Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner TR/Crypt.XPACK:Gen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.11.2010, 18:54   #1
Buffi
 
Trojaner  TR/Crypt.XPACK:Gen - Frage

Trojaner TR/Crypt.XPACK:Gen



Habe Trojaner mit Malwarebytes von Festplatte entfernt und meinen USB Stick formatiert. Wenn ich nun meinen USB Stick wieder anschließe, meldet Antivir, dass die autorun.inf geblockt wird, da es eine schädliche Datei ist. Was nun tun? Ist auf dem Stick noch ein Trojaner? Malwarebytes findet nichts mehr.
OTL habe ich noch nicht laufen lassen.
Gruß Buffi


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5150

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19.11.2010 10:40:26
mbam-log-2010-11-19 (10-40-26).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 168278
Laufzeit: 19 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Worm.Palevo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\AE\Anwendungsdaten\fhrkmk.exe (Spyware.Passwords.XGen) -> Not selected for removal.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\wmiprvse.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\sysinfo.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\rundll32.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\openfiles.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\help.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\defrag.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\defrag.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\wmiprvse.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\sysinfo.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\rundll32.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\openfiles.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\help.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc167\wmiprvse.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\AE\Lokale Einstellungen\Temp\0.0634548157382202.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.




Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5164

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.11.2010 20:13:10
mbam-log-2010-11-21 (20-13-10).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 167384
Laufzeit: 14 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Geändert von Buffi (21.11.2010 um 19:25 Uhr)

Alt 21.11.2010, 19:49   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner  TR/Crypt.XPACK:Gen - Standard

Trojaner TR/Crypt.XPACK:Gen



Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 21.11.2010, 19:50   #3
rea
/// Helfer-Team
 
Trojaner  TR/Crypt.XPACK:Gen - Standard

Trojaner TR/Crypt.XPACK:Gen



Edit: Ups, Cosinus war eine Minute schneller als ich
__________________
__________________

Alt 22.11.2010, 07:01   #4
Buffi
 
Trojaner  TR/Crypt.XPACK:Gen - Frage

Trojaner TR/Crypt.XPACK:Gen



Hallo!
Hier nun der vollständige scan.
Immer wenn ich einen USB Stick anschließe, dann blockiert Antivir die autorun.inf Datei.
Ist diese Datei normal bei einem USB Stick? Früher war das nicht so.
Ich hatte am 29/30.10.10 Probleme mit einem USB STick, Olympus Digital Voice Recorder. Kann es sein, dass die Datei von diesem Recorder kommt und sich auch auf andere Sticks kopiert hat?

Ich vermute eher, dass der Trojaner vom Metatrader4 update kommt da ich Ihn auch auf einem anderen Rechner bekommen habe.

Danke für die Bemühungen
Gruß Buffi



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5165

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22.11.2010 02:56:25
mbam-log-2010-11-22 (02-56-25).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|)
Durchsuchte Objekte: 635834
Laufzeit: 5 Stunde(n), 47 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

***********************
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 22.11.2010 07:49:49 - Run 3
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\AE\Eigene Dateien\Download_AE_XP\otl  trojaner programm
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 49,00% Memory free
3,00 Gb Paging File | 2,00 Gb Available in Paging File | 63,00% Paging File free
Paging file location(s): C:\pagefile.sys 1024 1024 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 14,93 Gb Free Space | 10,02% Space Free | Partition Type: NTFS
Drive D: | 29,29 Gb Total Space | 23,87 Gb Free Space | 81,49% Space Free | Partition Type: NTFS
Drive G: | 21,05 Gb Total Space | 18,31 Gb Free Space | 87,00% Space Free | Partition Type: NTFS
Drive H: | 39,06 Gb Total Space | 38,70 Gb Free Space | 99,08% Space Free | Partition Type: NTFS
Drive I: | 59,64 Gb Total Space | 55,31 Gb Free Space | 92,75% Space Free | Partition Type: NTFS
Drive J: | 124,75 Mb Total Space | 121,09 Mb Free Space | 97,07% Space Free | Partition Type: FAT
Drive K: | 244,44 Mb Total Space | 244,44 Mb Free Space | 100,00% Space Free | Partition Type: FAT
Drive L: | 967,70 Mb Total Space | 961,80 Mb Free Space | 99,39% Space Free | Partition Type: FAT
 
Computer Name: XYZ-AE-XP | User Name: AE | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2010.11.21 20:03:14 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\AE\Eigene Dateien\Download_AE_XP\otl  trojaner programm\OTL.exe
PRC - [2010.11.03 09:57:27 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.11.03 09:57:27 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.11.03 09:57:27 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.10.26 11:57:11 | 011,980,464 | ---- | M] (Mozilla Messaging) -- C:\Programme\Mozilla Thunderbird\thunderbird.exe
PRC - [2010.10.08 13:00:10 | 000,836,464 | ---- | M] (Opera Software) -- C:\Programme\Opera\opera.exe
PRC - [2010.04.29 12:19:18 | 001,090,952 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
PRC - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe
PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.10.16 14:16:35 | 002,229,632 | ---- | M] () -- C:\Programme\GMX\LiveUpdate\m2LUTray.exe
PRC - [2009.03.03 17:31:10 | 000,039,408 | ---- | M] (Google Inc.) -- C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
PRC - [2008.12.04 11:27:05 | 001,282,048 | ---- | M] (sw4you, Siegfried Weckmann) -- C:\Programme\Hardcopy\hardcopy.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.07.19 11:17:44 | 003,539,968 | ---- | M] (1&1 Internet AG) -- C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
PRC - [2006.11.03 19:20:12 | 000,866,584 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe
PRC - [2006.11.03 19:19:58 | 000,013,592 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MsMpEng.exe
PRC - [2006.08.21 17:57:50 | 000,049,152 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.11.21 20:03:14 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\AE\Eigene Dateien\Download_AE_XP\otl  trojaner programm\OTL.exe
MOD - [2010.08.23 17:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2008.12.04 11:19:03 | 000,057,344 | ---- | M] () -- C:\Programme\Hardcopy\HcDLL2_26_Win32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - [2010.11.03 09:57:27 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.03 09:57:27 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2010.03.01 22:54:14 | 001,029,456 | ---- | M] (Lavasoft) [Disabled | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service)
SRV - [2006.11.03 19:19:58 | 000,013,592 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MsMpEng.exe -- (WinDefend)
SRV - [2006.08.21 17:57:50 | 000,049,152 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe -- (avmidentd)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\Bulk533.sys -- (USBCamera) Icatch(IV)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\tosrfusb.sys -- (Tosrfusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\tosrfsnd.sys -- (TosRfSnd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\tosrfnds.sys -- (tosrfnds)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\Tosrfhid.sys -- (Tosrfhid)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\tosrfcom.sys -- (Tosrfcom)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\tosrfbnp.sys -- (tosrfbnp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\tosrfbd.sys -- (tosrfbd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\tosporte.sys -- (tosporte)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\lvuvc.sys -- (LVUVC) Logitech QuickCam S5500(UVC)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\lvrs.sys -- (LVRS)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\lvuvcflt.sys -- (FilterService)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\fetnd5.sys -- (FETNDIS)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\Ca533av.sys -- (Ca533av) Icatch(IV)
DRV - [2010.11.03 09:57:27 | 000,126,856 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.11.03 09:57:27 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2010.02.24 11:22:10 | 000,185,472 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\acedrv11.sys -- (acedrv11)
DRV - [2009.11.12 13:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009.07.03 15:49:08 | 000,064,160 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Lbd.sys -- (Lbd)
DRV - [2009.05.11 09:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.13 19:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2008.04.13 18:45:12 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\USBAUDIO.sys -- (usbaudio) USB-Audiotreiber (WDM)
DRV - [2004.07.12 09:50:00 | 002,459,968 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2004.05.02 09:47:08 | 000,023,040 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\GVCplDrv.sys -- (GVCplDrv)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-842925246-413027322-2147162963-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-21-842925246-413027322-2147162963-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = go.gmx.net/homehxxp://www.google.de/ [binary data]
IE - HKU\S-1-5-21-842925246-413027322-2147162963-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.gmx.net
IE - HKU\S-1-5-21-842925246-413027322-2147162963-1004\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-842925246-413027322-2147162963-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "GMX Suche"
FF - prefs.js..browser.search.order.1: "GMX Suche"
FF - prefs.js..browser.search.order.2: "WEB.DE Suche"
FF - prefs.js..browser.search.order.3: "1und1 Suche"
FF - prefs.js..browser.search.order.4: "amazon.de"
FF - prefs.js..browser.startup.homepage: "hxxp://www.gmx.net/?kid=A1000032"
FF - prefs.js..extensions.enabledItems: {95f24680-9e31-11da-a746-0800200c9a66}:0.1.5.5
FF - prefs.js..extensions.enabledItems: {C473DC2B-895F-4E11-B8BF-FF28DFD62829}:1.6.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://wa.ui-portal.de/gmx/gmx/s?produkte.browser.link.searchlink&s_brand=gmx&t_link=searchlink&ns_type=clickin&ns_url=hxxp://go.gmx.net/suchbox/gmxsuche/?origin=product&su="
FF - prefs.js..network.proxy.type: 2
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.02.05 07:01:29 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.11.18 11:19:16 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.9\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.10.26 11:57:13 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.9\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2010.06.23 14:48:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Extensions
[2010.06.23 14:48:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010.05.17 17:23:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\extensions
[2010.05.17 17:23:45 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.02.05 07:02:00 | 000,005,591 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\searchplugins\1und1-suche.xml
[2010.02.05 07:02:00 | 000,001,371 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\searchplugins\amazonde.xml
[2010.02.05 07:02:00 | 000,010,605 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\searchplugins\gmx-suche.xml
[2010.02.05 07:02:00 | 000,005,588 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\searchplugins\webde-suche.xml
[2010.02.05 07:01:03 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.02.05 07:01:03 | 000,000,000 | ---D | M] (Update Notifier) -- C:\Programme\Mozilla Firefox\extensions\{95f24680-9e31-11da-a746-0800200c9a66}
[2010.02.05 07:01:03 | 000,000,000 | ---D | M] (GMX Firefox Addon) -- C:\Programme\Mozilla Firefox\extensions\{C473DC2B-895F-4E11-B8BF-FF28DFD62829}
 
O1 HOSTS File: ([2002.12.31 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKU\S-1-5-21-842925246-413027322-2147162963-1004\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [GMX Update] C:\Programme\GMX\LiveUpdate\m2LUTray.exe ()
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTClk\NVRTClk.exe ()
O4 - HKLM..\Run: [Windows Defender] C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-842925246-413027322-2147162963-1004..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe (1&1 Internet AG)
O4 - HKU\S-1-5-21-842925246-413027322-2147162963-1004..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe (sw4you, Siegfried Weckmann)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-842925246-413027322-2147162963-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.)
O16 - DPF: {57CD0DF4-DACC-439D-9173-3F6A8EC3FFE4} hxxp://192.168.178.22/IPCamPluginMegaDPT.cab (IPCamPluginMegaDPT Control)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1252262002968 (MUWebControl Class)
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} hxxp://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab (NVIDIA Smart Scan)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {8BBDC81D-81B3-49EE-87E8-47B7A707FAE8} https://www2.gotomeeting.com/default/applets/g2mdlax.cab (GoToMeeting Web Starter)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} - C:\Programme\Windows Defender\MpShHook.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.01.03 23:47:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.01.18 17:46:20 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O32 - Unable to obtain root file information for disk J:\
O32 - Unable to obtain root file information for disk K:\
O32 - Unable to obtain root file information for disk L:\
O33 - MountPoints2\{05607086-16f7-11df-ac83-000b6ae85169}\Shell\AutoRun\command - "" = J:\Get_Started_for_Win.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.01.06 22:44:11 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2011.01.02 14:55:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\ProtectDisc
[2011.01.02 14:55:01 | 000,000,000 | ---D | C] -- C:\Programme\ProtectDisc Driver Installer
[2011.01.02 14:53:58 | 000,174,144 | ---- | C] (DATA BECKER) -- C:\WINDOWS\DBReg.exe
[2011.01.02 14:53:57 | 000,661,568 | ---- | C] (DATA BECKER) -- C:\WINDOWS\DBREG.dll
[2011.01.02 14:53:47 | 000,000,000 | ---D | C] -- C:\Programme\DATA BECKER
[2011.01.01 11:29:55 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2010.11.21 21:14:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\GroupPolicy
[2010.11.20 09:41:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Eigene Dateien\Finale-Dateien
[2010.11.20 09:41:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\MakeMusic
[2010.11.20 09:36:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MakeMusic
[2010.11.20 09:36:40 | 000,000,000 | ---D | C] -- C:\Programme\Finale 2011 Demo
[2010.11.19 15:30:27 | 000,000,000 | ---D | C] -- C:\PSFONTS
[2010.11.19 15:29:37 | 000,000,000 | ---D | C] -- C:\Programme\Finale Reader 2010
[2010.11.19 10:13:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Malwarebytes
[2010.11.19 10:13:26 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.11.19 10:13:23 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.11.19 10:13:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.11.19 10:13:22 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.11.19 08:36:50 | 000,000,000 | ---D | C] -- C:\Programme\MetaTrader - ActivTrades
[2010.11.17 23:01:31 | 000,000,000 | ---D | C] -- C:\Programme\capella-software
[2010.11.17 22:59:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\capella-software
[2010.11.17 22:59:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Eigene Dateien\capella
[2010.11.12 19:46:58 | 004,280,320 | ---- | C] (Google Inc.) -- C:\WINDOWS\System32\GPhotos.scr
[2010.10.24 18:59:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Canneverbe Limited
[2010.10.24 18:59:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2010.10.24 18:59:10 | 000,000,000 | ---D | C] -- C:\Programme\CDBurnerXP
[10 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.01.02 22:46:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{8D931E39-7C38-4428-B480-7677C72E6D1D}.job
[2011.01.02 14:53:59 | 000,001,672 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Desktop\TWIN XP - Tuning Windows XP.lnk
[2010.11.22 07:29:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2010.11.22 01:51:00 | 000,000,322 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2010.11.21 10:30:54 | 000,013,668 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.11.21 10:30:53 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2010.11.21 10:30:21 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.11.21 10:30:20 | 2146,226,176 | -HS- | M] () -- C:\hiberfil.sys
[2010.11.20 09:39:47 | 000,000,711 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Finale 2011 Demo.lnk
[2010.11.20 09:16:37 | 000,170,688 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.11.19 15:31:24 | 000,000,763 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Finale Reader 2010.lnk
[2010.11.19 10:13:29 | 000,000,694 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.11.19 08:46:12 | 000,000,782 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Desktop\Verknüpfung mit terminal.exe.lnk
[2010.11.19 08:37:07 | 000,001,596 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MetaTrader - ActivTrades.lnk
[2010.11.18 22:55:21 | 000,000,458 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2010.11.18 11:19:16 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.11.17 23:01:46 | 000,001,679 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\capella 7.lnk
[2010.11.17 22:59:10 | 000,002,409 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Desktop\capella reader 6.0.lnk
[2010.11.16 13:20:39 | 000,002,477 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Desktop\Microsoft Word.lnk
[2010.11.12 19:46:58 | 004,280,320 | ---- | M] (Google Inc.) -- C:\WINDOWS\System32\GPhotos.scr
[2010.11.03 09:57:27 | 000,126,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.11.03 09:57:27 | 000,060,936 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2010.10.26 12:00:43 | 000,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Opera.lnk
[2010.10.24 18:59:14 | 000,001,578 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk
[10 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.01.02 14:55:41 | 000,004,096 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\00000646.LCS
[2011.01.02 14:53:59 | 000,001,672 | ---- | C] () -- C:\Dokumente und Einstellungen\AE\Desktop\TWIN XP - Tuning Windows XP.lnk
[2011.01.02 14:53:58 | 000,016,098 | ---- | C] () -- C:\WINDOWS\German2.ini
[2010.11.20 09:39:47 | 000,000,711 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Finale 2011 Demo.lnk
[2010.11.19 15:31:24 | 000,000,763 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Finale Reader 2010.lnk
[2010.11.19 10:13:29 | 000,000,694 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.11.19 08:46:12 | 000,000,782 | ---- | C] () -- C:\Dokumente und Einstellungen\AE\Desktop\Verknüpfung mit terminal.exe.lnk
[2010.11.19 08:37:07 | 000,001,596 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MetaTrader - ActivTrades.lnk
[2010.11.17 23:01:46 | 000,001,679 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\capella 7.lnk
[2010.11.17 22:59:05 | 000,002,409 | ---- | C] () -- C:\Dokumente und Einstellungen\AE\Desktop\capella reader 6.0.lnk
[2010.10.26 07:07:48 | 000,044,867 | ---- | C] () -- C:\smartdrv.exe
[2010.10.26 07:07:02 | 000,012,823 | ---- | C] () -- C:\RAMDRIVE.SYS
[2010.10.24 18:59:14 | 000,001,578 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk
[2010.10.24 18:59:12 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2009.09.25 20:47:23 | 000,000,072 | ---- | C] () -- C:\WINDOWS\pex.INI
[2009.09.25 20:45:09 | 000,000,147 | ---- | C] () -- C:\WINDOWS\Ulead32.ini
[2009.04.08 14:25:44 | 000,364,544 | ---- | C] () -- C:\WINDOWS\System32\BH_DATA120VC8.dll
[2009.04.08 06:17:48 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\FKStampPainter20.dll
[2009.03.20 23:50:42 | 000,023,040 | R--- | C] () -- C:\WINDOWS\System32\drivers\GVCplDrv.sys
[2009.02.11 22:01:25 | 000,000,311 | ---- | C] () -- C:\WINDOWS\tm.ini
[2009.02.10 10:15:12 | 000,008,575 | R--- | C] () -- C:\WINDOWS\System32\D125UFW.INI
[2009.02.02 20:11:40 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\LXPrnUtil10.dll
[2009.02.02 20:10:14 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll
[2009.02.02 20:08:36 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll
[2009.02.02 20:08:22 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll
[2009.01.06 09:32:30 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2009.01.04 08:43:50 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI
[2009.01.04 08:43:50 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI
[2009.01.04 03:05:44 | 000,000,082 | ---- | C] () -- C:\WINDOWS\Wininit.ini
[2009.01.04 03:05:41 | 000,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll
[2009.01.04 02:59:21 | 000,003,255 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2009.01.04 02:59:20 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2009.01.04 02:53:15 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.01.03 23:28:25 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2003.02.18 17:26:28 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2009.12.25 15:04:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Canon
[2009.09.22 22:31:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Leadertech
[2009.05.12 07:59:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Lexware
[2009.12.30 20:14:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Opera
[2010.10.17 10:49:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Thunderbird
[2009.12.30 19:41:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TuneUp Software
[2009.09.25 20:46:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ulead Systems
[2009.01.04 02:17:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird
[2010.10.24 18:59:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Canneverbe Limited
[2010.11.17 22:43:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Canon
[2010.11.17 22:59:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\capella-software
[2010.04.13 04:46:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\elsterformular
[2010.03.19 03:09:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Lexware
[2010.11.20 09:41:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\MakeMusic
[2009.01.04 20:43:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Opera
[2010.10.18 07:26:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\ProtectDisc
[2010.06.23 14:48:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Thunderbird
[2010.03.06 20:20:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\TOSHIBA
[2009.07.07 20:07:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\TuneUp Software
[2009.09.25 20:54:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Ulead Systems
[2009.05.12 08:08:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve
[2010.10.24 18:59:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2010.04.13 04:45:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2010.02.05 07:00:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
[2010.03.31 21:16:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
[2010.11.20 09:36:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MakeMusic
[2009.09.06 20:20:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
[2010.10.18 07:24:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TOSHIBA
[2011.01.01 11:30:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009.09.25 20:44:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2009.12.30 19:40:01 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
[2010.02.05 07:01:21 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{B00EAAA7-F13E-4331-8129-65E59662AFA6}
[2010.02.05 07:01:12 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{B8D53BEA-6377-4E04-8901-F6960C01E454}
[2011.01.01 11:29:55 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[2009.10.08 21:49:18 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864}
[2010.03.06 20:10:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\TOSHIBA
[2010.01.04 07:36:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TuneUp Software
[2010.11.18 22:55:21 | 000,000,458 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
[2010.11.22 01:51:00 | 000,000,322 | -H-- | M] () -- C:\WINDOWS\Tasks\MP Scheduled Scan.job
[2011.01.02 22:46:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{8D931E39-7C38-4428-B480-7677C72E6D1D}.job
 
========== Purity Check ==========
 
 

< End of report >
         
--- --- ---


****************************
OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 22.11.2010 07:49:49 - Run 3
OTL by OldTimer - Version 3.2.17.3     Folder = C:\Dokumente und Einstellungen\AE\Eigene Dateien\Download_AE_XP\otl  trojaner programm
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 49,00% Memory free
3,00 Gb Paging File | 2,00 Gb Available in Paging File | 63,00% Paging File free
Paging file location(s): C:\pagefile.sys 1024 1024 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 14,93 Gb Free Space | 10,02% Space Free | Partition Type: NTFS
Drive D: | 29,29 Gb Total Space | 23,87 Gb Free Space | 81,49% Space Free | Partition Type: NTFS
Drive G: | 21,05 Gb Total Space | 18,31 Gb Free Space | 87,00% Space Free | Partition Type: NTFS
Drive H: | 39,06 Gb Total Space | 38,70 Gb Free Space | 99,08% Space Free | Partition Type: NTFS
Drive I: | 59,64 Gb Total Space | 55,31 Gb Free Space | 92,75% Space Free | Partition Type: NTFS
Drive J: | 124,75 Mb Total Space | 121,09 Mb Free Space | 97,07% Space Free | Partition Type: FAT
Drive K: | 244,44 Mb Total Space | 244,44 Mb Free Space | 100,00% Space Free | Partition Type: FAT
Drive L: | 967,70 Mb Total Space | 961,80 Mb Free Space | 99,39% Space Free | Partition Type: FAT
 
Computer Name: XYZ-AE-XP | User Name: AE | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Opera\opera.exe" (Opera Software)
https [open] -- "C:\Programme\Opera\opera.exe" (Opera Software)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe" = C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe:*:Enabled:AVM FRITZ!Box Kindersicherung -- (AVM Berlin)
"C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{03EB79B7-2152-4C98-AEA0-254F881A3275}" = ElsterFormular 2004/2005
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{0F5C38CB-DCA7-44E0-A654-26121331557A}" = GMX Update
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{19B822A6-372A-43E2-9230-0AFA4EC84F8C}" = Lexware buchhalter 2009
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 15
"{2BCC3E38-E17D-4DF0-9D64-65D1D986E970}" = capella 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3E5CBADD-2E51-47C1-BBE2-B802DB6DA56A}" = MetaTrader 4.00
"{59624372-3B85-47f4-9B04-4911E551DF1E}" = Lexware Info Service
"{5AF27589-0FA3-4BB0-8609-8F0135B1D9F6}" = Firefox 3.6 GMX Edition
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{7EE873AF-46BB-4B5D-BA6F-CFE4B0566E22}" = TuneUp Utilities Language Pack (de-DE)
"{87CC8013-56D1-43E1-A0A5-AD406B4EBA95}" = Opera 10.63
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{93567BBD-4369-47B2-A621-78E008F8EA33}" = Lexware Elster
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A06275F4-324B-4E85-95E6-87B2CD729401}" = Windows Defender
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A47AFECA-7F0F-471A-82A3-68DEB673A311}" = AVM FRITZ!Box-Kindersicherung
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.1 - Deutsch
"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}" = ElsterFormular 2006/2007
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D271DAE0-8D68-4C97-8356-A126D48A1D8C}" = Ulead Photo Explorer 8.0 SE Basic
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"Ad-Aware" = Ad-Aware
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"capella2002-v4.0" = capella 2002, Version 4.0
"C-Media Audio Driver" = C-Media WDM Audio Driver
"ElsterFormular 11.2.0.4074" = ElsterFormular
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Finale 2011 Demo" = Finale 2011 Demo
"Finale Reader 2010" = Finale Reader 2010
"Firefox 3.6 GMX Edition" = Firefox 3.6 GMX Edition
"FreeCommander_is1" = FreeCommander 2008.06c
"GMX SMS-Manager" = GMX SMS-Manager
"GMX Update" = GMX Update
"Hardcopy(C__Programme_Hardcopy)" = Hardcopy (C:\Programme\Hardcopy)
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6)" = Mozilla Firefox (3.6)
"Mozilla Thunderbird (3.0.9)" = Mozilla Thunderbird (3.0.9)
"MSNINST" = MSN
"NVIDIA Drivers" = NVIDIA Drivers
"Picasa 3" = Picasa 3
"ProtectDisc Driver 11" = ProtectDisc Driver, Version 11
"TWIN XP - Tuning Windows XP_is1" = DATA BECKER TWIN XP - Tuning Windows XP
"VLC media player" = VLC media player 1.1.4
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-842925246-413027322-2147162963-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 17.10.2010 11:58:40 | Computer Name = XYZ-AE-XP | Source = MsiInstaller | ID = 11706
Description = Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine
 gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation
 kann nicht fortgesetzt werden.
 
Error - 17.10.2010 11:59:30 | Computer Name = XYZ-AE-XP | Source = MsiInstaller | ID = 11706
Description = Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine
 gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation
 kann nicht fortgesetzt werden.
 
Error - 17.10.2010 12:03:02 | Computer Name = XYZ-AE-XP | Source = MsiInstaller | ID = 11706
Description = Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine
 gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation
 kann nicht fortgesetzt werden.
 
Error - 17.10.2010 12:03:15 | Computer Name = XYZ-AE-XP | Source = MsiInstaller | ID = 11706
Description = Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine
 gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation
 kann nicht fortgesetzt werden.
 
Error - 17.10.2010 15:05:56 | Computer Name = XYZ-AE-XP | Source = MsiInstaller | ID = 11706
Description = Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine
 gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation
 kann nicht fortgesetzt werden.
 
Error - 17.10.2010 19:27:16 | Computer Name = XYZ-AE-XP | Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
 aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x800708ca" (konvertiert
 in 0x800423f4) fehlgeschlagen.
 
Error - 18.10.2010 02:15:19 | Computer Name = XYZ-AE-XP | Source = Userenv | ID = 1090
Description = Der Sitzungsstatus des Richtlinienergebnissatzes konnte nicht protokolliert
 werden. Ein Verbindungsversuch mit WMI ist fehlgeschlagen. Für diese Anwendung 
der Richtlinie wird keine Richtlinienergebnissatz-Protokollierung durchgeführt.
 
Error - 05.11.2010 03:12:34 | Computer Name = XYZ-AE-XP | Source = Userenv | ID = 1508
Description = Die Registrierung konnte nicht geladen werden. Dies wird oft durch
 zuwenig Arbeitsspeicher oder nicht ausreichende Sicherheitsberechtigungen verursacht.
       Details - Nicht genügend Systemressourcen, um den angeforderten Dienst auszuführen.
  for C:\Dokumente und Einstellungen\AE\ntuser.dat
 
Error - 05.11.2010 03:12:43 | Computer Name = XYZ-AE-XP | Source = Userenv | ID = 1505
Description = Das Profil konnte nicht erfolgreich geladen werden, aber Sie wurden
 mit dem standardmäßigen Profil für das System angemeldet.       Details - Nicht genügend
 Systemressourcen, um den angeforderten Dienst auszuführen. 
 
Error - 07.11.2010 18:53:25 | Computer Name = XYZ-AE-XP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung capella.exe, Version 3.1.0.0, fehlgeschlagenes
 Modul capella.exe, Version 3.1.0.0, Fehleradresse 0x00028662.
 
[ System Events ]
Error - 30.03.2010 09:07:57 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {8BC3F05E-D86B-11D0-A075-00C04FB68820}
 
Error - 30.03.2010 09:07:57 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {8BC3F05E-D86B-11D0-A075-00C04FB68820}
 
Error - 30.03.2010 09:18:00 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {8BC3F05E-D86B-11D0-A075-00C04FB68820}
 
Error - 11.01.2011 15:20:33 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {8BC3F05E-D86B-11D0-A075-00C04FB68820}
 
Error - 11.01.2011 15:20:33 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {8BC3F05E-D86B-11D0-A075-00C04FB68820}
 
Error - 11.01.2011 15:20:35 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {8BC3F05E-D86B-11D0-A075-00C04FB68820}
 
Error - 11.01.2011 15:20:35 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {8BC3F05E-D86B-11D0-A075-00C04FB68820}
 
Error - 11.01.2011 15:21:38 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {8BC3F05E-D86B-11D0-A075-00C04FB68820}
 
Error - 11.01.2011 15:21:56 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {8BC3F05E-D86B-11D0-A075-00C04FB68820}
 
Error - 11.04.2010 14:55:53 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {8BC3F05E-D86B-11D0-A075-00C04FB68820}
 
 
< End of report >
         
--- --- ---

Alt 22.11.2010, 09:12   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner  TR/Crypt.XPACK:Gen - Standard

Trojaner TR/Crypt.XPACK:Gen



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.01.03 23:47:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.01.18 17:46:20 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O32 - Unable to obtain root file information for disk J:\
O32 - Unable to obtain root file information for disk K:\
O32 - Unable to obtain root file information for disk L:\
O33 - MountPoints2\{05607086-16f7-11df-ac83-000b6ae85169}\Shell\AutoRun\command - "" = J:\Get_Started_for_Win.exe -- File not found
[2010.10.26 07:07:48 | 000,044,867 | ---- | C] () -- C:\smartdrv.exe
[2010.10.26 07:07:02 | 000,012,823 | ---- | C] () -- C:\RAMDRIVE.SYS
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.11.2010, 09:56   #6
Buffi
 
Trojaner  TR/Crypt.XPACK:Gen - Standard

Trojaner TR/Crypt.XPACK:Gen



Hab das so durchgeführt. Alles ins Fenster kopiert und mit Fix Start. Nach einigen Minuten fuhr der Rechner runter. Nach dem Neustart war die OTL.exe Datei nicht mehr im Verzeichnis. Wenn ich nun nachereinander die USB Sticks anschließe, meldet sich jedesmal wieder der Antivirscanner mit der Fehlermeldung: Autorun blockiert.

Was nun?

Alt 22.11.2010, 10:48   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner  TR/Crypt.XPACK:Gen - Standard

Trojaner TR/Crypt.XPACK:Gen



Zitat:
Nach dem Neustart war die OTL.exe Datei nicht mehr im Verzeichnis.
Was für ein Verzeichnis? OTL.exe sollte auf dem Desktop direkt sein.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.11.2010, 10:52   #8
Buffi
 
Trojaner  TR/Crypt.XPACK:Gen - Standard

Trojaner TR/Crypt.XPACK:Gen



OTL hatte ich direkt vom Downloadverzeichnis gestartet.

Nun hat OTL ein neues Verzeichnis angelegt. Darin enthalten ist z.B. die Autoexec.bat.
Ramdrive.sys.
smartdrv.exe

Was soll das?

Eine log Datei wurde auch noch angelegt.

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
D:\AUTOEXEC.BAT moved successfully.
File not found.
File not found.
File not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{05607086-16f7-11df-ac83-000b6ae85169}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05607086-16f7-11df-ac83-000b6ae85169}\ not found.
File J:\Get_Started_for_Win.exe not found.
C:\smartdrv.exe moved successfully.
C:\RAMDRIVE.SYS moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 109030208 bytes
->Temporary Internet Files folder emptied: 81644570 bytes
->Java cache emptied: 28436098 bytes
->Google Chrome cache emptied: 76368562 bytes
->Opera cache emptied: 9168327 bytes
->Flash cache emptied: 2974 bytes

User: Administrator
->Temp folder emptied: 27663599 bytes
->Temporary Internet Files folder emptied: 40257659 bytes

User: AE
->Temp folder emptied: 515812278 bytes
->Temporary Internet Files folder emptied: 95432731 bytes
->Java cache emptied: 29081430 bytes
->FireFox cache emptied: 32749881 bytes
->Google Chrome cache emptied: 19564625 bytes
->Opera cache emptied: 9376257 bytes
->Flash cache emptied: 7835 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 14684990 bytes

User: NetworkService
->Temp folder emptied: 470436 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 4301564 bytes
%systemroot%\System32 .tmp files removed: 5457287 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 631565 bytes
RecycleBin emptied: 220236 bytes

Total Files Cleaned = 1.049,00 mb


OTL by OldTimer - Version 3.2.17.3 log created on 11222010_101958
Miniaturansicht angehängter Grafiken
Trojaner  TR/Crypt.XPACK:Gen-dateien.jpg  

Alt 22.11.2010, 10:56   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner  TR/Crypt.XPACK:Gen - Standard

Trojaner TR/Crypt.XPACK:Gen



Zitat:
Nun hat OTL ein neues Verzeichnis angelegt. Darin enthalten ist z.B. die Autoexec.bat.
Ramdrive.sys.
smartdrv.exe

Was soll das?
Überleg mal, man fixt hier und was was und möchte evtl später was rückgängig machen. Das geht nur wenn man ein Backup von den gefixten/gelöschten Sachen hat. Jetz darfst du 3x raten wofür der "_OTL" Ordner da ist.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.11.2010, 10:58   #10
Buffi
 
Trojaner  TR/Crypt.XPACK:Gen - Standard

Trojaner TR/Crypt.XPACK:Gen



OTL.exe Programm ist nicht mehr vorhanden im Ordner.

Was ist den "fixen" bei diesem Programm?

Was ist mit autorun.inf Datei, die der Antivir immer wieder beanstandet, sobald ich einen Stick anschließe?
Hast was gefunden in den ganzen logs bisher?

Geändert von Buffi (22.11.2010 um 11:03 Uhr)

Alt 22.11.2010, 11:11   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner  TR/Crypt.XPACK:Gen - Standard

Trojaner TR/Crypt.XPACK:Gen



Was gefixt wird hast du schon gesehen, das ist der Text den du bei OTL reinkopieren solltest.

Zitat:
OTL.exe Programm ist nicht mehr vorhanden im Ordner.
Ungenauer gehts nicht? Es wurde in der Anweisung klar und deutlich gesagt, du solltest die otl.exe auf dem Desktop speichern und nicht in irgendeinen Ordner. Egal jetzt.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.11.2010, 13:54   #12
Buffi
 
Trojaner  TR/Crypt.XPACK:Gen - Standard

Trojaner TR/Crypt.XPACK:Gen



Bis jetzt sieht es so aus, als ob die USB Sticks ohne Blockierung funktionieren.

Wie geht es weiter?
Danke bis hierher.

Combofix Logfile:
Code:
ATTFilter
ComboFix 10-11-21.02 - AE 22.11.2010  14:12:41.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1581 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\AE\Desktop\CoFi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\pi.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2010-10-22 bis 2010-11-22  ))))))))))))))))))))))))))))))
.

2011-01-06 21:44 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2011-01-02 13:55 . 2010-10-18 06:26	--------	d-----w-	c:\dokumente und einstellungen\AE\Anwendungsdaten\ProtectDisc
2011-01-02 13:55 . 2011-01-02 13:55	--------	d-----w-	c:\programme\ProtectDisc Driver Installer
2011-01-02 13:53 . 2007-04-19 10:19	174144	----a-w-	c:\windows\DBReg.exe
2011-01-02 13:53 . 2007-07-25 09:30	661568	----a-w-	c:\windows\DBREG.dll
2011-01-02 13:53 . 2011-01-02 13:53	--------	d-----w-	c:\programme\DATA BECKER
2011-01-01 10:29 . 2011-01-01 10:29	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
2010-11-22 09:19 . 2010-11-22 09:19	--------	d-----w-	C:\_OTL
2010-11-21 20:14 . 2010-11-21 20:14	--------	d--h--w-	c:\windows\system32\GroupPolicy
2010-11-20 08:41 . 2010-11-20 08:41	--------	d-----w-	c:\dokumente und einstellungen\AE\Anwendungsdaten\MakeMusic
2010-11-20 08:36 . 2010-11-20 08:36	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\MakeMusic
2010-11-20 08:36 . 2010-11-20 08:40	--------	d-----w-	c:\programme\Finale 2011 Demo
2010-11-19 14:30 . 2010-11-19 14:30	--------	d-----w-	C:\PSFONTS
2010-11-19 14:29 . 2010-11-20 08:31	--------	d-----w-	c:\programme\Finale Reader 2010
2010-11-19 09:42 . 2010-11-10 04:33	6273872	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Definition Updates\{76949A1B-7ACB-4226-93A8-F2EC8B59A8B5}\mpengine.dll
2010-11-19 09:13 . 2010-11-19 09:13	--------	d-----w-	c:\dokumente und einstellungen\AE\Anwendungsdaten\Malwarebytes
2010-11-19 09:13 . 2010-04-29 11:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-19 09:13 . 2010-11-19 09:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-11-19 09:13 . 2010-04-29 11:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-19 09:13 . 2010-11-19 09:36	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-11-19 07:36 . 2010-11-19 07:46	--------	d-----w-	c:\programme\MetaTrader - ActivTrades
2010-11-17 22:01 . 2010-11-17 22:01	--------	d-----w-	c:\programme\capella-software
2010-11-17 21:59 . 2010-11-17 21:59	--------	d-----w-	c:\dokumente und einstellungen\AE\Anwendungsdaten\capella-software
2010-11-12 18:46 . 2010-11-12 18:46	4280320	----a-w-	c:\windows\system32\GPhotos.scr
2010-11-06 10:37 . 2010-11-06 10:37	103864	----a-w-	c:\programme\Mozilla Firefox\plugins\nppdf32.dll
2010-11-06 10:37 . 2010-11-06 10:37	103864	----a-w-	c:\programme\Internet Explorer\PLUGINS\nppdf32.dll
2010-10-24 17:59 . 2010-10-24 17:59	--------	d-----w-	c:\dokumente und einstellungen\AE\Anwendungsdaten\Canneverbe Limited
2010-10-24 17:59 . 2010-10-24 17:59	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2010-10-24 17:59 . 2009-11-12 12:48	7168	----a-w-	c:\windows\system32\drivers\StarOpen.sys
2010-10-24 17:59 . 2010-10-24 17:59	--------	d-----w-	c:\programme\CDBurnerXP

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-03 08:57 . 2009-07-20 11:22	126856	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-03 08:57 . 2009-03-20 22:01	60936	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-10-19 09:41 . 2009-12-19 15:54	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-10-07 23:21 . 2009-12-19 15:54	6146896	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll
2010-09-18 10:22 . 2004-08-04 10:00	974848	----a-w-	c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-04 10:00	974848	----a-w-	c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-04 10:00	954368	----a-w-	c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-04 10:00	953856	----a-w-	c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2006-03-04 03:34	916480	----a-w-	c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-08-04 10:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-08-04 10:00	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2010-09-01 11:50 . 2004-08-04 10:00	285824	----a-w-	c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2004-08-04 10:00	1852928	----a-w-	c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2004-08-04 10:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2004-08-04 10:00	99840	----a-w-	c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25	5632	----a-w-	c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2004-08-04 10:00	357248	----a-w-	c:\windows\system32\drivers\srv.sys
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GMX SMS-Manager"="c:\programme\GMX\GMX SMS-Manager\SMSMngr.exe" [2007-07-19 3539968]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-03 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-12 4112384]
"NVRTCLK"="c:\windows\system32\NVRTCLK\NVRTClk.exe" [2003-12-30 24576]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768]
"GMX Update"="c:\programme\GMX\LiveUpdate\m2LUTray.exe" [2009-10-16 2229632]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2009-1-6 1282048]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07	932288	----a-r-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47	35760	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2008-11-03 11:21	339240	----a-w-	c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2004-07-12 08:50	843776	----a-r-	c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-07-25 03:23	149280	----a-w-	c:\programme\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-03-03 16:31	39408	----a-w-	c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector]
2003-11-19 11:03	45056	------w-	c:\programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TuneUp.ProgramStatisticsSvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"NVSvc"=2 (0x2)
"Lavasoft Ad-Aware Service"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"idsvc"=3 (0x3)
"gusvc"=3 (0x3)
"gupdate1ca4858decf6a5c"=2 (0x2)
"WZCSVC"=2 (0x2)
"wscsvc"=2 (0x2)
"winmgmt"=2 (0x2)
"UxTuneUp"=2 (0x2)
"TrkWks"=2 (0x2)
"Themes"=2 (0x2)
"TapiSrv"=3 (0x3)
"stisvc"=2 (0x2)
"lanmanserver"=2 (0x2)
"Dnscache"=2 (0x2)
"Dhcp"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\FRITZ!Box-Kindersicherung\\avmident.exe"=
"c:\\Programme\\Opera\\opera.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [08.10.2009 21:54 64160]
R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 11:22 185472]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.07.2009 12:22 135336]
R2 avmidentd;AVM FRITZ!Box-Kindersicherung;c:\programme\FRITZ!Box-Kindersicherung\avmident.exe [21.08.2006 17:57 49152]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592]
S2 Ca533av;Icatch(IV) Video Camera Device;c:\windows\system32\Drivers\Ca533av.sys --> c:\windows\system32\Drivers\Ca533av.sys [?]
S2 gupdate1ca4858decf6a5c;Google Update Service (gupdate1ca4858decf6a5c);c:\programme\Google\Update\GoogleUpdate.exe [08.10.2009 21:49 133104]
S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 15:49 1029456]
.
Inhalt des "geplante Tasks" Ordners

2010-11-18 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 21:54]

2010-11-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-10-08 20:49]

2010-11-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-10-08 20:49]

2010-11-22 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]

2011-01-02 c:\windows\Tasks\User_Feed_Synchronization-{8D931E39-7C38-4428-B480-7677C72E6D1D}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = GMX - E-Mail, FreeMail, De-Mail, Themen- & Shopping-Portal - kostenlos
mSearch Bar = hxxp://www.google.de/ie
uInternet Connection Wizard,ShellNext = hxxp://tk04.info1.ulteem.com/r/?id=h11b6ca3a,862f6eb,862f6ef&p1=www.partner.de&p2=A620E535378B3653755707B2545EB47B60FEF156DFAD49A1CE13A62E0D937C60A8595E450555EC8B0508F671B99F2B9F24B620E5956E5B156CFAF91E218FBA8F&p3=63D52968CA083B4E1106C08A5224320A&p4=5003003&p5=63427937
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://go.gmx.net/suchbox/gmxsuche?su=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
TCP: {6649DB17-9C5E-4E24-8B05-7B21E5E66C6C} = 192.168.178.1
DPF: {57CD0DF4-DACC-439D-9173-3F6A8EC3FFE4} - hxxp://192.168.178.22/IPCamPluginMegaDPT.cab
FF - ProfilePath - c:\dokumente und einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.gmx.net/?kid=A1000032
FF - prefs.js: keyword.URL - hxxp://wa.ui-portal.de/gmx/gmx/s?produkte.browser.link.searchlink&s_brand=gmx&t_link=searchlink&ns_type=clickin&ns_url=hxxp://go.gmx.net/suchbox/gmxsuche/?origin=product&su=
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("general.useragent.extra.cck", "(GMX)");
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Cmaudio - cmicnfg.cpl



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-11-22 14:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-11-22  14:20:11
ComboFix-quarantined-files.txt  2010-11-22 13:20

Vor Suchlauf: 14 Verzeichnis(se), 16.981.757.952 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 17.072.746.496 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptOut

- - End Of File - - A1A2807C732A7A33D58E7912004E005D
         
--- --- ---

Alt 22.11.2010, 16:42   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner  TR/Crypt.XPACK:Gen - Standard

Trojaner TR/Crypt.XPACK:Gen



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 24.11.2010, 20:23   #14
Buffi
 
Trojaner  TR/Crypt.XPACK:Gen - Standard

Trojaner TR/Crypt.XPACK:Gen



Hallo Cosinus!
Gmer ist jetzt ca. 36 Stunden gelaufen. Wolte die Log Datei kopieren und hier einfügen. Leider konnte ich weder den IE noch opera öffnen. Habe dann die log auf den Desktop abgespeichert. Im Anschluss konnte ich den Rechner nur noch warm starten.
Nach dem Warmstart finde ich die Datei nicht mehr. Wo wird sie wohl sein?
Bei den logs waren einige rote Einträge. Ein paar Einträge waren im Verzeichnis von Google .
Soll ich den Test nochmals wiederholen oder ist er evtl. nicht so wichtig?

Alt 24.11.2010, 20:41   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner  TR/Crypt.XPACK:Gen - Standard

Trojaner TR/Crypt.XPACK:Gen



So lange braucht GMER eigentlich nicht
Lass es weg und mach erstmal nur osam und mbrcheck
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojaner TR/Crypt.XPACK:Gen
antivir, autorun.inf, datei, entfern, entfernt, festplatte, geblockt, gen, laufe, laufen, malwarebytes, melde, meldet, nichts, platte, schließe, schädliche, stick, tr/crypt.xpack, troja, trojaner, trojaner?, usb, usb stick



Ähnliche Themen: Trojaner TR/Crypt.XPACK:Gen


  1. Probleme mit .NET Framework, windows update und Systemwiederherstellung, Trojaner TR/Crypt.XPACK.Gen8, TR/Crypt.ULPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 23.09.2012 (11)
  2. Trojaner TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 04.08.2012 (43)
  3. TR/Crypt.XPACK.Gen, TR/Sirefef.BV.2, TR/Crypt.XPACK.Gen3, TR/PSW.Karagany.A.73
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (2)
  4. TR/Crypt.XPACK.Gen3 - nach formatierung von C: TR/Crypt.XPACK.Gen2 gefunden
    Plagegeister aller Art und deren Bekämpfung - 17.10.2010 (9)
  5. TR/Crypt.XPACK.Gen3, TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (4)
  6. Befall mit TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen3
    Plagegeister aller Art und deren Bekämpfung - 21.09.2010 (23)
  7. TR/Dropper.gen und TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen2 und TR/Dldr.Agent.cxyf.3
    Plagegeister aller Art und deren Bekämpfung - 29.07.2010 (32)
  8. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Log-Analyse und Auswertung - 09.04.2010 (4)
  9. Massives Trojaner Problem TR/Crypt.XPACK.Gen TR/dropper.Gen TR/Crypt.ASPM.Gen
    Plagegeister aller Art und deren Bekämpfung - 21.03.2010 (1)
  10. 3 Trojaner: TR/FraudPack.240128 TR/Crypt.XPACK.Gen TR/Crypt.ZPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (1)
  11. Heftiger Trojaner Befall Crypt.XPACK.Gen/Click.YABECTOR.B.1/ Crypt.PEPM.Gen
    Log-Analyse und Auswertung - 28.12.2009 (1)
  12. TR/Crypt.XPACK.Gen TROJANER
    Plagegeister aller Art und deren Bekämpfung - 25.12.2008 (7)
  13. TR/Crypt.XPACK.Gen Trojaner
    Mülltonne - 25.12.2008 (0)
  14. Trojaner TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 21.12.2008 (3)
  15. Trojaner TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 20.12.2008 (1)
  16. Trojaner: Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 21.10.2008 (6)
  17. Trojaner TR/Vundo.Gen TR/Crypt.XPACK.Gen TR/Crypt.Morphine.Gen
    Mülltonne - 25.08.2008 (0)

Zum Thema Trojaner TR/Crypt.XPACK:Gen - Habe Trojaner mit Malwarebytes von Festplatte entfernt und meinen USB Stick formatiert. Wenn ich nun meinen USB Stick wieder anschließe, meldet Antivir, dass die autorun.inf geblockt wird, da es eine - Trojaner TR/Crypt.XPACK:Gen...
Archiv
Du betrachtest: Trojaner TR/Crypt.XPACK:Gen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.