| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.11.2010, 20:31
| #1 |
 |  Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Hallo, da ich schon viele positive Erfahrungen mit eurem Board hab, hab ich erneut eine Bitte an euch. Ich hatte mir den Trojaner Backdoor:Win32/Cycbot.B eingefangen. Der Windows Defender meldete sich nach jedem Neustart zu Wort. Jetzt hab ich gestern und heute mit diversen Programmen (MBAM, Dr. Web CureIt, SuperAntiSpyware) diesen Trojaner bekämpft und auch im Internet (hier: hxxp://blog.teesupport.com/how-to-remove-cycbot-b-cycbotb-removal-instructions/) gefunden, welche Dateien/Reg-Einträge er erstellt und diese gelöscht (shell.exe, svchost.exe, dwm.exe (..) im AppData Ordner). Jedoch ist mein System momentan teilweise merkwürdig mit >20% ausgelastet, aber laut Taskmanger/Prozesse verursacht das kein Programm? Aber nur zeitweise, im Moment liegts zw. 0-6%. Ich weiß, dass es das Beste ist, wenn man das System neu aufsetzt.. das tu ich aber nur ungern, wie ihr vielleicht verstehen könnt. Darum wollte ich euch bitten, euch mal meine Logs anzuschauen und vielleicht noch weitere Anweisungen zu geben, falls doch noch was übrig geblieben ist. Hier mein OTL Log: [CODE]WOTL Logfile: Code:
ATTFilter OTL logfile created on: 24.11.2010 20:05:06 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Users\***\Desktop 64bit- An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 65,00% Memory free 8,00 Gb Paging File | 6,00 Gb Available in Paging File | 81,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 45,65 Gb Total Space | 16,74 Gb Free Space | 36,66% Space Free | Partition Type: NTFS Drive D: | 410,00 Gb Total Space | 287,95 Gb Free Space | 70,23% Space Free | Partition Type: NTFS Drive G: | 7,39 Gb Total Space | 2,95 Gb Free Space | 39,83% Space Free | Partition Type: FAT32 Computer Name: *** | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Users\***\Desktop\OTL.exe (OldTimer Tools) PRC - D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - D:\Programme\TeamViewer\Version5\TeamViewer.exe (TeamViewer GmbH) PRC - D:\Programme\TeamViewer\Version5\TeamViewer_Service.exe (TeamViewer GmbH) PRC - D:\Programme\Opera\opera.exe (Opera Software) PRC - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Program Files (x86)\Sony\VAIO Event Service\VESMgr.exe (Sony Corporation) PRC - C:\Program Files (x86)\Sony\VAIO Event Service\VESMgrSub.exe (Sony Corporation) PRC - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation) PRC - C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe (Sony Corporation) PRC - D:\Programme\Virtual Clone Drive\VCDDaemon.exe (Elaborate Bytes AG) ========== Modules (SafeList) ========== MOD - C:\Users\***\Desktop\OTL.exe (OldTimer Tools) MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV:64bit: - (LckFldService) -- C:\Windows\SysNative\LckFldService.exe File not found SRV:64bit: - (VAIO Power Management) -- C:\Program Files\Sony\VAIO Power Management\SPMService.exe (Sony Corporation) SRV:64bit: - (VSNService) -- C:\Program Files\Sony\VAIO Smart Network\VSNService.exe (Sony Corporation) SRV:64bit: - (TurboBoost) -- C:\Program Files\Intel\TurboBoost\TurboBoost.exe (Intel(R) Corporation) SRV:64bit: - (SampleCollector) -- C:\Program Files\Sony\VAIO Care\collsvc.exe (Intel Corporation) SRV:64bit: - (yksvc) -- C:\Windows\SysNative\yk62x64.dll (Marvell) SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation) SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (TeamViewer5) -- D:\Programme\TeamViewer\Version5\TeamViewer_Service.exe (TeamViewer GmbH) SRV - (Apple Mobile Device) -- C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation) SRV - (VAIO Event Service) -- C:\Program Files (x86)\Sony\VAIO Event Service\VESMgr.exe (Sony Corporation) SRV - (IAANTMON) Intel(R) -- C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation) SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation) SRV - (RegSrvc) Intel(R) -- C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation) SRV - (btwdins) -- C:\Programme\WIDCOMM\Bluetooth Software\btwdins.exe (Broadcom Corporation.) SRV - (WinHttpAutoProxySvc) -- winhttp.dll (Microsoft Corporation) SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV:64bit: - (ZTEusbser6k) -- C:\Windows\SysNative\DRIVERS\ZTEusbser6k.sys File not found DRV:64bit: - (ZTEusbnmea) -- C:\Windows\SysNative\DRIVERS\ZTEusbnmea.sys File not found DRV:64bit: - (ZTEusbmdm6k) -- C:\Windows\SysNative\DRIVERS\ZTEusbmdm6k.sys File not found DRV:64bit: - (massfilter) -- C:\Windows\SysNative\drivers\massfilter.sys File not found DRV:64bit: - (DFUBTUSB) -- C:\Windows\SysNative\Drivers\frmupgr.sys File not found DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH) DRV:64bit: - (TVICHW64) -- C:\Windows\SysNative\drivers\TVicHW64.sys (EnTech Taiwan) DRV:64bit: - (USBAAPL64) -- C:\Windows\SysNative\drivers\usbaapl64.sys (Apple, Inc.) DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH) DRV:64bit: - (rimspci) -- C:\Windows\SysNative\drivers\rimssne64.sys (REDC) DRV:64bit: - (SFEP) -- C:\Windows\SysNative\drivers\SFEP.sys (Sony Corporation) DRV:64bit: - (ElbyCDIO) -- C:\Windows\SysNative\drivers\ElbyCDIO.sys (Elaborate Bytes AG) DRV:64bit: - (btwrchid) -- C:\Windows\SysNative\drivers\btwrchid.sys (Broadcom Corporation.) DRV:64bit: - (btwavdt) -- C:\Windows\SysNative\drivers\btwavdt.sys (Broadcom Corporation.) DRV:64bit: - (btwaudio) -- C:\Windows\SysNative\drivers\btwaudio.sys (Broadcom Corporation.) DRV:64bit: - (btusbflt) -- C:\Windows\SysNative\drivers\btusbflt.sys (Broadcom Corporation.) DRV:64bit: - (btwl2cap) -- C:\Windows\SysNative\drivers\btwl2cap.sys (Broadcom Corporation.) DRV:64bit: - (NVHDA) -- C:\Windows\SysNative\drivers\nvhda64v.sys (NVIDIA Corporation) DRV:64bit: - (ApfiltrService) -- C:\Windows\SysNative\drivers\Apfiltr.sys (Alps Electric Co., Ltd.) DRV:64bit: - (TurboB) -- C:\Windows\SysNative\drivers\TurboB.sys () DRV:64bit: - (iaStor) -- C:\Windows\SysNative\drivers\iaStor.sys (Intel Corporation) DRV:64bit: - (sdbus) -- C:\Windows\SysNative\drivers\sdbus.sys (Microsoft Corporation) DRV:64bit: - (NETw5s64) Intel(R) -- C:\Windows\SysNative\drivers\NETw5s64.sys (Intel Corporation) DRV:64bit: - (VClone) -- C:\Windows\SysNative\drivers\VClone.sys (Elaborate Bytes AG) DRV:64bit: - (yukonw7) -- C:\Windows\SysNative\drivers\yk62x64.sys (Marvell) DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices) DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices) DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.) DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation) DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company) DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology) DRV:64bit: - (ROOTMODEM) -- C:\Windows\SysNative\drivers\rootmdm.sys (Microsoft Corporation) DRV:64bit: - (Ntfs) -- C:\Windows\SysNative\wbem\ntfs.mof () DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation) DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation) DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation) DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.) DRV:64bit: - (GEARAspiWDM) -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys (GEAR Software Inc.) DRV:64bit: - (RimVSerPort) -- C:\Windows\SysNative\drivers\RimSerial_AMD64.sys (Research in Motion Ltd) DRV:64bit: - (RimUsb) -- C:\Windows\SysNative\drivers\RimUsb_AMD64.sys (Research In Motion Limited) DRV:64bit: - (ElbyCDFL) -- C:\Windows\SysNative\drivers\ElbyCDFL.sys (SlySoft, Inc.) DRV - (ElbyCDFL) -- C:\Windows\SysWOW64\drivers\ElbyCDFL.sys (SlySoft, Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = F2 E7 67 FE 76 8B CB 01 [binary data] IE - HKCU\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local;*.local ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de" FF - prefs.js..extensions.enabledItems: keyconfig@dorando:20080929 FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.1 FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.0.5.1 FF - prefs.js..extensions.enabledItems: {cf47767d-5f3a-4e32-9fce-5d79565c9702}:1.1.1 FF - prefs.js..network.proxy.type: 0 FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: D:\Programme\Mozilla Firefox\components [2010.11.13 19:39:47 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2010.11.21 16:32:03 | 000,000,000 | ---D | M] [2010.02.01 00:23:07 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Extensions [2010.11.24 18:51:36 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions [2010.11.24 18:51:33 | 000,000,000 | ---D | M] (NoScript) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232} [2010.07.24 01:15:00 | 000,000,000 | ---D | M] (MR Tech Toolkit) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\{9669CC8F-B388-42FE-86F4-CB5E7F5A8BDC} [2010.11.24 18:51:33 | 000,000,000 | ---D | M] (LinkExtend) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\{cf47767d-5f3a-4e32-9fce-5d79565c9702} [2010.11.15 00:54:58 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.07.05 20:30:06 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\{dc572301-7619-498c-a57d-39143191b318} [2010.04.27 14:14:29 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\keyconfig@dorando [2010.07.05 20:30:06 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\linky@gemal.dk [2010.07.24 01:02:11 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\undoclosedtabsbutton@supernova00.biz O1 HOSTS File: ([2010.11.24 02:48:08 | 000,000,808 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office12\GR469A~1.DLL (Microsoft Corporation) O4:64bit: - HKLM..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe (Alps Electric Co., Ltd.) O4:64bit: - HKLM..\Run: [IAAnotif] C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [NvCplDaemon] C:\Windows\SysNative\NvCpl.DLL (NVIDIA Corporation) O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor) O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [BrMfcWnd] C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [ISBMgr.exe] C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe (Sony Corporation) O4 - HKLM..\Run: [VirtualCloneDrive] D:\Programme\Virtual Clone Drive\VCDDaemon.exe (Elaborate Bytes AG) O4 - HKCU..\Run: [ICQ] D:\Programme\ICQ 7\ICQ7.2\ICQ.exe (ICQ, LLC.) O4 - HKCU..\Run: [RESTART_STICKY_NOTES] C:\Windows\SysWow64\StikyNot.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 O8:64bit: - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm () O8:64bit: - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm () O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9:64bit: - Extra Button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9:64bit: - Extra 'Tools' menuitem : @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - D:\Programme\ICQ 7\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - D:\Programme\ICQ 7\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation) O9 - Extra Button: Senden an Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra 'Tools' menuitem : Senden an &Bluetooth-Gerät... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O13 - gopher Prefix: missing O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18:64bit: - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~1\Office12\GRA32A~1.DLL (Microsoft Corporation) O18:64bit: - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18:64bit: - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18:64bit: - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O18 - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18 - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18 - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - SystemPropertiesPerformance.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - HKLM Winlogon: Shell - (explorer.exe) - explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - SystemPropertiesPerformance.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - Winlogon\Notify\VESWinlogon: DllName - VESWinlogon.dll - VESWinlogon.dll (Sony Corporation) O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~1\Office12\GR469A~1.DLL (Microsoft Corporation) O29:64bit: - HKLM SecurityProviders - (credssp.dll) - credssp.dll (Microsoft Corporation) O29 - HKLM SecurityProviders - (credssp.dll) - credssp.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{a3f3637e-130c-11df-ac6b-0024beb51428}\Shell - "" = AutoRun O33 - MountPoints2\{a3f3637e-130c-11df-ac6b-0024beb51428}\Shell\AutoRun\command - "" = I:\Launcher.exe -- File not found O33 - MountPoints2\{a3f36380-130c-11df-ac6b-0024beb51428}\Shell - "" = AutoRun O33 - MountPoints2\{a3f36380-130c-11df-ac6b-0024beb51428}\Shell\AutoRun\command - "" = G:\Setup.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.11.24 20:04:35 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Users\Pat\Desktop\OTL.exe [2010.11.24 16:49:25 | 000,000,000 | ---D | C] -- C:\ProgramData\SUPERAntiSpyware.com [2010.11.24 02:32:30 | 000,000,000 | ---D | C] -- C:\Users\***\DoctorWeb [2010.11.24 02:06:47 | 000,000,000 | ---D | C] -- C:\ProgramData\TEMP [2010.11.24 02:02:35 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools [2010.11.24 00:47:19 | 000,049,752 | ---- | C] (Sunbelt Software) -- C:\Windows\SysNative\drivers\SBREDrv.sys [2010.11.24 00:44:27 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Sunbelt Software [2010.11.24 00:43:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Lavasoft [2010.11.22 16:54:20 | 000,000,000 | ---D | C] -- C:\Users\***\Documents\ICQ 7 History 22.11.2010 [2010.11.13 23:29:38 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\TeamViewer [2010.11.12 23:35:24 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\mkvtoolnix [2010.11.09 13:06:25 | 000,000,000 | ---D | C] -- C:\Users\***\Documents\ICQ 6.5 History 09.11.2010 [2010.11.04 19:21:31 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\unlocker [2010.11.04 19:00:10 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\ProcessExplorer [2010.11.03 17:05:26 | 000,000,000 | ---D | C] -- C:\Users\Pat\Desktop\Mechanik 3 (Dynamik) VL [2010.11.03 16:54:27 | 000,000,000 | ---D | C] -- C:\Users\Pat\Desktop\Mechanik Skripte [2010.11.03 00:49:49 | 000,000,000 | ---D | C] -- C:\Users\Pat\Documents\OneNote-Notizbücher [2010.11.02 20:08:12 | 000,000,000 | ---D | C] -- C:\Windows\rescache [2010.11.02 14:13:10 | 000,961,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\CPFilters.dll [2010.11.02 14:13:10 | 000,641,536 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\CPFilters.dll [2010.11.02 14:13:10 | 000,552,960 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msdri.dll [2010.11.02 14:13:10 | 000,288,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\MSNP.ax [2010.11.02 14:13:10 | 000,258,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mpg2splt.ax [2010.11.02 14:13:10 | 000,204,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\MSNP.ax [2010.11.02 14:13:10 | 000,199,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mpg2splt.ax [2010.11.02 14:13:07 | 000,027,008 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\Diskdump.sys [2010.11.01 16:15:27 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\freecom programme [2010.10.28 23:43:25 | 000,000,000 | ---D | C] -- C:\Users\***\Logitech [2010.10.28 23:42:05 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Remote Control Software Common [2010.10.28 23:42:00 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Logitech [2010.10.28 23:41:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Remote Control USB Driver [2010.10.27 16:52:08 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Übungen + Lösungen [2 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.11.24 20:07:31 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2010.11.24 20:07:31 | 000,654,166 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2010.11.24 20:07:31 | 000,616,008 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2010.11.24 20:07:31 | 000,130,006 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2010.11.24 20:07:31 | 000,106,388 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2010.11.24 20:04:37 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe [2010.11.24 20:00:54 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2010.11.24 20:00:49 | 3156,807,680 | -HS- | M] () -- C:\hiberfil.sys [2010.11.24 18:00:10 | 000,013,248 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2010.11.24 18:00:10 | 000,013,248 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2010.11.24 17:48:20 | 000,296,448 | ---- | M] () -- C:\Users\***\Desktop\x5vslq3v.exe [2010.11.24 10:23:53 | 267,860,118 | ---- | M] () -- C:\Users\***\Documents\Registry Sicherung 24.11.10.reg [2010.11.24 02:48:08 | 000,000,808 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts [2010.11.24 02:31:53 | 052,429,296 | ---- | M] () -- C:\Users\***\Desktop\b957z6h4.exe [2010.11.24 02:24:19 | 042,730,616 | ---- | M] () -- C:\Users\***\Desktop\4k8t247w.exe [2010.11.24 02:02:27 | 000,511,968 | ---- | M] () -- C:\Users\***\Desktop\sdsetup2011.exe [2010.11.24 00:47:09 | 000,049,752 | ---- | M] (Sunbelt Software) -- C:\Windows\SysNative\drivers\SBREDrv.sys [2010.11.23 16:19:00 | 000,000,432 | ---- | M] () -- C:\Windows\BRWMARK.INI [2010.11.22 19:26:13 | 000,000,793 | ---- | M] () -- C:\Users\Public\Desktop\ICQ7.2.lnk [2010.11.21 16:32:04 | 000,001,731 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk [2010.11.15 00:50:51 | 000,067,072 | ---- | M] () -- C:\Users\***\Desktop\Stundenplan.xls [2010.11.14 17:10:42 | 000,057,687 | ---- | M] () -- C:\Users\***\Documents\RG773121848.pdf [2010.11.13 23:29:38 | 000,000,791 | ---- | M] () -- C:\Users\Public\Desktop\TeamViewer 5.lnk [2010.11.13 14:19:19 | 000,050,054 | ---- | M] () -- C:\test.xml [2010.11.12 23:35:02 | 000,000,715 | ---- | M] () -- C:\Users\Public\Desktop\mkvmerge GUI.lnk [2010.11.10 12:58:36 | 000,000,600 | ---- | M] () -- C:\Users\***\AppData\Roaming\winscp.rnd [2010.11.05 14:20:16 | 000,000,847 | ---- | M] () -- C:\Users\***\Desktop\Subtitle Workshop.lnk [2010.11.03 16:52:46 | 008,508,066 | ---- | M] () -- C:\Users\***\Desktop\umdrucke.exe [2010.11.03 16:42:54 | 000,076,800 | ---- | M] () -- C:\Users\***\Desktop\Stundenplan_drittes_Semester_WS1011.xls [2010.11.02 14:19:59 | 000,081,584 | ---- | M] (Avira GmbH) -- C:\Windows\SysNative\drivers\avgntflt.sys [2010.11.01 23:56:32 | 000,000,162 | -H-- | M] () -- C:\Users\***\Desktop\~$undenplan_Anmerkungen_3sem.doc [2010.10.28 23:43:23 | 000,002,361 | ---- | M] () -- C:\Users\Public\Desktop\Logitech Harmony Remote Software 7.lnk [2 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.11.24 17:48:20 | 000,296,448 | ---- | C] () -- C:\Users\***\Desktop\x5vslq3v.exe [2010.11.24 10:23:44 | 267,860,118 | ---- | C] () -- C:\Users\***\Documents\Registry Sicherung 24.11.10.reg [2010.11.24 02:31:42 | 052,429,296 | ---- | C] () -- C:\Users\***\Desktop\b957z6h4.exe [2010.11.24 02:24:19 | 042,730,616 | ---- | C] () -- C:\Users\***\Desktop\4k8t247w.exe [2010.11.24 02:02:35 | 000,511,968 | ---- | C] () -- C:\Users\***\Desktop\sdsetup2011.exe [2010.11.22 19:26:13 | 000,000,793 | ---- | C] () -- C:\Users\Public\Desktop\ICQ7.2.lnk [2010.11.21 16:32:04 | 000,001,731 | ---- | C] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk [2010.11.14 22:57:13 | 000,067,072 | ---- | C] () -- C:\Users\***\Desktop\Stundenplan.xls [2010.11.14 17:10:40 | 000,057,687 | ---- | C] () -- C:\Users\***\Documents\RG773121848.pdf [2010.11.13 23:29:38 | 000,000,791 | ---- | C] () -- C:\Users\Public\Desktop\TeamViewer 5.lnk [2010.11.12 23:35:02 | 000,000,715 | ---- | C] () -- C:\Users\Public\Desktop\mkvmerge GUI.lnk [2010.11.05 14:20:16 | 000,000,847 | ---- | C] () -- C:\Users\***\Desktop\Subtitle Workshop.lnk [2010.11.01 23:56:32 | 000,000,162 | -H-- | C] () -- C:\Users\***\Desktop\~$undenplan_Anmerkungen_3sem.doc [2010.10.28 23:43:23 | 000,002,361 | ---- | C] () -- C:\Users\Public\Desktop\Logitech Harmony Remote Software 7.lnk [2010.09.04 13:51:04 | 000,000,600 | ---- | C] () -- C:\Users\***\AppData\Roaming\winscp.rnd [2010.08.06 19:54:51 | 000,007,609 | ---- | C] () -- C:\Users\***\AppData\Local\Resmon.ResmonCfg [2010.06.01 13:55:46 | 000,000,016 | ---- | C] () -- C:\Windows\SysWow64\Mlkf.dll [2010.05.17 17:07:46 | 000,000,432 | ---- | C] () -- C:\Windows\BRWMARK.INI [2010.05.17 17:06:07 | 000,045,056 | ---- | C] () -- C:\Windows\SysWow64\BRTCPCON.DLL [2010.05.17 17:06:05 | 000,000,114 | ---- | C] () -- C:\Windows\SysWow64\BRLMW03A.INI [2010.04.26 15:30:44 | 000,000,990 | -HS- | C] () -- C:\Users\***\AppData\Roaming\systemfl.$dk [2010.02.24 19:33:29 | 000,007,168 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll [2009.07.13 22:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll [2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\Windows\SysWow64\physxcudart_20.dll [2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelTraditionalChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSwedish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSpanish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSimplifiedChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelPortugese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelKorean.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelJapanese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelGerman.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelFrench.dll ========== Files - Unicode (All) ========== [2010.09.06 23:47:43 | 000,077,744 | ---- | M] ()(C:\Users\***\Desktop\?t_was_all_a_dream_biggie.jpg) -- C:\Users\***\Desktop\ןt_was_all_a_dream_biggie.jpg [2010.09.06 23:47:42 | 000,077,744 | ---- | C] ()(C:\Users\***\Desktop\?t_was_all_a_dream_biggie.jpg) -- C:\Users\***\Desktop\ןt_was_all_a_dream_biggie.jpg ========== Alternate Data Streams ========== @Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:DFC5A2B2 < End of report > Hier das Extra-Log: OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 24.11.2010 20:05:06 - Run 1
OTL by OldTimer - Version 3.2.17.3 Folder = C:\Users\***\Desktop
64bit- An unknown product (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 65,00% Memory free
8,00 Gb Paging File | 6,00 Gb Available in Paging File | 81,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 45,65 Gb Total Space | 16,74 Gb Free Space | 36,66% Space Free | Partition Type: NTFS
Drive D: | 410,00 Gb Total Space | 287,95 Gb Free Space | 70,23% Space Free | Partition Type: NTFS
Drive G: | 7,39 Gb Total Space | 2,95 Gb Free Space | 39,83% Space Free | Partition Type: FAT32
Computer Name: *** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\System32\ieframe.DLL (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
.url [@ = InternetShortcut] -- C:\Windows\System32\ieframe.DLL (Microsoft Corporation)
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [AddToPlaylistVLC] -- "D:\Programme\VLC Player\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Browse with &IrfanView] -- "D:\Programme\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~2\MICROS~1\Office12\ONENOTE.EXE "%L" File not found
Directory [PlayWithVLC] -- "D:\Programme\VLC Player\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Programme\VLC Player\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Browse with &IrfanView] -- "D:\Programme\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~2\MICROS~1\Office12\ONENOTE.EXE "%L" File not found
Directory [PlayWithVLC] -- "D:\Programme\VLC Player\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe" = C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7 -- ()
"C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe" = C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7 -- ()
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe" = C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7 -- ()
"C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe" = C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7 -- ()
========== HKEY_LOCAL_MACHINE Uninstall List ==========
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{23B45E10-0CA5-43E9-BD6D-C2BD6CBE11AC}" = iTunes
"{3156336D-8E44-3671-A6FE-AE51D3D6564E}" = Microsoft Windows SDK for Windows 7 (7.1)
"{328CC232-CFDC-468B-A214-2E21300E4CB5}" = Apple Mobile Device Support
"{39F4C6F9-618A-4E5B-8FB2-6BD661174E32}" = Überwachungstool für die Intel® Turbo-Boost-Technik
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{90120000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2007
"{90120000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2007
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager
"{9CC5470D-6C5A-4835-8CDE-CD590FB26329}" = UGS NX 5.0 Documentation
"{9E9D49A4-1DF4-4138-B7DB-5D87A893088E}" = WIDCOMM Bluetooth Software
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Alps Pointing-device for VAIO
"{B91110FB-33B4-468B-90C2-4D5E8AE3FAE1}" = Bonjour
"{CCAFF072-4DDB-4846-963D-15F02A8E9472}" = Intel(R) PROSet/Wireless WiFi-Software
"{DA5E371C-6333-3D8A-93A4-6FD5B20BCC6E}" = Microsoft Visual C++ 2010 x64 Redistributable - 10.0.30319
"{DBFC6AAE-DCCB-4C23-B01C-3EDDDC03298B}" = Debugging Tools for Windows (x64)
"{E7F9E526-2324-437B-A609-E8C5309465CB}" = Microsoft Windows Performance Toolkit
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"3BA80AB4C7E9F8497C115C844953A3D4BEB84D21" = Windows Driver Package - Broadcom HIDClass (07/28/2009 6.2.0.9800)
"930E4792BDAEAFB62A9514EE7578775658A5D07C" = Windows Driver Package - Broadcom Bluetooth (09/09/2009 6.2.0.9405)
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"NVIDIA Drivers" = NVIDIA Drivers
"ProInst" = Intel PROSet Wireless
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"SDKSetup_7.1.7600.0.30514" = Microsoft Windows SDK for Windows 7 (7.1)
"WinRAR archiver" = WinRAR
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{048DB60B-5AD7-40D3-ACDA-6E8B233829FA}" = Logitech Harmony Remote Software 7
"{0899D75A-C2FC-42EA-A702-5B9A5F24EAD5}" = VAIO Smart Network
"{0A35B15C-9CCD-4C0C-BD5B-34ABF8C95813}_is1" = ICQ 7.2 Build #3159 Banner Remover 1.0
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{196BB40D-1578-3D01-B289-BEFC77A11A1E}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319
"{1CF704EF-627B-4957-8B50-5AE4B07EF7B9}_is1" = Omega 1.1
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java(TM) 6 Update 15
"{3360D505-B0AA-4284-92DF-F872AF90A448}" = BlackBerry Device Software Updater
"{36C5BBF0-E5BF-4DE1-B684-7E90B0C93FB5}" = VAIO Care
"{3D9892BB-A751-4E48-ADC8-E4289956CE1D}" = QuickTime
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{46E1B1F2-A279-4356-9B17-029F9CC72EAE}" = Brother MFL-Pro Suite DCP-7030
"{4E765B16-84C0-40FD-A33D-D58CC7C75603}" = UGS NX 5.0
"{52B65911-1559-4ED5-9461-46957FDD48CD}" = Borderlands
"{5C6F884D-680C-448B-B4C9-22296EE1B206}" = Logitech Harmony Remote Software 7
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{70991E0A-1108-437E-BA7D-085702C670C0}" =
"{72042FA6-5609-489F-A8EA-3C2DD650F667}" = VAIO Control Center
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{803E4FA5-A940-4420-B89D-A8BC2E160247}" = VAIO Energie Verwaltung
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8471021C-F529-43DE-84DF-3612E10F58C4}" = Remote Control USB Driver
"{87CC8013-56D1-43E1-A0A5-AD406B4EBA95}" = Opera 10.63
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{97298C5E-64D9-4957-8027-2E5B3705C185}" = BlackBerry Device Software v5.0.0 für das BlackBerry 8900-Smartphone
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A7DA438C-2E43-4C20-BFDA-C1F4A6208558}" = Setting Utility Series
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.1 - Deutsch
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support
"{BEE64C14-BEF1-4610-8A68-A16EAA47B882}" = Futuremark SystemInfo
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{C7477742-DDB4-43E5-AC8D-0259E1E661B1}" = VAIO Event Service
"{CE86E2F5-850C-4207-94A3-A58D647B1733}" = BlackBerry Desktop Software 5.0.1
"{D56B0E27-4A3E-46C9-B5C1-D93D580C099C}" = NVIDIA PhysX v8.10.29
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{FC1F75C6-760C-4F4B-912F-1F213C4F7550}" = UGS NX 5.0 CAST
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"BlackBerry_{CE86E2F5-850C-4207-94A3-A58D647B1733}" = BlackBerry Desktop Software 5.0.1
"Call of Duty Modern Warfare 2_is1" = Call of Duty Modern Warfare 2
"CCleaner" = CCleaner
"CloneCD" = CloneCD
"Dev-C++" = Dev-C++ 5 beta 9 release (4.9.9.2)
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DivX Setup.divx.com" = DivX-Setup
"ENTERPRISE" = Microsoft Office Enterprise 2007
"FreePDF_XP" = FreePDF (Remove only)
"GPL Ghostscript 8.71" = GPL Ghostscript 8.71
"IrfanView" = IrfanView (remove only)
"JDownloader" = JDownloader
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MKVtoolnix" = MKVtoolnix 4.4.0
"Mozilla Firefox (3.6)" = Mozilla Firefox (3.6)
"ST6UNST #1" = Magic Berry
"SubtitleWorkshop" = Subtitle Workshop 2.51
"TeamViewer 5" = TeamViewer 5
"VirtualCloneDrive" = VirtualCloneDrive
"VLC media player" = VLC media player 1.1.2
"VLC Setup Helper_is1" = VLC Setup Helper 3.01
"Winamp" = Winamp
"winscp3_is1" = WinSCP 4.2.8
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12)
"Winamp Detect" = Winamp Erkennungs-Plug-in
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 23.11.2010 06:11:05 | Computer Name = *** | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second
Error - 23.11.2010 06:11:05 | Computer Name = *** | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 39144410
Error - 23.11.2010 06:11:05 | Computer Name = *** | Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 39144410
Error - 23.11.2010 17:33:11 | Computer Name = *** | Source = VSS | ID = 8194
Description =
Error - 23.11.2010 19:44:20 | Computer Name = *** | Source = Lavasoft Ad-Aware Service | ID = 0
Description =
Error - 23.11.2010 21:05:44 | Computer Name = *** | Source = PerfNet | ID = 2004
Description =
Error - 23.11.2010 21:07:46 | Computer Name = *** | Source = PerfNet | ID = 2004
Description =
Error - 23.11.2010 21:13:18 | Computer Name = *** | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error - 23.11.2010 21:13:18 | Computer Name = *** | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
Error - 23.11.2010 21:14:24 | Computer Name = *** | Source = pctsSvc.exe | ID = 0
Description =
[ System Events ]
Error - 17.10.2010 09:11:02 | Computer Name = *** | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
Error - 18.10.2010 16:27:52 | Computer Name = *** | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
Error - 20.10.2010 19:54:22 | Computer Name = *** | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
Error - 23.10.2010 10:28:42 | Computer Name = *** | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
Error - 27.10.2010 12:10:50 | Computer Name = *** | Source = Server | ID = 2505
Description = Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht
\Device\NetBT_Tcpip_{E2E23454-143E-46F8-9920-6ABE24B8F1BD} vom Serverdienst nicht
gebunden werden. Der Serverdienst konnte nicht gestartet werden.
Error - 31.10.2010 18:52:11 | Computer Name = *** | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
Error - 03.11.2010 07:07:20 | Computer Name = *** | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?03.?11.?2010 um 01:24:54 unerwartet heruntergefahren.
Error - 03.11.2010 07:08:22 | Computer Name = *** | Source = DCOM | ID = 10010
Description =
Error - 05.11.2010 07:22:46 | Computer Name = *** | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?05.?11.?2010 um 00:46:22 unerwartet heruntergefahren.
Error - 07.11.2010 19:30:44 | Computer Name = *** | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?08.?11.?2010 um 00:29:42 unerwartet heruntergefahren.
< End of report >
Das sind übrigens Namen von Dr. Web CureIT und GMER: Code:
ATTFilter \x5vslq3v.exe
\b957z6h4.exe
\4k8t247w.exe
|
|
24.11.2010, 22:04
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden?Zitat:
__________________ |
|
24.11.2010, 22:18
| #3 |
| | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Unklugerweise hab ich nur noch die von MBAM (hatte bei CureIT ein Problem mit dem Speichern und es waren 3 Uhr nachts, da hatte ich nur noch wenig Nerven..):
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 5178
Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385
24.11.2010 16:21:51
mbam-log-2010-11-24 (16-21-51).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 144153
Laufzeit: 3 Minute(n), 16 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\Users\Pat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\Users\Pat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Pat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Uninstall.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 5178
Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385
24.11.2010 01:56:33
mbam-log-2010-11-24 (01-56-33).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 121438
Laufzeit: 26 Minute(n), 54 Sekunde(n)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
C:\Users\Pat\AppData\Local\Temp\dwm.exe (Backdoor.GBot) -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.GBot) -> Data: c:\users\pat\appdata\local\temp\dwm.exe -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Users\Pat\AppData\Local\Temp\dwm.exe (Backdoor.GBot) -> Quarantined and deleted successfully.
C:\jdsfjsdijf.exe\jdsfjsdijf.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
|
|
24.11.2010, 23:55
| #4 |
| | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Kann man im Nachhinein nicht mehr editieren oder bin ich blind? Falls letzteres, seht mir das bitte nach.  Hab noch einen AntiVir Scan vergessen: Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 24. November 2010 17:53
Es wird nach 3073245 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : ***
Computername : ***
Versionsinformationen:
BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00
AVSCAN.EXE : 10.0.3.1 434344 Bytes 02.11.2010 13:19:59
AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 09:09:00
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 23:19:51
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 23:20:40
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 23:20:59
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:30:21
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 11:21:09
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 19:12:59
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 17:31:18
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 16:42:02
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 11:26:53
VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 11:26:53
VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 11:26:53
VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 11:26:53
VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 11:26:54
VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 10:05:02
VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 15:05:44
VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 15:05:44
VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 23:52:35
VBASE018.VDF : 7.10.14.15 142848 Bytes 17.11.2010 10:37:32
VBASE019.VDF : 7.10.14.41 134144 Bytes 19.11.2010 12:57:07
VBASE020.VDF : 7.10.14.42 2048 Bytes 19.11.2010 12:57:07
VBASE021.VDF : 7.10.14.43 2048 Bytes 19.11.2010 12:57:07
VBASE022.VDF : 7.10.14.44 2048 Bytes 19.11.2010 12:57:08
VBASE023.VDF : 7.10.14.45 2048 Bytes 19.11.2010 12:57:08
VBASE024.VDF : 7.10.14.46 2048 Bytes 19.11.2010 12:57:08
VBASE025.VDF : 7.10.14.47 2048 Bytes 19.11.2010 12:57:08
VBASE026.VDF : 7.10.14.48 2048 Bytes 19.11.2010 12:57:08
VBASE027.VDF : 7.10.14.49 2048 Bytes 19.11.2010 12:57:08
VBASE028.VDF : 7.10.14.50 2048 Bytes 19.11.2010 12:57:09
VBASE029.VDF : 7.10.14.51 2048 Bytes 19.11.2010 12:57:09
VBASE030.VDF : 7.10.14.52 2048 Bytes 19.11.2010 12:57:09
VBASE031.VDF : 7.10.14.56 54784 Bytes 21.11.2010 00:14:07
Engineversion : 8.2.4.98
AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 17:29:32
AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 04.11.2010 11:26:58
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 01:52:14
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 15:42:41
AERDL.DLL : 8.1.9.2 635252 Bytes 22.09.2010 12:20:26
AEPACK.DLL : 8.2.3.11 471416 Bytes 11.10.2010 13:37:55
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 17:26:14
AEHEUR.DLL : 8.1.2.41 3043703 Bytes 12.11.2010 15:06:39
AEHELP.DLL : 8.1.14.0 246134 Bytes 11.10.2010 13:37:32
AEGEN.DLL : 8.1.3.24 401781 Bytes 04.11.2010 11:26:55
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 15:42:38
AECORE.DLL : 8.1.17.0 196982 Bytes 25.09.2010 11:10:11
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 15:42:37
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 02.11.2010 13:19:59
AVSCPLR.DLL : 10.0.3.1 83816 Bytes 02.11.2010 13:19:59
AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 09:09:00
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.11.2010 13:19:58
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: D:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Mittwoch, 24. November 2010 17:53
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer.exe' - '84' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgrSub.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'DllHost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAANTMon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'VCDDaemon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'VESMgr.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'ISBMgr.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '111' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '105' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Users\***\AppData\Local\Temp\jar_cache7268862762375443631.tmp
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Remote.B
--> LwlzJs.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Remote.B
--> S__T_Ij.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.abj
--> vjOAPpiYCQB.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.A
C:\Users\***\DoctorWeb\Quarantine\401ce568-11556580
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.A
--> bpac/Bombapack.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.A
C:\Users\***\DoctorWeb\Quarantine\5982fcbe-2b9aa040
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agen.NA.1
--> AppletX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agen.NA.1
C:\Users\***\DoctorWeb\Quarantine\6fa8deaa-1929b2f0
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
C:\Users\***\DoctorWeb\Quarantine\jar_cache1943627153099591050.tmp
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
Beginne mit der Suche in 'D:\'
Beginne mit der Desinfektion:
C:\Users\***\DoctorWeb\Quarantine\jar_cache1943627153099591050.tmp
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5ced11.qua' verschoben!
C:\Users\***\DoctorWeb\Quarantine\6fa8deaa-1929b2f0
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52dac2b3.qua' verschoben!
C:\Users\***\DoctorWeb\Quarantine\5982fcbe-2b9aa040
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agen.NA.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '00ee9876.qua' verschoben!
C:\Users\***\DoctorWeb\Quarantine\401ce568-11556580
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '66e2d7af.qua' verschoben!
C:\Users\***\AppData\Local\Temp\jar_cache7268862762375443631.tmp
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2327faa2.qua' verschoben!
Ende des Suchlaufs: Mittwoch, 24. November 2010 18:20
Benötigte Zeit: 26:17 Minute(n)
Der Suchlauf wurde abgebrochen!
20226 Verzeichnisse wurden überprüft
331838 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
331831 Dateien ohne Befall
2596 Archive wurden durchsucht
0 Warnungen
5 Hinweise
|
|
25.11.2010, 13:18
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{a3f3637e-130c-11df-ac6b-0024beb51428}\Shell - "" = AutoRun
O33 - MountPoints2\{a3f3637e-130c-11df-ac6b-0024beb51428}\Shell\AutoRun\command - "" = I:\Launcher.exe -- File not found
O33 - MountPoints2\{a3f36380-130c-11df-ac6b-0024beb51428}\Shell - "" = AutoRun
O33 - MountPoints2\{a3f36380-130c-11df-ac6b-0024beb51428}\Shell\AutoRun\command - "" = G:\Setup.exe -- File not found
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:DFC5A2B2
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
25.11.2010, 18:31
| #6 |
| | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Gesagt, getan Code:
ATTFilter All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a3f3637e-130c-11df-ac6b-0024beb51428}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a3f3637e-130c-11df-ac6b-0024beb51428}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a3f3637e-130c-11df-ac6b-0024beb51428}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a3f3637e-130c-11df-ac6b-0024beb51428}\ not found.
File I:\Launcher.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a3f36380-130c-11df-ac6b-0024beb51428}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a3f36380-130c-11df-ac6b-0024beb51428}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a3f36380-130c-11df-ac6b-0024beb51428}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a3f36380-130c-11df-ac6b-0024beb51428}\ not found.
File G:\Setup.exe not found.
ADS C:\ProgramData\TEMP:DFC5A2B2 deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Pat
->Temp folder emptied: 65412743 bytes
->Temporary Internet Files folder emptied: 15843666 bytes
->Java cache emptied: 17993143 bytes
->FireFox cache emptied: 101537044 bytes
->Opera cache emptied: 98235 bytes
->Flash cache emptied: 41981 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 179957 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67698 bytes
RecycleBin emptied: 893667161 bytes
Total Files Cleaned = 1.044,00 mb
OTL by OldTimer - Version 3.2.17.3 log created on 11252010_182633
Files\Folders moved on Reboot...
C:\Users\Pat\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
Registry entries deleted on Reboot...
|
|
26.11.2010, 18:57
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
26.11.2010, 19:06
| #8 |
| | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Ok Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows 7 Professional
Windows Information: (build 7600), 64-bit
Base Board Manufacturer: Sony Corporation
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: Sony Corporation
System Product Name: VPCF11M1E
Logical Drives Mask: 0x0000007c
Kernel Drivers (total 206):
0x03065000 \SystemRoot\system32\ntoskrnl.exe
0x0301C000 \SystemRoot\system32\hal.dll
0x00B9F000 \SystemRoot\system32\kdcom.dll
0x00C66000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x00CAA000 \SystemRoot\system32\PSHED.dll
0x00CBE000 \SystemRoot\system32\CLFS.SYS
0x00D1C000 \SystemRoot\system32\CI.dll
0x00E0D000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00EB1000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x00EC0000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x00F17000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x00F20000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x00F2A000 \SystemRoot\system32\DRIVERS\pci.sys
0x00F5D000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x00F6A000 \SystemRoot\System32\drivers\partmgr.sys
0x00F7F000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x00F88000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x00F94000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x00C00000 \SystemRoot\System32\drivers\volmgrx.sys
0x00FA9000 \SystemRoot\System32\drivers\mountmgr.sys
0x0106F000 \SystemRoot\system32\DRIVERS\iaStor.sys
0x0118B000 \SystemRoot\system32\DRIVERS\atapi.sys
0x01194000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x011BE000 \SystemRoot\system32\DRIVERS\msahci.sys
0x011C9000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x011D9000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x01000000 \SystemRoot\system32\drivers\fltmgr.sys
0x0104C000 \SystemRoot\system32\drivers\fileinfo.sys
0x01230000 \SystemRoot\System32\Drivers\Ntfs.sys
0x01422000 \SystemRoot\System32\Drivers\msrpc.sys
0x01480000 \SystemRoot\System32\Drivers\ksecdd.sys
0x0149A000 \SystemRoot\System32\Drivers\cng.sys
0x0150D000 \SystemRoot\System32\drivers\pcw.sys
0x0151E000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x016D9000 \SystemRoot\system32\drivers\ndis.sys
0x01600000 \SystemRoot\system32\drivers\NETIO.SYS
0x01660000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x01802000 \SystemRoot\System32\drivers\tcpip.sys
0x0168B000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x017CB000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
0x01528000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x017DB000 \SystemRoot\System32\Drivers\spldr.sys
0x01574000 \SystemRoot\System32\drivers\rdyboost.sys
0x017E3000 \SystemRoot\System32\Drivers\mup.sys
0x017F5000 \SystemRoot\System32\drivers\hwpolicy.sys
0x015AE000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x015E8000 \SystemRoot\system32\DRIVERS\disk.sys
0x01200000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x02D8E000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x02DB8000 \SystemRoot\System32\Drivers\Null.SYS
0x02DC1000 \SystemRoot\System32\Drivers\Beep.SYS
0x02DC8000 \SystemRoot\System32\drivers\vga.sys
0x02DD6000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x02C00000 \SystemRoot\System32\drivers\watchdog.sys
0x02C10000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x02C19000 \SystemRoot\system32\drivers\rdpencdd.sys
0x02C22000 \SystemRoot\system32\drivers\rdprefmp.sys
0x02C2B000 \SystemRoot\System32\Drivers\Msfs.SYS
0x02C36000 \SystemRoot\System32\Drivers\Npfs.SYS
0x013D3000 \SystemRoot\system32\DRIVERS\tdx.sys
0x02C47000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x03A88000 \SystemRoot\system32\drivers\afd.sys
0x03B12000 \SystemRoot\System32\DRIVERS\netbt.sys
0x03B57000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x03B60000 \SystemRoot\system32\DRIVERS\pacer.sys
0x03B86000 \SystemRoot\system32\DRIVERS\vwififlt.sys
0x03B9C000 \SystemRoot\system32\DRIVERS\netbios.sys
0x03BAB000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x03BC6000 \SystemRoot\system32\DRIVERS\termdd.sys
0x03A00000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x03A51000 \SystemRoot\system32\drivers\nsiproxy.sys
0x03A5D000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x03A68000 \SystemRoot\System32\Drivers\ElbyCDIO.sys
0x03A73000 \SystemRoot\System32\drivers\discache.sys
0x040A2000 \SystemRoot\system32\drivers\csc.sys
0x04125000 \SystemRoot\System32\Drivers\dfsc.sys
0x04143000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x04154000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x04176000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x0486F000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x05393000 \SystemRoot\system32\DRIVERS\nvBridge.kmd
0x04222000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x04316000 \SystemRoot\System32\drivers\dxgmms1.sys
0x0435C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x04380000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x04391000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x056FA000 \SystemRoot\system32\DRIVERS\NETw5s64.sys
0x05DA7000 \SystemRoot\system32\DRIVERS\vwifibus.sys
0x05DB4000 \SystemRoot\system32\DRIVERS\sdbus.sys
0x05DD4000 \SystemRoot\system32\DRIVERS\rimssne64.sys
0x05600000 \SystemRoot\system32\DRIVERS\1394ohci.sys
0x0563E000 \SystemRoot\system32\DRIVERS\yk62x64.sys
0x056A2000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x056C0000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x05395000 \SystemRoot\system32\DRIVERS\Apfiltr.sys
0x056CF000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x056DE000 \SystemRoot\system32\DRIVERS\SFEP.sys
0x056E1000 \SystemRoot\System32\Drivers\ElbyCDFL.sys
0x043E7000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
0x04200000 \SystemRoot\system32\DRIVERS\intelppm.sys
0x056EF000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0x053D9000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x05DF4000 \SystemRoot\System32\Drivers\RootMdm.sys
0x053E9000 \SystemRoot\system32\drivers\modem.sys
0x04800000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x04816000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x04216000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x0483A000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x0419C000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x041B7000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x041D8000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x043F4000 \SystemRoot\system32\DRIVERS\RimSerial_AMD64.sys
0x041F2000 \SystemRoot\system32\DRIVERS\rdpbus.sys
0x04000000 \SystemRoot\system32\DRIVERS\VClone.sys
0x0400F000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS
0x05DFC000 \SystemRoot\system32\DRIVERS\swenum.sys
0x0403E000 \SystemRoot\system32\DRIVERS\ks.sys
0x04081000 \SystemRoot\system32\DRIVERS\umbus.sys
0x06064000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x060BE000 \SystemRoot\system32\DRIVERS\sffp_sd.sys
0x060C7000 \SystemRoot\system32\DRIVERS\sffdisk.sys
0x060D0000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x060E5000 \SystemRoot\system32\drivers\nvhda64v.sys
0x060FD000 \SystemRoot\system32\drivers\portcls.sys
0x0613A000 \SystemRoot\system32\drivers\drmk.sys
0x0615C000 \SystemRoot\system32\drivers\ksthunk.sys
0x07877000 \SystemRoot\system32\drivers\RTKVHD64.sys
0x07A92000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x07AAF000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x07AB1000 \SystemRoot\System32\Drivers\usbvideo.sys
0x07ADF000 \SystemRoot\System32\Drivers\fastfat.SYS
0x00020000 \SystemRoot\System32\win32k.sys
0x07B15000 \SystemRoot\System32\drivers\Dxapi.sys
0x07B21000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x07B2F000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x07B48000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x07B51000 \SystemRoot\system32\DRIVERS\mouhid.sys
0x07B5E000 \SystemRoot\system32\DRIVERS\monitor.sys
0x00470000 \SystemRoot\System32\TSDDD.dll
0x006B0000 \SystemRoot\System32\cdd.dll
0x07B6C000 \SystemRoot\System32\Drivers\crashdmp.sys
0x02C54000 \SystemRoot\System32\Drivers\dump_iaStor.sys
0x07B7A000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x07B8D000 \SystemRoot\system32\drivers\luafv.sys
0x07BB0000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x07BCD000 \SystemRoot\system32\drivers\WudfPf.sys
0x07800000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x07815000 \SystemRoot\system32\DRIVERS\nwifi.sys
0x06162000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0x06175000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x07868000 \SystemRoot\system32\DRIVERS\TurboB.sys
0x03C33000 \SystemRoot\system32\drivers\HTTP.sys
0x03CFB000 \SystemRoot\system32\DRIVERS\bowser.sys
0x03D19000 \SystemRoot\System32\drivers\mpsdrv.sys
0x03D31000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x03D5E000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x03DAC000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x07CF6000 \SystemRoot\system32\drivers\peauth.sys
0x07D9C000 \SystemRoot\System32\Drivers\secdrv.SYS
0x07DA7000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x07DD4000 \SystemRoot\System32\drivers\tcpipreg.sys
0x07DE6000 \SystemRoot\system32\DRIVERS\vwifimp.sys
0x07C00000 \SystemRoot\System32\DRIVERS\srv2.sys
0x082DA000 \SystemRoot\System32\DRIVERS\srv.sys
0x08370000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
0x08271000 \SystemRoot\system32\DRIVERS\asyncmac.sys
0x77710000 \Windows\System32\ntdll.dll
0x48040000 \Windows\System32\smss.exe
0xFFA30000 \Windows\System32\apisetschema.dll
0xFF4A0000 \Windows\System32\autochk.exe
0x778E0000 \Windows\System32\normaliz.dll
0xFF810000 \Windows\System32\ole32.dll
0x775F0000 \Windows\System32\kernel32.dll
0xFF7C0000 \Windows\System32\Wldap32.dll
0xFF770000 \Windows\System32\ws2_32.dll
0xFF700000 \Windows\System32\gdi32.dll
0xFF6E0000 \Windows\System32\imagehlp.dll
0xFF480000 \Windows\System32\iertutil.dll
0xFF470000 \Windows\System32\nsi.dll
0xFF460000 \Windows\System32\lpk.dll
0xFF380000 \Windows\System32\advapi32.dll
0x778D0000 \Windows\System32\psapi.dll
0xFF2A0000 \Windows\System32\oleaut32.dll
0x774F0000 \Windows\System32\user32.dll
0xFF270000 \Windows\System32\imm32.dll
0xFF160000 \Windows\System32\msctf.dll
0xFEFE0000 \Windows\System32\urlmon.dll
0xFEF10000 \Windows\System32\usp10.dll
0xFEE70000 \Windows\System32\clbcatq.dll
0xFEDD0000 \Windows\System32\msvcrt.dll
0xFED50000 \Windows\System32\difxapi.dll
0xFDFC0000 \Windows\System32\shell32.dll
0xFDFA0000 \Windows\System32\sechost.dll
0xFDE70000 \Windows\System32\wininet.dll
0xFDDF0000 \Windows\System32\shlwapi.dll
0xFDCC0000 \Windows\System32\rpcrt4.dll
0xFDC20000 \Windows\System32\comdlg32.dll
0xFDA40000 \Windows\System32\setupapi.dll
0xFD8D0000 \Windows\System32\crypt32.dll
0xFD860000 \Windows\System32\KernelBase.dll
0xFD820000 \Windows\System32\cfgmgr32.dll
0xFD780000 \Windows\System32\comctl32.dll
0xFD760000 \Windows\System32\devobj.dll
0xFD720000 \Windows\System32\wintrust.dll
0xFD710000 \Windows\System32\msasn1.dll
0x76C60000 \Windows\SysWOW64\normaliz.dll
Processes (total 73):
0 System Idle Process
4 System
316 C:\Windows\System32\smss.exe
544 csrss.exe
604 C:\Windows\System32\wininit.exe
632 csrss.exe
668 C:\Windows\System32\services.exe
692 C:\Windows\System32\lsass.exe
700 C:\Windows\System32\lsm.exe
804 C:\Windows\System32\svchost.exe
904 C:\Windows\System32\nvvsvc.exe
944 C:\Windows\System32\svchost.exe
1004 C:\Windows\System32\svchost.exe
288 C:\Windows\System32\svchost.exe
364 C:\Windows\System32\svchost.exe
696 C:\Windows\System32\audiodg.exe
1140 C:\Windows\System32\svchost.exe
1248 C:\Windows\System32\svchost.exe
1308 C:\Windows\System32\winlogon.exe
1416 C:\Windows\System32\nvvsvc.exe
1464 C:\Windows\System32\wlanext.exe
1472 C:\Windows\System32\conhost.exe
1572 C:\Windows\System32\spoolsv.exe
1608 D:\Programme\Avira\AntiVir Desktop\sched.exe
1628 C:\Windows\System32\svchost.exe
1688 C:\Windows\System32\svchost.exe
1756 D:\Programme\Avira\AntiVir Desktop\avguard.exe
1836 C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
1856 C:\Program Files (x86)\Bonjour\mDNSResponder.exe
1888 C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
1924 C:\Program Files\Intel\WiFi\bin\EvtEng.exe
1976 D:\Programme\Avira\AntiVir Desktop\avshadow.exe
1984 C:\Windows\System32\conhost.exe
1224 C:\Windows\System32\taskhost.exe
2068 C:\Windows\System32\dwm.exe
2100 C:\Windows\explorer.exe
2136 C:\Windows\System32\taskeng.exe
2152 C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
2216 C:\Windows\System32\taskeng.exe
2248 C:\Program Files\Sony\VAIO Care\VAIOCareService.exe
2260 C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
2368 D:\Programme\TeamViewer\Version5\TeamViewer_Service.exe
2568 C:\Program Files (x86)\Sony\VAIO Event Service\VESMgr.exe
2736 dllhost.exe
2836 unsecapp.exe
2856 C:\Program Files\Sony\VAIO Power Management\SPMService.exe
2916 C:\Program Files (x86)\Sony\VAIO Event Service\VESMgrSub.exe
2096 WmiPrvSE.exe
2116 WUDFHost.exe
3188 D:\Programme\TeamViewer\Version5\TeamViewer.exe
3312 C:\Windows\System32\SearchIndexer.exe
3544 C:\Program Files\Apoint\Apoint.exe
3568 C:\Program Files\Windows Sidebar\sidebar.exe
3628 C:\Windows\System32\StikyNot.exe
3912 C:\Program Files\Apoint\ApMsgFwd.exe
3952 C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe
4020 D:\Programme\Avira\AntiVir Desktop\avgnt.exe
4052 D:\Programme\Virtual Clone Drive\VCDDaemon.exe
3096 C:\Program Files\Apoint\Apvfb.exe
3452 C:\Program Files\Intel\TurboBoost\TurboBoost.exe
3668 C:\Program Files\Apoint\ApntEx.exe
3704 C:\Windows\System32\conhost.exe
3936 D:\Programme\Opera\opera.exe
4464 C:\Program Files\Sony\VAIO Care\VCsystray.exe
4320 C:\Windows\System32\svchost.exe
4640 C:\Windows\System32\taskmgr.exe
4892 C:\Windows\System32\SearchProtocolHost.exe
4080 C:\Windows\System32\SearchFilterHost.exe
2456 C:\Windows\System32\mobsync.exe
1816 dllhost.exe
3028 dllhost.exe
4520 C:\Users\Pat\Desktop\MBRCheck.exe
4196 C:\Windows\System32\conhost.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`86b00000 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000d`f0900000 (NTFS)
PhysicalDrive0 Model Number: FUJITSUMJA2500BHG1, Rev: 0041001A
Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
Done!
|
|
26.11.2010, 19:25
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
27.11.2010, 16:50
| #10 |
| | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden?Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 11/27/2010 at 04:45 PM
Application Version : 4.46.1000
Core Rules Database Version : 5919
Trace Rules Database Version: 3731
Scan type : Complete Scan
Total Scan Time : 01:51:32
Memory items scanned : 638
Memory threats detected : 0
Registry items scanned : 14285
Registry threats detected : 0
File items scanned : 301295
File threats detected : 0
Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 5199
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
27.11.2010 14:39:11
mbam-log-2010-11-27 (14-39-11).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 436714
Laufzeit: 50 Minute(n), 29 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Kann/Soll ich sonst noch irgendwas machen? Ansonsten auf jeden Fall schon mal ein dickes Dankeschön! |
|
27.11.2010, 17:19
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Sieht ok aus. Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
27.11.2010, 18:14
| #12 |
| | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Hm, bin jetzt zum ersten mal wieder richtig mit dem PC online gegangen und die Windows Firewall hatte nachgefragt, ob ich ICQ zulassen will. Weiß nicht, ob das was zu sagen hat. Fands nur etwas komisch, da ICQ halt schon immer zugelassen war und ich an der Einstellung nichts geändert habe. Oder hat vielleicht eines der Antiviren-Programme die Einstellungen zur Sicherheit geändert? Ansonsten siehts prima aus  |
|
27.11.2010, 18:28
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Dann wären wir durch!  Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
27.11.2010, 19:47
| #14 |
| | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Okay, Anweisungen befolgt Super, ich bedanke mich nochmal recht herzlich! --> Erledigt |
|
| Themen zu Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? |
| 64-bit, ad-aware, adblock, alternate, antivir, ausgelastet, avgntflt.sys, avira, backdoor, backdoor:win32/cycbot.b, bho, bonjour, c:\windows\system32\rundll32.exe, call of duty, dwm.exe, error, excel, fehler, firefox, firefox.exe, flash player, helper, iastor.sys, ieframe.dll, install.exe, internet, jdownloader, langs, location, logfile, microsoft office word, mozilla, object, oldtimer, opera.exe, otl log, otl.exe, plug-in, programdata, realtek, registry, remote control, remote software, saver, scan, schattenkopien, sched.exe, shell32.dll, shortcut, software, svchost.exe, system, system neu, syswow64, trojaner, usbaapl64, vlc media player, webcheck, windows |
Linear-Darstellung
