe" = C:\Programme\EA Games\Need For Speed Hot Pursuit 2\NFSHP2.exe:*:Enabled:NFSHP2 -- File not found
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\AeriaGames\12Sky\TwelveSky.exe" = C:\AeriaGames\12Sky\TwelveSky.exe:*:Enabled:TwelveSky -- File not found
"C:\Programme\Valve\Steam\SteamApps\rauli629\day of defeat\hl.exe" = C:\Programme\Valve\Steam\SteamApps\rauli629\day of defeat\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"C:\Programme\StreamTorrent 1.0\StreamTorrent.exe" = C:\Programme\StreamTorrent 1.0\StreamTorrent.exe:*:Enabled:StreamTorrent P2P Media Player -- File not found
"C:\Programme\Hamachi\hamachi.exe" = C:\Programme\Hamachi\hamachi.exe:*:Enabled:Hamachi Client -- (LogMeIn Inc.)
"C:\Programme\Valve\Steam\SteamApps\rauli629\condition zero\hl.exe" = C:\Programme\Valve\Steam\SteamApps\rauli629\condition zero\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"C:\Programme\Valve\Steam\SteamApps\rauli629\condition zero deleted scenes\hl.exe" = C:\Programme\Valve\Steam\SteamApps\rauli629\condition zero deleted scenes\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"N:\BFgepatched\BF1942.exe" = N:\BFgepatched\BF1942.exe:*:Enabled:BF1942 -- File not found
"C:\Programme\EA SPORTS\FIFA 09\FIFA09.exe" = C:\Programme\EA SPORTS\FIFA 09\FIFA09.exe:*:Enabled:FIFA09 -- ()
"C:\Programme\LucasArts\Star Wars JK II Jedi Outcast\GameData\jk2mp.exe" = C:\Programme\LucasArts\Star Wars JK II Jedi Outcast\GameData\jk2mp.exe:*:Enabled:jk2mp -- ()
"C:\Programme\Ubisoft\SilentHunterIII\sh3.exe" = C:\Programme\Ubisoft\SilentHunterIII\sh3.exe:*:Enabled:Silent Hunter III -- File not found
"C:\WINDOWS\system32\dpnsvr.exe" = C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8-Server -- (Microsoft Corporation)
"c:\programme\relevantknowledge\rlvknlg.exe" = c:\programme\relevantknowledge\rlvknlg.exe:*:Enabled:rlvknlg.exe -- File not found
"C:\Programme\Valve\Steam\Steam.exe" = C:\Programme\Valve\Steam\Steam.exe:*:Enabled:Steam -- (Valve Corporation)
"C:\Programme\Mass Effect\Binaries\MassEffect.exe" = C:\Programme\Mass Effect\Binaries\MassEffect.exe:*:Enabled:Mass Effect Game -- (BioWare)
"C:\Programme\Mass Effect\MassEffectLauncher.exe" = C:\Programme\Mass Effect\MassEffectLauncher.exe:*:Enabled:Mass Effect Launcher -- (BioWare)
"C:\Programme\Valve\Steam\SteamApps\rauli629\counter-strike\hl.exe" = C:\Programme\Valve\Steam\SteamApps\rauli629\counter-strike\hl.exe:*:Enabled:Counter-Strike -- (Valve)
"C:\COD2\CoD2MP_s.exe" = C:\COD2\CoD2MP_s.exe:*:Enabled:CoD2MP_s -- File not found
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- File not found
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
"C:\Programme\Firefly Studios\Stronghold 2\Stronghold2.exe" = C:\Programme\Firefly Studios\Stronghold 2\Stronghold2.exe:*:Enabled:Stronghold 2 -- (Firefly Studios)
"C:\Programme\Sega\Virtua Tennis\VIRTUA_TENNIS_PC.exe" = C:\Programme\Sega\Virtua Tennis\VIRTUA_TENNIS_PC.exe:*:Enabled:VIRTUA_TENNIS_PC -- ()
"C:\Programme\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Game.exe" = C:\Programme\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Game.exe:*:Enabled:Tom Clancy's Rainbow Six Vegas 2 -- ()
"C:\Programme\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Launcher.exe" = C:\Programme\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Launcher.exe:*:Enabled:Tom Clancy's Rainbow Six Vegas 2 Update -- (Ubisoft)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam(TM)
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{14C87AA7-08E6-419F-A165-998EBE5023D7}" = Oblivion - Knights of the Nine
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{16D2C649-CBA8-44EE-B730-12584667D487}" = Stronghold 2 Deluxe
"{16D919E6-F019-4E15-BFBE-4A85EF19DA57}" = Oblivion - Spell Tomes
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1B0FBB9A-995D-47cd-87CD-13E68B676E4F}" = Mass Effect
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2315B23D-3E21-4920-837D-AE6460934ECB}" = FIFA 09
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 19
"{26D1AA3E-36F2-4E2E-BBF5-FFBBE9D7B766}" = Monkey Island
"{2F2E3D62-8B8C-448F-8900-451325E50948}" = Oblivion - Wizard's Tower
"{33cf58f5-48d8-4575-83d6-96f574e4d83a}" = Nero DriveSpeed
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{359cfc0a-beb1-440d-95ba-cf63a86da34f}" = Nero Recode
"{35CB6715-41F8-4F99-8881-6FC75BF054B0}" = Oblivion
"{368ba326-73ad-4351-84ed-3c0a7a52cc53}" = Nero Rescue Agent
"{3ABEBD00-299D-4DCA-967F-B912163AB5EA}" = Oblivion - Horse Armor Pack
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{43e39830-1826-415d-8bae-86845787b54b}" = Nero Vision
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{520F4B09-3A51-47A2-82B0-9FF1DC2D20FA}" = Oblivion - Vile Lair
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{576E71DA-3000-48F6-9B21-B9A70D47DFCF}" = Star Wars JK II Jedi Outcast
"{595a3116-40bb-4e0f-a2e8-d7951da56270}" = NeroExpress
"{5D601655-6D54-4384-B52C-17EC5385FBBD}" = iTunes
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{62ac81f6-bdd3-4110-9d36-3e9eaab40999}" = Nero CoverDesigner
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69a09173-19eb-4a33-b291-89ba306c611f}" = Nero 9 Trial
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7397EDED-F38A-4654-B669-BF61065803D0}" = PC Connectivity Solution
"{75438C0E-9925-412E-AD85-D0E71C6CE2ED}" = USB2.0 PC Camera (SN9C201&202)
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7748ac8c-18e3-43bb-959b-088faea16fb2}" = Nero StartSmart
"{7829db6f-a066-4e40-8912-cb07887c20bb}" = Nero BurnRights
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{8355F970-601D-442D-A79B-1D7DB4F24CAD}" = Apple Mobile Device Support
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}" = Windows Live Messenger
"{869200db-287a-4dc0-b02b-2b6787fbcd4c}" = Nero DiscSpeed
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}" = Windows Live Essentials
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9e9fdde6-2c26-492a-85a0-05646b3f2795}" = NeroLiveGadget
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{a209525b-3377-43f4-b886-32f6b6e7356f}" = Nero WaveEditor
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AAF4238F-7C29-451D-9925-C753271A5728}" = Microsoft Visual C++ Run Time Lib Setup
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{b1adf008-e898-4fe2-8a1f-690d9a06acaf}" = DolbyFiles
"{b2ec4a38-b545-4a00-8214-13fe0e915e6d}" = Advertising Center
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{b78120a0-cf84-4366-a393-4d0a59bc546c}" = Menu Templates - Starter Kit
"{bd5ca0da-71ad-43da-b19e-6eee0c9adc9a}" = Nero ControlCenter
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{c5a7cb6c-e76d-408f-ba0e-85605420fe9d}" = SoundTrax
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{d025a639-b9c9-417d-8531-208859000af8}" = NeroBurningROM
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{D765F1CE-5AE5-4C47-B134-AE58AC474740}" = OpenOffice.org 3.1
"{D98C9637-93DA-44DB-B73A-B11A1192AB26}" = GameShadow
"{d9dcf92e-72eb-412d-ac71-3b01276e5f8b}" = Nero ShowTime
"{DF5A03CC-D5AA-43D8-B948-D9903F2AF94A}" = Counter-Strike(TM)
"{df6a95f5-adc1-406a-bdc6-2aa7cc0182aa}" = Nero Live
"{E2BE1618-AF5F-4F7D-8484-42E080EDF609}" = AGEIA PhysX v7.01.12
"{e498385e-1c51-459a-b45f-1721e37aa1a0}" = Movie Templates - Starter Kit
"{e8a80433-302b-4ff1-815d-fcc8eac482ff}" = Nero Installer
"{EA1CB7AC-E221-4822-A789-0ADB051DC498}" = Medion Flash XL
"{EADF648F-1711-11D6-AFAD-0040052179B6}" = Virtua Tennis
"{EC425CFC-EE78-4A91-AA25-3BFA65B75364}" = Oblivion - Orrery
"{EF295F5C-7B57-47AA-8889-6B3E8E214E89}" = Oblivion - Mehrunes Razor
"{F1362843-0E0E-4F74-8662-724CF101ADCE}" = Skype web features
"{fbcdfd61-7dcf-4e71-9226-873ba0053139}" = Nero InfoTool
"{FD416706-875C-4B0B-A23A-9E740DAE029E}" = Tom Clancy's Rainbow Six Vegas 2
"{FFFFFD17-B460-41EB-93F1-C48ABAD63828}" = Oblivion - Thieves Den
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Ask Toolbar_is1" = Ask Toolbar
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVS Update Manager_is1" = AVS Update Manager 1.0
"AVS4YOU Software Navigator_is1" = AVS4YOU Software Navigator 1.3
"AVS4YOU Video Converter 6_is1" = AVS Video Converter 6
"CCleaner" = CCleaner
"CloneCD" = CloneCD
"C-Media Audio" = C-Media 3D Audio
"DAEMON Tools Toolbar" = DAEMON Tools Toolbar
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"EA0D8F08C10A625644188FE542C75305CB084120" = Windows-Treiberpaket - Ralink Technology, Corp. (rt2870) Net (10/29/2008 1.02.04.0000)
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.8
"FUSSBALL MANAGER 09" = FUSSBALL MANAGER 09
"Hamachi" = Hamachi 1.0.1.2
"Hattrick Organizer" = Hattrick Organizer (remove only)
"ie8" = Windows Internet Explorer 8
"LameACM" = Lame ACM MP3 Codec
"LucasArts' Grim Fandango" = LucasArts Grim Fandango
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"ProtectDisc Driver 11" = ProtectDisc Driver, Version 11
"PunkBusterSvc" = PunkBuster Services
"ScummVM_is1" = ScummVM 0.9.0
"Soldier of Fortune II - Double Helix GOLD" = Soldier of Fortune II - Double Helix GOLD
"SystemRequirementsLab" = System Requirements Lab
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"Two Worlds" = Two Worlds
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.0.3
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Worms Reloaded_is1" = Worms Reloaded
"Wudf01005" = Microsoft User-Mode Driver Framework Feature Pack 1.5
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 12.08.2010 11:28:29 | Computer Name = RAULI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung manager09.exe, Version 1.2.0.0, fehlgeschlagenes
Modul gfxcore.dll, Version 0.0.0.0, Fehleradresse 0x002da99c.
Error - 19.08.2010 07:02:10 | Computer Name = RAULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.0.3725, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 28.08.2010 16:08:34 | Computer Name = RAULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vlc.exe, Version 1.0.3.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 06.09.2010 09:13:53 | Computer Name = RAULI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung javaw.exe, Version 6.0.190.4, fehlgeschlagenes
Modul java.dll, Version 6.0.190.4, Fehleradresse 0x00005875.
Error - 28.09.2010 18:04:38 | Computer Name = RAULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vlc.exe, Version 1.0.3.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 05.10.2010 06:12:51 | Computer Name = RAULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung FreeYouTubeToMP3Converter.exe, Version 3.8.23.206,
Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 05.10.2010 18:48:04 | Computer Name = RAULI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung game.exe, Version 1.0.304.0, fehlgeschlagenes
Modul game.exe, Version 1.0.304.0, Fehleradresse 0x000c4d57.
Error - 07.10.2010 07:40:58 | Computer Name = RAULI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung r6vegas2_game.exe, Version 0.0.0.0, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x747c9072.
Error - 07.10.2010 08:28:42 | Computer Name = RAULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.0.3725, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 10.10.2010 18:53:59 | Computer Name = RAULI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung icq.exe, Version 6.5.0.2024, fehlgeschlagenes
Modul mshtml.dll, Version 8.0.6001.18939, Fehleradresse 0x000da28c.
[ System Events ]
Error - 17.10.2010 19:22:10 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 17.10.2010 19:22:10 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
%%126
< End of report >
und wie schauts aus?? ist MAM eigentlich besser als Avira?? Rauli |
|
21.10.2010, 06:39
| #4 |
| | Virus versendet mails - HiackThis log auswerten Hi, Bitte folgende Files prüfen (sehr neue Systemsfile im Gegensatz zu den anderen): Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\System32\dllcache\mfc42.dll
C:\WINDOWS\System32\dllcache\comctl32.dll
Fix für OTL:
 Code:
ATTFilter
:OTL
DRV - (upperdev) -- C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys File not found
DRV - (nmwcdnsuc) -- C:\WINDOWS\System32\drivers\nmwcdnsuc.sys File not found
DRV - (nmwcdnsu) -- C:\WINDOWS\System32\drivers\nmwcdnsu.sys File not found
DRV - (EagleNT) -- C:\WINDOWS\System32\drivers\EagleNT.sys File not found
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
O4 - HKLM..\Run: [Cmaudio] File not found
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [nwiz] File not found
O33 - MountPoints2\{65bf1a7f-4cb5-11df-9c42-000c7673c568}\Shell\AutoRun\command - "" = O:\Menu.exe -- File not found
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = dword:0x00
:Commands
[emptytemp]
[Reboot]
Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
21.10.2010, 10:28
| #5 |
| | Virus versendet mails - HiackThis log auswerten Soll ich bei OTL den Minimal Output drin lassen oder (wie in deinem Bild) zurück auf Standart Output wechseln? |
|
21.10.2010, 10:50
| #6 |
| | Virus versendet mails - HiackThis log auswerten Hi, das ist egal, auf jeden Fall "Run Fix" machen (vorher das Script reinkopieren in das große weise Feld)... Log posten und danach CF.. chris
__________________ --> Virus versendet mails - HiackThis log auswerten |
|
21.10.2010, 22:52
| #7 |
| | Virus versendet mails - HiackThis log auswerten Virustotalauswertung: C:\WINDOWS\System32\dllcache\mfc42.dll : File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5: 162a71f3cc2987d8b662fcac5cf4ba38 Date first seen: 2010-10-15 22:35:29 (UTC) Date last seen: 2010-10-15 22:35:29 (UTC) Detection ratio: 0/43 What do you wish to do? C:\WINDOWS\System32\dllcache\comctl32.dll : MD5: 1438703f3d9ffe111da3869e4f3eee73 Date first seen: 2010-10-19 21:40:49 (UTC) Date last seen: 2010-10-19 21:52:05 (UTC) Detection ratio: 0/43 What do you wish to do? OTL-Fix: All processes killed ========== OTL ========== Service upperdev stopped successfully! Service upperdev deleted successfully! File C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys File not found not found. Service nmwcdnsuc stopped successfully! Service nmwcdnsuc deleted successfully! File C:\WINDOWS\System32\drivers\nmwcdnsuc.sys File not found not found. Service nmwcdnsu stopped successfully! Service nmwcdnsu deleted successfully! File C:\WINDOWS\System32\drivers\nmwcdnsu.sys File not found not found. Service EagleNT stopped successfully! Service EagleNT deleted successfully! File C:\WINDOWS\System32\drivers\EagleNT.sys File not found not found. Service HidServ stopped successfully! Service HidServ deleted successfully! File C:\WINDOWS\System32\hidserv.dll File not found not found. Service AppMgmt stopped successfully! Service AppMgmt deleted successfully! File C:\WINDOWS\System32\appmgmts.dll File not found not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Cmaudio deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\nwiz deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{65bf1a7f-4cb5-11df-9c42-000c7673c568}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{65bf1a7f-4cb5-11df-9c42-000c7673c568}\ not found. File O:\Menu.exe not found. ========== REGISTRY ========== HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"AntiVirusOverride" | dword:0x00 /E : value set successfully! ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 300402 bytes ->Temporary Internet Files folder emptied: 1363013 bytes User: Raulster ->Temp folder emptied: 49887001 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 94888276 bytes ->Flash cache emptied: 6650 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1139177 bytes %systemroot%\System32 .tmp files removed: 2833287 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1315584921 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 1.398,00 mb OTL by OldTimer - Version 3.2.16.0 log created on 10212010_131722 Files\Folders moved on Reboot... Registry entries deleted on Reboot... CombatFix: Combofix Logfile: Code:
ATTFilter ComboFix 10-10-20.03 - Raulster 21.10.2010 23:40:27.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Raulster\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Raulster\Anwendungsdaten\chrtmp
.
((((((((((((((((((((((( Dateien erstellt von 2010-09-21 bis 2010-10-21 ))))))))))))))))))))))))))))))
.
2010-10-21 11:38 . 2010-10-21 11:38 -------- d-----w- c:\programme\Electronic Arts
2010-10-21 11:37 . 2003-09-05 10:07 168960 ----a-w- c:\windows\system32\XCDZIP35.OCX
2010-10-21 11:17 . 2010-10-21 11:17 -------- d-----w- C:\_OTL
2010-10-20 10:33 . 2010-10-20 10:33 -------- d-----w- c:\dokumente und einstellungen\Raulster\Anwendungsdaten\Malwarebytes
2010-10-20 10:32 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-20 10:32 . 2010-10-20 10:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-20 10:32 . 2010-10-20 10:32 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-10-20 10:32 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-19 19:15 . 2010-10-19 19:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-10-15 10:28 . 2010-09-18 06:52 974848 -c----w- c:\windows\system32\dllcache\mfc42.dll
2010-10-15 10:28 . 2010-08-23 16:11 617472 -c----w- c:\windows\system32\dllcache\comctl32.dll
2010-10-08 00:16 . 2010-10-08 14:20 -------- d-----w- c:\dokumente und einstellungen\Raulster\Anwendungsdaten\Hamachi
2010-10-08 00:16 . 2010-10-08 00:16 -------- d-----w- c:\programme\Hamachi
2010-10-07 10:29 . 2010-10-07 10:29 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-10-07 10:29 . 2010-10-07 10:29 22328 ----a-w- c:\dokumente und einstellungen\Raulster\Anwendungsdaten\PnkBstrK.sys
2010-10-07 10:29 . 2010-10-07 10:29 107832 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-10-07 10:29 . 2010-10-07 10:29 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-10-07 10:29 . 2010-10-07 10:29 2337865 ----a-w- c:\windows\system32\pbsvc.exe
2010-10-04 21:46 . 2010-10-04 21:46 -------- d-----w- c:\programme\Sega
2010-10-04 19:03 . 2010-10-04 19:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Trymedia
2010-09-22 11:37 . 2010-09-22 11:37 -------- d-----w- c:\programme\LOTRO
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EA Core"="c:\programme\Electronic Arts\EA Downloader\Core.exe" [2006-07-13 1851392]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CHotkey"="mHotkey.exe" [2002-07-23 477184]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"snp2std"="c:\windows\vsnp2std.exe" [2005-07-26 339968]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-03-16 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-03-16 110696]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer [X]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2009-01-29 22:20 57344 ----a-w- c:\programme\SlySoft\CloneCD\CloneCDTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
2002-08-28 11:43 73728 -c--a-w- c:\windows\Dit.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-06-05 11:39 292136 ----a-w- c:\programme\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18 413696 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Soldier of Fortune II - Double Helix GOLD\\SoF2MP.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\rauli629\\day of defeat\\hl.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\rauli629\\condition zero\\hl.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\rauli629\\condition zero deleted scenes\\hl.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\Valve\\Steam\\Steam.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\rauli629\\counter-strike\\hl.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\\Programme\\Sega\\Virtua Tennis\\VIRTUA_TENNIS_PC.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Game.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Launcher.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56532:TCP"= 56532:TCP:Pando Media Booster
"56532:UDP"= 56532:UDP:Pando Media Booster
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 12:22 185472]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.05.2009 20:30 721904]
.
Inhalt des "geplante Tasks" Ordners
2010-10-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.arcor.de
mStart Page = hxxp://www.arcor.de
mWindow Title = Arcor AG & Co. KG
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Raulster\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
FF - ProfilePath - c:\dokumente und einstellungen\Raulster\Anwendungsdaten\Mozilla\Firefox\Profiles\rqb7lmue.default\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\programme\AskBarDis\bar\bin\askBar.dll
MSConfigStartUp-Nokia FastStart - c:\programme\Nokia\Nokia Music\NokiaMusic.exe
MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe
AddRemove-Ask Toolbar_is1 - c:\programme\AskBarDis\unins000.exe
AddRemove-DAEMON Tools Toolbar - c:\programme\DAEMON Tools Toolbar\uninst.exe
AddRemove-Hattrick Organizer - c:\dokumente und einstellungen\Raulster\Desktop\Stuff\Neuer HO\HattrickOrganizer\Uninstall.exe
AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_USERS\S-1-5-21-725345543-1960408961-2147208981-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
[HKEY_USERS\S-1-5-21-725345543-1960408961-2147208981-1004\Software\SecuROM\License information*]
"datasecu"=hex:0b,1f,a4,b2,84,96,c3,f4,50,c5,da,3c,c5,80,41,4a,6a,60,02,01,cc,
94,8a,27,54,63,9a,c4,c4,fb,3e,bd,3e,b2,50,1c,0c,f7,65,5d,5c,b0,17,60,9c,ae,\
"rkeysecu"=hex:91,ce,a8,58,bb,ab,3e,4c,ff,c4,87,f9,a1,1b,09,19
.
Zeit der Fertigstellung: 2010-10-21 23:47:41
ComboFix-quarantined-files.txt 2010-10-21 21:47
Vor Suchlauf: 11 Verzeichnis(se), 54.900.404.224 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 54.937.477.120 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
- - End Of File - - 7E2D9AEE14AD20B3B8A18417BD8F9104
|
|
22.10.2010, 07:08
| #8 |
| | Virus versendet mails - HiackThis log auswerten Hi, ausser dem hier: c:\windows\system32\GameMon.des Ist mir erstmal nichts mehr aufgfallen. Lass die Datei bei virustotal prüfen (auch wenn sie vorher schon mal bei virustotal gescannt wurde)... Es gibt einige malware die den namen nutzt... z. B. Trojan.Downexec.C Technical Details | Symantec Wie verhält sich der Rechner (Spam-Bots sind sehr schwer zu finden)... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
22.10.2010, 12:11
| #9 |
| | Virus versendet mails - HiackThis log auswerten so ich hab die dateien alle nochmal bei virustotal scannen lassen: File name: mfc42.dll Submission date: 2010-10-22 11:01:01 (UTC) Current status: queued queued analysing finished Result: 0/ 43 (0.0%) File name: comctl32.dll Submission date: 2010-10-22 11:03:27 (UTC) Current status: queued (#2) queued (#2) analysing finished Result: 0/ 43 (0.0%) bei der dritten file gabs nen treffer bzw 3: File name: GameMon.des Submission date: 2010-10-22 11:07:51 (UTC) Current status: queued (#1) queued (#1) analysing finished Result: 3/ 43 (7.0%) VT Community not reviewed Safety score: - Compact Print results Antivirus Version Last Update Result AhnLab-V3 2010.10.22.01 2010.10.22 - AntiVir 7.10.13.17 2010.10.22 - Antiy-AVL 2.0.3.7 2010.10.22 - Authentium 5.2.0.5 2010.10.22 - Avast 4.8.1351.0 2010.10.21 - Avast5 5.0.594.0 2010.10.21 - AVG 9.0.0.851 2010.10.22 - BitDefender 7.2 2010.10.22 - CAT-QuickHeal 11.00 2010.10.22 - ClamAV 0.96.2.0-git 2010.10.22 - Comodo 6475 2010.10.22 Heur.Pck.Themida DrWeb 5.0.2.03300 2010.10.22 - Emsisoft 5.0.0.50 2010.10.22 - eSafe 7.0.17.0 2010.10.21 - eTrust-Vet 36.1.7926 2010.10.22 - F-Prot 4.6.2.117 2010.10.22 - F-Secure 9.0.16160.0 2010.10.22 - Fortinet 4.2.249.0 2010.10.22 - GData 21 2010.10.22 - Ikarus T3.1.1.90.0 2010.10.22 - Jiangmin 13.0.900 2010.10.22 - K7AntiVirus 9.66.2805 2010.10.21 - Kaspersky 7.0.0.125 2010.10.22 - McAfee 5.400.0.1158 2010.10.22 - McAfee-GW-Edition 2010.1C 2010.10.22 - Microsoft 1.6301 2010.10.22 - NOD32 5554 2010.10.22 - Norman 6.06.10 2010.10.22 Packed_TheMida.B nProtect 2010-10-22.01 2010.10.22 - Panda 10.0.2.7 2010.10.21 Suspicious file PCTools 7.0.3.5 2010.10.22 - Prevx 3.0 2010.10.22 - Rising 22.70.03.01 2010.10.22 - Sophos 4.58.0 2010.10.22 - Sunbelt 7116 2010.10.22 - SUPERAntiSpyware 4.40.0.1006 2010.10.22 - Symantec 20101.2.0.161 2010.10.22 - TheHacker 6.7.0.1.064 2010.10.21 - TrendMicro 9.120.0.1004 2010.10.22 - TrendMicro-HouseCall 9.120.0.1004 2010.10.22 - VBA32 3.12.14.1 2010.10.21 - ViRobot 2010.9.25.4060 2010.10.22 - VirusBuster 12.69.11.0 2010.10.21 - |
|
22.10.2010, 18:26
| #10 |
| | Virus versendet mails - HiackThis log auswerten Hi, grenzwertig... Wie verhält sich der Rechner? chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
22.10.2010, 23:57
| #11 |
| | Virus versendet mails - HiackThis log auswerten Der verhält sich bisher unauffälig. Noch keine weiteren Mails versendet(soweit ich das nachvollziehen kann) Also heißt es jetzt warten und auf das Beste hoffen oder kann man da noch irgendwas tun?? Rauli |
|
23.10.2010, 19:17
| #12 |
| | Virus versendet mails - HiackThis log auswerten Hi, Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html Führe einen Systemscan durch und poste das Ergebnis! (Achtung: Es kann durch die agressive Einstellung vermehrt zu Fehlalarmen kommen, daher nicht löschen sondern in Quarantäne verschieben lassen) Zusätzlich zu Avira und der Windows-Firewall noch Threadfire-free Herunterladen Kostenlos). Zum Surfen Firefox mit den PlugIns "WOT" (http://filepony.de/?q=WOT) und "NoScript" (http://filepony.de/download-noscript//)) verwenden, einen "Guest"-Account (keine Adminrechte! XP: (Schritt 6: Eingeschränkte Rechte für Viren - Schritt für Schritt: Windows XP absichern - CHIP Online, Vista/Win7: Windows-7-Anleitung: Benutzerkonten anlegen und verwalten - NETZWELT) anlegen. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
24.10.2010, 15:39
| #13 |
| | Virus versendet mails - HiackThis log auswerten hier das avira log: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 24. Oktober 2010 12:50 Es wird nach 2963178 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : RAULI Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 10:27:40 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 10:27:42 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 10:27:44 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 10:27:46 VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 10:27:46 VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 10:27:46 VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 10:27:46 VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 10:27:46 VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 10:27:47 VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 10:27:47 VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 10:27:47 VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 10:27:47 VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 10:27:47 VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 10:27:47 VBASE019.VDF : 7.10.12.99 134144 Bytes 01.10.2010 10:27:47 VBASE020.VDF : 7.10.12.122 131584 Bytes 05.10.2010 10:27:47 VBASE021.VDF : 7.10.12.148 119296 Bytes 07.10.2010 10:27:48 VBASE022.VDF : 7.10.12.175 142848 Bytes 11.10.2010 10:27:48 VBASE023.VDF : 7.10.12.198 131584 Bytes 13.10.2010 10:27:48 VBASE024.VDF : 7.10.12.216 133120 Bytes 14.10.2010 10:27:48 VBASE025.VDF : 7.10.12.238 137728 Bytes 18.10.2010 10:27:48 VBASE026.VDF : 7.10.12.254 129536 Bytes 20.10.2010 10:27:48 VBASE027.VDF : 7.10.13.22 137728 Bytes 22.10.2010 10:27:48 VBASE028.VDF : 7.10.13.23 2048 Bytes 22.10.2010 10:27:48 VBASE029.VDF : 7.10.13.24 2048 Bytes 22.10.2010 10:27:48 VBASE030.VDF : 7.10.13.25 2048 Bytes 22.10.2010 10:27:48 VBASE031.VDF : 7.10.13.27 12288 Bytes 22.10.2010 10:27:48 Engineversion : 8.2.4.84 AEVDF.DLL : 8.1.2.1 106868 Bytes 24.10.2010 10:27:52 AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 24.10.2010 10:27:51 AESCN.DLL : 8.1.6.1 127347 Bytes 24.10.2010 10:27:51 AESBX.DLL : 8.1.3.1 254324 Bytes 24.10.2010 10:27:52 AERDL.DLL : 8.1.9.2 635252 Bytes 24.10.2010 10:27:51 AEPACK.DLL : 8.2.3.11 471416 Bytes 24.10.2010 10:27:50 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 24.10.2010 10:27:50 AEHEUR.DLL : 8.1.2.36 2974072 Bytes 24.10.2010 10:27:50 AEHELP.DLL : 8.1.14.0 246134 Bytes 24.10.2010 10:27:49 AEGEN.DLL : 8.1.3.23 401779 Bytes 24.10.2010 10:27:49 AEEMU.DLL : 8.1.2.0 393588 Bytes 24.10.2010 10:27:49 AECORE.DLL : 8.1.17.0 196982 Bytes 24.10.2010 10:27:49 AEBB.DLL : 8.1.1.0 53618 Bytes 24.10.2010 10:27:49 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Sonntag, 24. Oktober 2010 12:50 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_USERS\S-1-5-21-725345543-1960408961-2147208981-1004\Software\SecuROM\License information\datasecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-725345543-1960408961-2147208981-1004\Software\SecuROM\License information\rkeysecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'msdtc.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'TFTray.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'TFService.exe' - '78' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'vsnp2std.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '122' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrB.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '83' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '163' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1704' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\System Volume Information\_restore{F0085C3D-F76A-45E2-9BA7-F73DF2AF0787}\RP385\A0096598.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes Beginne mit der Desinfektion: C:\System Volume Information\_restore{F0085C3D-F76A-45E2-9BA7-F73DF2AF0787}\RP385\A0096598.exe [FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fa1e021.qua' verschoben! Ende des Suchlaufs: Sonntag, 24. Oktober 2010 16:36 Benötigte Zeit: 3:46:24 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 15196 Verzeichnisse wurden überprüft 405084 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 405083 Dateien ohne Befall 2217 Archive wurden durchsucht 0 Warnungen 1 Hinweise 440865 Objekte wurden beim Rootkitscan durchsucht 3 Versteckte Objekte wurden gefunden |
|
25.10.2010, 09:52
| #14 |
| | Virus versendet mails - HiackThis log auswerten Hi, Sicherheitshalber die Systemwiederherstellung "putzen"... Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Virus versendet mails - HiackThis log auswerten |
| adobe, antivir, antivir guard, askbar, auswerten, avira, bho, converter, desktop, einstellungen, explorer, firefox, hijack, hijackthis, hijackthis log-file auswerten, hkus\s-1-5-18, home, internet, internet explorer, log auswerten, mozilla, mp3, nvidia, plug-in, rundll, software, system, versendet mails, virus, windows, windows xp |
