| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
26.12.2010, 13:02
| #1 |
 |  TR/Crypt.ZPACK.Gen Hi Forum, Ich bin neu hier und ich weiß nicht ob es dieses thema schoon gibt, aber seit gestern kommt immer wieder die Warnung: Guard: Malware Gefunden... Jede minute oder sogar öfters In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\VsgAVlkEhsnmOcX.dll' wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.ZPACK.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern Habe das komplette System mit Avira Antivir Personal durchsuchen lassen aber es ist nichts passiert Was soll ich denn jetzt machen ? LG Joscha_ |
|
26.12.2010, 20:34
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | TR/Crypt.ZPACK.Gen Hallo und
__________________ Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
|
26.12.2010, 22:08
| #3 |
| | TR/Crypt.ZPACK.Gen Malwarebytes' Anti-Malware 1.50.1.1100
__________________www.malwarebytes.org Datenbank Version: 5399 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 26.12.2010 22:06:40 mbam-log-2010-12-26 (22-06-39).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 220739 Laufzeit: 45 Minute(n), 35 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\glaide32 (Rootkit.Rustock) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ElkTBhTOiqUEWYN.exe (Trojan.FakeAlert) -> Value: ElkTBhTOiqUEWYN.exe -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\2747171 (Rogue.FakeHDD) -> Value: 2747171 -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\vsgavlkehsnmocx.dll (Rogue.FakeHDD) -> Delete on reboot. c:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\elktbhtoiquewyn.exe (Trojan.FakeAlert) -> Delete on reboot. c:\dokumente und einstellungen\***\lokale einstellungen\Temp\2747171.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\***\anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully. |
|
26.12.2010, 22:21
| #4 |
| | TR/Crypt.ZPACK.Gen Hier die Logs von OTL.exe OTL Logfile: Code:
ATTFilter OTL logfile created on: 26.12.2010 22:27:01 - Run 2 OTL by OldTimer - Version 3.2.18.0 Folder = C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.014,00 Mb Total Physical Memory | 583,00 Mb Available Physical Memory | 58,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 83,40 Gb Total Space | 58,44 Gb Free Space | 70,07% Space Free | Partition Type: NTFS Drive D: | 9,76 Gb Total Space | 2,54 Gb Free Space | 26,07% Space Free | Partition Type: NTFS Computer Name: LUKAS | User Name: Lukas Hartmann | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe (TuneUp Software) PRC - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe () PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATICAE.EXE (SEIKO EPSON CORPORATION) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (pxsgyax) -- C:\WINDOWS\System32\rnhsv.dll File not found SRV - (lskjmtgcd) -- C:\WINDOWS\System32\rnhsv.dll File not found SRV - (lrcimqdol) -- C:\WINDOWS\System32\rnhsv.dll File not found SRV - (jmfue) -- C:\WINDOWS\System32\rnhsv.dll File not found SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (djlgfa) -- C:\WINDOWS\System32\rnhsv.dll File not found SRV - (adbhgx) -- C:\WINDOWS\System32\rnhsv.dll File not found SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (TuneUp.Defrag) -- C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe (TuneUp Software) SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (TuneUp.UtilitiesSvc) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (TuneUp Software) SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software) SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe () SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (TuneUpUtilitiesDrv) -- C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys (TuneUp Software) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (ZD1211BU(ZyDAS)) ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS) -- C:\WINDOWS\system32\drivers\ZD1211BU.sys (ZyDAS Technology Corporation) DRV - (NETw3x32) Intel(R) -- C:\WINDOWS\system32\drivers\NETw3x32.sys (Intel® Corporation) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.) DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.) DRV - (HSFHWAZL) -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.) DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.) DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.) DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation ) DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2269050 IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.defaultthis.engineName: "Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledItems: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f}:2.5.8.6 FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198 FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=" FF - HKLM\software\mozilla\Mozilla Firefox 3.5.16\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.11 00:21:11 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.16\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.11 00:21:11 | 000,000,000 | ---D | M] [2009.09.07 17:07:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Extensions [2010.12.26 12:59:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\extensions [2009.09.14 16:55:09 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.05.30 17:14:41 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} [2010.05.30 17:15:06 | 000,000,881 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\searchplugins\conduit.xml [2010.12.23 12:22:41 | 000,000,958 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\searchplugins\icqplugin.xml [2010.12.26 13:00:00 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2009.09.07 17:32:46 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2010.03.29 23:37:15 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} [2010.09.18 10:08:56 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.09.18 10:08:56 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.09.18 10:08:56 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.09.18 10:08:56 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.09.18 10:08:56 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.03.24 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.) O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.) O4 - HKCU..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE (SEIKO EPSON CORPORATION) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.) O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe (ICQ, LLC.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161947797234 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation) O24 - Desktop Components:0 () - file:///C:/Dokumente%20und%20Einstellungen/Lukas%20Hartmann/Desktop/FB1C39B7652FD381116FD68FE20D5131 O24 - Desktop Components:1 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.10.26 10:48:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\Shell - "" = AutoRun O33 - MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\Shell - "" = AutoRun O33 - MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\Shell\AutoRun - "" = Auto&Play O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: blasgini - (C:\WINDOWS\system32\autoycfg.dll) - C:\WINDOWS\System32\autoycfg.dll File not found O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.12.26 21:18:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Malwarebytes [2010.12.26 21:18:15 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.12.26 21:18:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.12.26 21:18:11 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.12.26 21:18:10 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.12.26 21:17:07 | 007,734,208 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\mbam-setup.exe [2010.12.26 21:15:57 | 000,602,624 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OTL.exe [2010.12.26 21:14:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Text Malware [2010.12.26 19:40:54 | 000,000,000 | ---D | C] -- C:\WINDOWS\setup.pss [2010.12.25 21:04:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Lukas Musik [2010.12.15 15:34:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\Neuer Ordner (3) [2010.12.15 15:34:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\Neuer Ordner (2) [2010.12.15 13:15:30 | 000,045,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wab.exe [2010.12.15 13:15:19 | 000,040,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ndproxy.sys [2010.12.12 22:57:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\PS3 [2010.12.11 12:40:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\thomas cook.php-Dateien [2010.12.09 23:55:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\OpenOffice.org [2010.12.09 23:52:42 | 000,000,000 | ---D | C] -- C:\Programme\OpenOffice.org 3 [2010.12.09 23:51:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OpenOffice.org 3.2 (de) Installation Files [2010.12.09 21:29:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Joschas Ordner [2010.12.06 20:31:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\PAC207 [2010.12.06 20:31:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\Downloaded Installations [2010.12.06 20:18:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\Default album [2010.11.28 20:55:54 | 000,000,000 | ---D | C] -- C:\Programme\iPod [2010.11.28 20:55:49 | 000,000,000 | ---D | C] -- C:\Programme\iTunes [2010.11.28 20:52:51 | 000,000,000 | ---D | C] -- C:\Programme\QuickTime [2010.11.28 20:51:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Apple Computer [2010.11.28 20:50:50 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour [9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.12.26 22:11:31 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.12.26 22:10:57 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.12.26 22:10:56 | 1063,256,064 | -HS- | M] () -- C:\hiberfil.sys [2010.12.26 21:18:15 | 000,000,760 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.12.26 21:17:49 | 007,734,208 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\mbam-setup.exe [2010.12.26 21:16:02 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\OTL.exe [2010.12.26 21:03:51 | 000,001,500 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\CCleaner.lnk [2010.12.26 20:12:30 | 000,000,319 | -HS- | M] () -- C:\boot.ini [2010.12.26 18:02:23 | 000,000,847 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Scanner.lnk [2010.12.26 15:19:26 | 000,000,476 | -H-- | M] () -- C:\WINDOWS\tasks\Norton Security Scan for Lukas Hartmann.job [2010.12.26 13:40:20 | 000,135,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.12.26 12:24:12 | 003,091,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\IMG_2747.jpg [2010.12.25 23:49:29 | 000,135,096 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2010.12.25 11:07:03 | 000,004,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\wklnhst.dat [2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.12.19 14:09:46 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.12.19 14:08:39 | 000,013,785 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Her Holen OpenOffice.odt [2010.12.17 17:29:38 | 000,179,448 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.12.17 15:23:18 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.12.13 16:46:55 | 000,010,752 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\hii.wps [2010.12.11 12:40:30 | 000,120,978 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\thomas cook.php.htm [2010.12.11 09:52:07 | 001,000,181 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\kp was es ist.JPG [2010.12.11 09:49:48 | 000,846,788 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\hiiiiiiiiiiiiiiii.JPG [2010.12.11 09:47:05 | 000,558,573 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\2tes geiles bild.JPG [2010.12.11 09:45:23 | 000,878,361 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\geiles bild.JPG [2010.12.08 23:50:01 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2010.12.08 23:25:55 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Skype.lnk [2010.11.28 20:56:42 | 000,001,526 | ---- | M] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\iTunes.lnk [2010.11.28 20:53:11 | 000,001,588 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk [9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.12.26 21:18:15 | 000,000,760 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.12.26 18:02:23 | 000,000,847 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Scanner.lnk [2010.12.26 13:40:51 | 003,091,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\IMG_2747.jpg [2010.12.19 14:07:43 | 000,013,785 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\Her Holen OpenOffice.odt [2010.12.13 16:46:55 | 000,010,752 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\hii.wps [2010.12.11 12:40:28 | 000,120,978 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\thomas cook.php.htm [2010.12.11 09:52:06 | 001,000,181 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\kp was es ist.JPG [2010.12.11 09:49:48 | 000,846,788 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\hiiiiiiiiiiiiiiii.JPG [2010.12.11 09:47:05 | 000,558,573 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\2tes geiles bild.JPG [2010.12.11 09:45:20 | 000,878,361 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\geiles bild.JPG [2010.11.28 20:53:11 | 000,001,588 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk [2009.12.25 10:27:08 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI [2009.11.26 16:14:05 | 000,000,013 | ---- | C] () -- C:\WINDOWS\TEXTware.ini [2009.11.26 16:14:01 | 000,115,200 | ---- | C] () -- C:\WINDOWS\System32\UnzDll.dll [2009.11.26 16:13:58 | 000,209,408 | ---- | C] () -- C:\WINDOWS\System32\TWASBB01.DLL [2009.11.26 16:13:58 | 000,017,920 | ---- | C] () -- C:\WINDOWS\System32\TWAIED02.DLL [2009.11.26 16:13:58 | 000,009,216 | ---- | C] () -- C:\WINDOWS\System32\TWASFI.DLL [2009.11.26 16:13:57 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\TWAVBX32.DLL [2009.11.26 16:13:56 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\ILXTBS.DLL [2009.11.26 16:12:10 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll [2009.10.10 15:34:23 | 000,004,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\wklnhst.dat [2009.09.29 15:29:06 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2009.09.10 14:55:33 | 000,135,168 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.09.07 16:57:46 | 000,000,147 | ---- | C] () -- C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2006.10.30 10:40:12 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2006.10.27 12:13:10 | 000,001,000 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2006.10.27 11:46:23 | 000,004,704 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2006.10.27 11:46:23 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\56BA1BC9C6.sys [2006.10.27 11:24:03 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2006.10.26 11:34:12 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2005.08.05 13:26:04 | 000,235,008 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2004.09.28 22:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll [2004.01.08 10:30:22 | 000,011,170 | ---- | C] () -- C:\WINDOWS\System32\PA207USD.DLL ========== LOP Check ========== [2009.09.14 18:34:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON [2010.03.18 18:04:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2009.10.22 12:35:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters [2010.08.21 11:42:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software [2009.10.22 12:35:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UAB [2010.12.14 21:36:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip [2010.05.14 14:54:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2010.08.21 11:41:09 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} [2010.12.26 13:09:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\ICQ [2010.12.09 23:55:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\OpenOffice.org [2009.10.10 15:34:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\Template [2010.08.21 11:42:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Lukas Hartmann\Anwendungsdaten\TuneUp Software ========== Purity Check ========== < End of report > --- --- --- OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 26.12.2010 22:27:01 - Run 2
OTL by OldTimer - Version 3.2.18.0 Folder = C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop
Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1.014,00 Mb Total Physical Memory | 583,00 Mb Available Physical Memory | 58,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 83,40 Gb Total Space | 58,44 Gb Free Space | 70,07% Space Free | Partition Type: NTFS
Drive D: | 9,76 Gb Total Space | 2,54 Gb Free Space | 26,07% Space Free | Partition Type: NTFS
Computer Name: LUKAS | User Name: Lukas Hartmann | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
"3553:TCP" = 3553:TCP:*:Enabled:wtqwhca
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\MSN Messenger\msnmsgr.exe" = C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.5 -- File not found
"C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, LLC.)
"C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\ICQ7.0\ICQ.exe" = C:\Programme\ICQ7.0\ICQ.exe:*:Enabled:ICQ7 -- (ICQ, LLC.)
"C:\Programme\ICQ7.0\aolload.exe" = C:\Programme\ICQ7.0\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2A981294-F14C-4F0F-9627-D793270922F8}" = Bonjour
"{308B6AEA-DE50-4666-996D-0FA461719D6B}" = Apple Mobile Device Support
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{43DCF766-6838-4F9A-8C91-D92DA586DFA8}" = Microsoft Windows-Journal-Viewer
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{76EFFC7C-17A6-479D-9E47-8E658C1695AE}" = Windows-Sicherungsprogramm
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Pro
"{7EE873AF-46BB-4B5D-BA6F-CFE4B0566E22}" = TuneUp Utilities Language Pack (de-DE)
"{88EB38EF-4D2C-436D-ABD3-56B232674062}" = ICQ7
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{90840407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Excel Viewer 2003
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A70800000002}" = Adobe Reader 7.0.8 - Deutsch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}" = TuneUp Utilities
"{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FAE36873-1941-4076-A9A5-48812B5EA0B7}" = iTunes
"1F811665-E818-4956-9173-35CD47C9DCE0" = Otto
"7A1E1C4F-CC6F-4BF0-BB81-7CFC3F655564" = GemMaster Mystic
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner (remove only)
"CNXT_MODEM_PCI_VEN_14F1&DEV_2C06&SUBSYS_14F10000" = Soft Modem with SmartCP
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"ICQToolbar" = ICQ Toolbar
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.16)" = Mozilla Firefox (3.5.16)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NSS" = Norton Security Scan
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TuneUp Utilities" = TuneUp Utilities
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMCSetup" = Windows Media Connect
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"UnityWebPlayer" = Unity Web Player
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 26.12.2010 04:11:47 | Computer Name = LUKAS | Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070422" (konvertiert
in 0x800423f4) fehlgeschlagen.
Error - 26.12.2010 11:24:59 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 26.12.2010 15:49:31 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 26.12.2010 15:49:31 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 26.12.2010 15:49:31 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 26.12.2010 15:49:31 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 26.12.2010 16:06:05 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 26.12.2010 16:06:05 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 26.12.2010 16:06:05 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{7B849a69-220F-451E-B3FE-2CB811AF94AE}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
Error - 26.12.2010 16:06:05 | Computer Name = LUKAS | Source = Userenv | ID = 1041
Description = Der Registrierungseintrag DllName konnte für "{CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D}"
nicht abgerufen und daher auch nicht geladen werden. Dies wurde wahrscheinlich
durch eine fehlerhafte Registrierung verursacht.
[ System Events ]
Error - 25.12.2010 18:58:28 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
mit den Argumenten "-Service" gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
Error - 25.12.2010 18:58:30 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
mit den Argumenten "-Service" gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
Error - 25.12.2010 18:58:33 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
mit den Argumenten "-Service" gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
Error - 25.12.2010 18:58:37 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
mit den Argumenten "-Service" gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
Error - 25.12.2010 18:58:39 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
mit den Argumenten "-Service" gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
Error - 25.12.2010 18:59:20 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
mit den Argumenten "-Service" gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
Error - 25.12.2010 19:42:24 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
mit den Argumenten "-Service" gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
Error - 26.12.2010 04:11:43 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
mit den Argumenten "-Service" gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
Error - 26.12.2010 04:11:46 | Computer Name = LUKAS | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "ntmssvc"
mit den Argumenten "-Service" gestartet wurde, um den folgenden Server zu verwenden:
{D61A27C6-8F53-11D0-BFA0-00A024151983}
Error - 26.12.2010 17:11:08 | Computer Name = LUKAS | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
< End of report >
Geändert von Joscha_ (26.12.2010 um 22:36 Uhr) |
|
27.12.2010, 11:56
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
SRV - (pxsgyax) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (lskjmtgcd) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (lrcimqdol) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (jmfue) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (djlgfa) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (adbhgx) -- C:\WINDOWS\System32\rnhsv.dll File not found
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp
O33 - MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\Shell - "" = AutoRun
O33 - MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\Shell - "" = AutoRun
O33 - MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\Shell\AutoRun - "" = Auto&Play
O36 - AppCertDlls: blasgini - (C:\WINDOWS\system32\autoycfg.dll) - C:\WINDOWS\System32\autoycfg.dll File not found
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
27.12.2010, 12:39
| #6 |
| | TR/Crypt.ZPACK.Gen All processes killed ========== OTL ========== Service pxsgyax stopped successfully! Service pxsgyax deleted successfully! File C:\WINDOWS\System32\rnhsv.dll File not found not found. Service lskjmtgcd stopped successfully! Service lskjmtgcd deleted successfully! File C:\WINDOWS\System32\rnhsv.dll File not found not found. Service lrcimqdol stopped successfully! Service lrcimqdol deleted successfully! File C:\WINDOWS\System32\rnhsv.dll File not found not found. Service jmfue stopped successfully! Service jmfue deleted successfully! File C:\WINDOWS\System32\rnhsv.dll File not found not found. Service djlgfa stopped successfully! Service djlgfa deleted successfully! File C:\WINDOWS\System32\rnhsv.dll File not found not found. Service adbhgx stopped successfully! Service adbhgx deleted successfully! File C:\WINDOWS\System32\rnhsv.dll File not found not found. Service ICQ Service stopped successfully! Service ICQ Service deleted successfully! C:\Programme\ICQ6Toolbar\ICQ Service.exe moved successfully. Prefs.js: "ICQ Search" removed from browser.search.defaultenginename Prefs.js: "Search" removed from browser.search.defaultthis.engineName Prefs.js: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\\WallPaper deleted successfully. C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp moved successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\\BackupWallPaper deleted successfully. File C:\Dokumente und Einstellungen\Lukas Hartmann\Lokale Einstellungen\Temp\2747171.bmp not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b69bf4ce-72fa-11df-80f6-0018de79d0a9}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f0bcaeaa-a145-11de-bfea-0018de79d0a9}\ not found. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\blasgini:C:\WINDOWS\system32\autoycfg.dll deleted successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 131072 bytes ->Flash cache emptied: 348 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 131206 bytes ->Flash cache emptied: 348 bytes User: LocalService ->Temp folder emptied: 65984 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: Lukas Hartmann ->Temp folder emptied: 126922700 bytes ->Temporary Internet Files folder emptied: 14981983 bytes ->Java cache emptied: 3513201 bytes ->FireFox cache emptied: 108975206 bytes ->Flash cache emptied: 40886 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32969 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1240390 bytes %systemroot%\System32 .tmp files removed: 4411783 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1624 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 248,00 mb OTL by OldTimer - Version 3.2.18.0 log created on 12272010_123422 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
|
27.12.2010, 14:32
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
28.12.2010, 16:09
| #8 |
| | TR/Crypt.ZPACK.Gen Combofix Logfile: Code:
ATTFilter ComboFix 10-12-26.01 - Lukas Hartmann 28.12.2010 16:01:00.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.659 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Lukas Hartmann\Desktop\cofi.exe.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\Oeminfo.ini
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-28 bis 2010-12-28 ))))))))))))))))))))))))))))))
.
2010-12-27 11:34 . 2010-12-27 11:34 -------- d-----w- C:\_OTL
2010-12-26 20:18 . 2010-12-26 20:18 -------- d-----w- c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\Malwarebytes
2010-12-26 20:18 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-26 20:18 . 2010-12-26 20:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-26 20:18 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-26 20:18 . 2010-12-26 20:18 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-12-15 12:15 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2010-12-15 12:15 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2010-12-09 22:55 . 2010-12-09 22:55 -------- d-----w- c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\OpenOffice.org
2010-12-09 22:52 . 2010-12-09 22:52 -------- d-----w- c:\programme\OpenOffice.org 3
2010-12-06 19:31 . 2010-12-06 19:54 -------- d-----w- c:\windows\PAC207
2010-12-06 19:31 . 2010-12-06 19:31 -------- d-----w- c:\windows\Downloaded Installations
2010-11-28 19:55 . 2010-11-28 19:55 -------- d-----w- c:\programme\iPod
2010-11-28 19:55 . 2010-11-28 19:56 -------- d-----w- c:\programme\iTunes
2010-11-28 19:51 . 2010-11-28 19:51 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Apple Computer
2010-11-28 19:50 . 2010-11-28 19:50 -------- d-----w- c:\programme\Bonjour
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-25 22:49 . 2009-09-14 16:20 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-23 15:29 . 2009-09-14 16:20 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2006-10-26 09:45 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-05 05:04 . 2006-03-24 12:00 672768 ----a-w- c:\windows\system32\wininet.dll
2010-11-05 05:04 . 2006-03-24 12:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2010-11-05 05:04 . 2009-10-22 10:57 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-11-05 05:02 . 2006-03-24 12:00 371200 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2006-03-24 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2006-03-24 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2006-03-24 12:00 1853440 ----a-w- c:\windows\system32\win32k.sys
2010-10-07 11:23 . 2010-10-07 11:23 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-10-07 11:23 . 2010-10-07 11:23 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-09-30 15:03 . 2010-08-21 10:42 30528 ----a-w- c:\windows\system32\TURegOpt.exe
2010-09-30 14:58 . 2010-10-02 06:53 30016 ----a-w- c:\windows\system32\uxtuneup.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 16207872]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-16 761945]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-23 281768]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 10:17 421888 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"ICQ"="c:\programme\ICQ7.0\ICQ.exe" silent loginmode=4
"WMPNSCFG"=c:\programme\Windows Media Player\WMPNSCFG.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=c:\programme\Java\jre1.5.0_06\bin\jusched.exe
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3553:TCP"= 3553:TCP:wtqwhca
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.09.2009 17:20 135336]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 06:24 10064]
S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [30.09.2010 16:01 1051968]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
pnvsv
yunpd
.
Inhalt des "geplante Tasks" Ordners
2010-12-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
2010-12-26 c:\windows\Tasks\Norton Security Scan for Lukas Hartmann.job
- c:\programme\Norton Security Scan\Engine\2.7.3.34\Nss.exe [2010-10-09 07:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DVDVideoSoft Toolbar: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - %profile%\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-28 16:04
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-12-28 16:05:59
ComboFix-quarantined-files.txt 2010-12-28 15:05
Vor Suchlauf: 8 Verzeichnis(se), 62.916.526.080 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 62.927.781.888 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
- - End Of File - - 2450A751AFF409826EEBC4E63CE1E08F
|
|
28.12.2010, 19:18
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Netsvc::
pnvsv
yunpd
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
28.12.2010, 19:52
| #10 |
| | TR/Crypt.ZPACK.Gen Combofix Logfile: Code:
ATTFilter ComboFix 10-12-26.01 - Lukas Hartmann 28.12.2010 19:37:47.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.652 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Lukas Hartmann\Desktop\cofi.exe.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Lukas Hartmann\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
((((((((((((((((((((((( Dateien erstellt von 2010-11-28 bis 2010-12-28 ))))))))))))))))))))))))))))))
.
2010-12-27 11:34 . 2010-12-27 11:34 -------- d-----w- C:\_OTL
2010-12-26 20:18 . 2010-12-26 20:18 -------- d-----w- c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\Malwarebytes
2010-12-26 20:18 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-26 20:18 . 2010-12-26 20:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-12-26 20:18 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-12-26 20:18 . 2010-12-26 20:18 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-12-15 12:15 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe
2010-12-15 12:15 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys
2010-12-09 22:55 . 2010-12-09 22:55 -------- d-----w- c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\OpenOffice.org
2010-12-09 22:52 . 2010-12-09 22:52 -------- d-----w- c:\programme\OpenOffice.org 3
2010-12-06 19:31 . 2010-12-06 19:54 -------- d-----w- c:\windows\PAC207
2010-12-06 19:31 . 2010-12-06 19:31 -------- d-----w- c:\windows\Downloaded Installations
2010-11-28 19:55 . 2010-11-28 19:55 -------- d-----w- c:\programme\iPod
2010-11-28 19:55 . 2010-11-28 19:56 -------- d-----w- c:\programme\iTunes
2010-11-28 19:51 . 2010-11-28 19:51 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Apple Computer
2010-11-28 19:50 . 2010-11-28 19:50 -------- d-----w- c:\programme\Bonjour
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-25 22:49 . 2009-09-14 16:20 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys
2010-11-23 15:29 . 2009-09-14 16:20 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-11-18 18:12 . 2006-10-26 09:45 86016 ----a-w- c:\windows\system32\isign32.dll
2010-11-05 05:04 . 2006-03-24 12:00 672768 ----a-w- c:\windows\system32\wininet.dll
2010-11-05 05:04 . 2006-03-24 12:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2010-11-05 05:04 . 2009-10-22 10:57 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-11-05 05:02 . 2006-03-24 12:00 371200 ----a-w- c:\windows\system32\html.iec
2010-11-02 15:17 . 2006-03-24 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys
2010-10-28 13:12 . 2006-03-24 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-10-26 14:05 . 2006-03-24 12:00 1853440 ----a-w- c:\windows\system32\win32k.sys
2010-10-07 11:23 . 2010-10-07 11:23 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-10-07 11:23 . 2010-10-07 11:23 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-09-30 15:03 . 2010-08-21 10:42 30528 ----a-w- c:\windows\system32\TURegOpt.exe
2010-09-30 14:58 . 2010-10-02 06:53 30016 ----a-w- c:\windows\system32\uxtuneup.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 16207872]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-16 761945]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-23 281768]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-09-08 10:17 421888 ----a-w- c:\programme\QuickTime\QTTask.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" /background
"ICQ"="c:\programme\ICQ7.0\ICQ.exe" silent loginmode=4
"WMPNSCFG"=c:\programme\Windows Media Player\WMPNSCFG.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"=c:\programme\Java\jre1.5.0_06\bin\jusched.exe
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\ICQ7.0\\ICQ.exe"=
"c:\\Programme\\ICQ7.0\\aolload.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3553:TCP"= 3553:TCP:wtqwhca
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.09.2009 17:20 135336]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [30.09.2010 16:01 1051968]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 06:24 10064]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
2010-12-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
2010-12-26 c:\windows\Tasks\Norton Security Scan for Lukas Hartmann.job
- c:\programme\Norton Security Scan\Engine\2.7.3.34\Nss.exe [2010-10-09 07:48]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2269050
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\Lukas Hartmann\Anwendungsdaten\Mozilla\Firefox\Profiles\xtk53ocb.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: DVDVideoSoft Toolbar: {e9911ec6-1bcc-40b0-9993-e0eea7f6953f} - %profile%\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-12-28 19:43
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(2696)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2010-12-28 19:44:39
ComboFix-quarantined-files.txt 2010-12-28 18:44
ComboFix2.txt 2010-12-28 15:05
Vor Suchlauf: 10 Verzeichnis(se), 62.892.187.648 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 62.882.000.896 Bytes frei
- - End Of File - - 7D7AA5F0E6BE344D9D6B242DA49C40E0
|
|
28.12.2010, 20:15
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
29.12.2010, 14:57
| #12 |
| | TR/Crypt.ZPACK.Gen GMER Logfile: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-29 14:54:29
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9100828AS rev.3.ALB
Running: eyx03kzu.exe; Driver: C:\DOKUME~1\LUKASH~1\LOKALE~1\Temp\fgtdapow.sys
---- System - GMER 1.0.15 ----
SSDT F7E75C86 ZwCreateKey
SSDT F7E75C7C ZwCreateThread
SSDT F7E75C8B ZwDeleteKey
SSDT F7E75C95 ZwDeleteValueKey
SSDT F7E75C9A ZwLoadKey
SSDT F7E75C68 ZwOpenProcess
SSDT F7E75C6D ZwOpenThread
SSDT F7E75CA4 ZwReplaceKey
SSDT F7E75C9F ZwRestoreKey
SSDT F7E75C90 ZwSetValueKey
---- Devices - GMER 1.0.15 ----
Device Ntfs.sys (NT File System Driver/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\ControlSet003\Services\adbhgx@DisplayName Boot Microsoft
Reg HKLM\SYSTEM\ControlSet003\Services\adbhgx@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\adbhgx@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\adbhgx@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\adbhgx@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\adbhgx@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\adbhgx@Description Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste f?r die Netzwerkadress?bersetzung, Adressierung, Namensaufl?sung und Eindringsschutz.
Reg HKLM\SYSTEM\ControlSet003\Services\adbhgx\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\adbhgx\Parameters@ServiceDll C:\WINDOWS\system32\rnhsv.dll
Reg HKLM\SYSTEM\ControlSet003\Services\djlgfa@DisplayName Boot Monitor
Reg HKLM\SYSTEM\ControlSet003\Services\djlgfa@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\djlgfa@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\djlgfa@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\djlgfa@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\djlgfa@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\djlgfa@Description Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste f?r die Netzwerkadress?bersetzung, Adressierung, Namensaufl?sung und Eindringsschutz.
Reg HKLM\SYSTEM\ControlSet003\Services\djlgfa\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\djlgfa\Parameters@ServiceDll C:\WINDOWS\system32\rnhsv.dll
Reg HKLM\SYSTEM\ControlSet003\Services\jmfue@DisplayName Monitor Manager
Reg HKLM\SYSTEM\ControlSet003\Services\jmfue@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\jmfue@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\jmfue@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\jmfue@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\jmfue@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\jmfue@Description Bietet permanenten Schutz vor Viren und Malware mit der AntiVir Suchengine.
Reg HKLM\SYSTEM\ControlSet003\Services\jmfue\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\jmfue\Parameters@ServiceDll C:\WINDOWS\system32\rnhsv.dll
Reg HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@DisplayName Center Config
Reg HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\lrcimqdol@Description Erm?glicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu ver?ndern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers ver?ndert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abh?ngigen Dienste nicht gestartet werden k?nnen.
Reg HKLM\SYSTEM\ControlSet003\Services\lrcimqdol\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\lrcimqdol\Parameters@ServiceDll C:\WINDOWS\system32\rnhsv.dll
Reg HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@DisplayName Network Center
Reg HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd@Description Bietet gesch?tzten Speicherplatz f?r private Daten, wie z. B. private Schl?ssel, um Zugriff durch nicht autorisierte Dienste, Prozesse oder Benutzer zu unterbinden.
Reg HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd\Parameters@ServiceDll C:\WINDOWS\system32\rnhsv.dll
Reg HKLM\SYSTEM\ControlSet003\Services\pxsgyax@DisplayName Manager Driver
Reg HKLM\SYSTEM\ControlSet003\Services\pxsgyax@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\pxsgyax@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\pxsgyax@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\pxsgyax@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\pxsgyax@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\pxsgyax@Description Bietet automatische Konfiguration f?r 802.11-Adapter.
Reg HKLM\SYSTEM\ControlSet003\Services\pxsgyax\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\pxsgyax\Parameters@ServiceDll C:\WINDOWS\system32\rnhsv.dll
Reg HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@j!s!i!`!r!`!e!d!\30!\30!t!e!s!m!s!y! 71230
---- Files - GMER 1.0.15 ----
File C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\401430113 ....Lidia...\Foto-0139.jpg 592185 bytes
File C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\401430113 ....Lidia...\Foto-0253.jpg 1399443 bytes
File C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\401430113 ....Lidia...\Thumbs.db 9728 bytes
File C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\409222867 ayca.\m_10c5d007283248a6bfb42440b3e7ecc8.jpg 6114 bytes
File C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\409222867 ayca.\m_962e92f2411a4e62a08063ce4f761504.jpg 8538 bytes
File C:\Dokumente und Einstellungen\Lukas Hartmann\Eigene Dateien\ICQ\375088731\ReceivedFiles\409222867 ayca.\Thumbs.db 7168 bytes
---- EOF - GMER 1.0.15 ----
OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 15:03:34 on 29.12.2010 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.5512 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe "Norton Security Scan for Lukas Hartmann.job" - "Symantec Corporation" - C:\Programme\Norton Security Scan\Engine\2.7.3.34\Nss.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\DOKUME~1\LUKASH~1\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "fgtdapow" (fgtdapow) - ? - C:\DOKUME~1\LUKASH~1\LOKALE~1\Temp\fgtdapow.sys (Hidden registry entry, rootkit activity | File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "MHN-Treiber" (MHNDRV) - "Microsoft Corporation" - C:\WINDOWS\System32\DRIVERS\mhndrv.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "TuneUpUtilitiesDrv" (TuneUpUtilitiesDrv) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) "ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS)" (ZD1211BU(ZyDAS)) - "ZyDAS Technology Corporation" - C:\WINDOWS\System32\DRIVERS\zd1211Bu.sys [Explorer] -----( HKCU\Software\Classes\Folder\shellex\ColumnHandlers )----- {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\Desktop\Components )----- "(0) Source" - ? - /C:/Dokumente%20und%20Einstellungen/Lukas%20Hartmann/Desktop/FB1C39B7652FD381116FD68FE20D5131 (File not found) -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} "Versions-Update für Internet Explorer" - "Microsoft Corporation" - C:\WINDOWS\system32\ieudinit.exe -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - (File not found | COM-object registry key not found) {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - (File not found | COM-object registry key not found) {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - (File not found | COM-object registry key not found) {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - (File not found | COM-object registry key not found) {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {4838CD50-7E5D-4811-9B17-C47A85539F28} "TuneUp Disk Space Explorer Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\DseShExt-x86.dll {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\SDShelEx-win32.dll {44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )----- {855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.5.0_06" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10i.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll "ICQ7" - "ICQ, LLC." - C:\Programme\ICQ7.0\ICQ.exe -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- {855F3B16-6D32-4fe6-8A56-BBB695989046} "ICQToolBar" - "ICQ" - C:\Programme\ICQ6Toolbar\ICQToolBar.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "SSVHelper Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Lukas Hartmann\Startmenü\Programme\Autostart\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "MHN" (MHN) - "Microsoft Corporation" - C:\WINDOWS\System32\mhn.dll "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software" - C:\WINDOWS\System32\uxtuneup.dll "TuneUp Drive Defrag-Dienst" (TuneUp.Defrag) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe "TuneUp Utilities Service" (TuneUp.UtilitiesSvc) - "TuneUp Software" - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x0000001c Kernel Drivers (total 122): 0x804D7000 \WINDOWS\system32\ntoskrnl.exe 0x80700000 \WINDOWS\system32\hal.dll 0xF7CBE000 \WINDOWS\system32\KDCOM.DLL 0xF7BCE000 \WINDOWS\system32\BOOTVID.dll 0xF776E000 ACPI.sys 0xF7CC0000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF775D000 pci.sys 0xF77BE000 isapnp.sys 0xF7BD2000 compbatt.sys 0xF7BD6000 \WINDOWS\system32\DRIVERS\BATTC.SYS 0xF7D86000 pciide.sys 0xF7A3E000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF77CE000 MountMgr.sys 0xF773E000 ftdisk.sys 0xF7CC2000 dmload.sys 0xF7718000 dmio.sys 0xF7BDA000 ACPIEC.sys 0xF7D87000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS 0xF7A46000 PartMgr.sys 0xF77DE000 VolSnap.sys 0xF7700000 atapi.sys 0xF77EE000 disk.sys 0xF77FE000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF76E0000 fltmgr.sys 0xF76CE000 sr.sys 0xF7A4E000 PxHelp20.sys 0xF76B7000 KSecDD.sys 0xF76A4000 WudfPf.sys 0xF7617000 Ntfs.sys 0xF75EA000 NDIS.sys 0xF75D0000 Mup.sys 0xF79EE000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF7C8A000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0xF7449000 \SystemRoot\system32\DRIVERS\ialmnt5.sys 0xF7435000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF740D000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xF726B000 \SystemRoot\system32\DRIVERS\NETw3x32.sys 0xF7AEE000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0xF7247000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF7AF6000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF7233000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys 0xF79FE000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF7AFE000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF7204000 \SystemRoot\system32\DRIVERS\SynTP.sys 0xF7CF0000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF7B06000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF7A0E000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF7A1E000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF7A2E000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF71E1000 \SystemRoot\system32\DRIVERS\ks.sys 0xF7B0E000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0xF7DE9000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF781E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF7C92000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF71CA000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF782E000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF783E000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF7B16000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF7191000 \SystemRoot\system32\DRIVERS\psched.sys 0xF784E000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF7B1E000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF7B26000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF7161000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF785E000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF7CF2000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF7103000 \SystemRoot\system32\DRIVERS\update.sys 0xF7CB2000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF786E000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xAA385000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xAA361000 \SystemRoot\system32\drivers\portcls.sys 0xF789E000 \SystemRoot\system32\drivers\drmk.sys 0xAA32E000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys 0xAA23C000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys 0xAA18A000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys 0xF7B2E000 \SystemRoot\System32\Drivers\Modem.SYS 0xF78AE000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF7CFC000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF7E65000 \SystemRoot\System32\Drivers\Null.SYS 0xF7CFE000 \SystemRoot\System32\Drivers\Beep.SYS 0xF7B4E000 \SystemRoot\System32\drivers\vga.sys 0xF7D00000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF7D02000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF7B56000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF7B5E000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF7C5E000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xAA157000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xAA0FE000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xAA0B0000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xAA088000 \SystemRoot\system32\DRIVERS\netbt.sys 0xF78BE000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xA9FC6000 \SystemRoot\System32\drivers\afd.sys 0xF78CE000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF7B66000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xA9F9B000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA9F2B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF78DE000 \SystemRoot\System32\Drivers\Fips.SYS 0xA9F05000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF7D06000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF794E000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xA9EC5000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF7D1E000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF70B3000 \SystemRoot\System32\drivers\Dxapi.sys 0xF7BA6000 \SystemRoot\System32\watchdog.sys 0xBF000000 \SystemRoot\System32\drivers\dxg.sys 0xF7DB1000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF021000 \SystemRoot\System32\ialmdnt5.dll 0xBF012000 \SystemRoot\System32\ialmrnt5.dll 0xBF043000 \SystemRoot\System32\ialmdev5.DLL 0xBF07E000 \SystemRoot\System32\ialmdd5.DLL 0xBFFA0000 \SystemRoot\System32\ATMFD.DLL 0xA9D98000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xA9D58000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA9ADB000 \SystemRoot\system32\drivers\wdmaud.sys 0xA9E75000 \SystemRoot\system32\drivers\sysaudio.sys 0xA96DA000 \SystemRoot\System32\Drivers\HTTP.sys 0xA9747000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys 0xA9592000 \SystemRoot\system32\DRIVERS\srv.sys 0xF7E22000 \??\C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys 0xF7B76000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0xA8F0F000 \??\C:\DOKUME~1\LUKASH~1\LOKALE~1\Temp\fgtdapow.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 36): 0 System Idle Process 4 System 1576 C:\WINDOWS\system32\smss.exe 1756 csrss.exe 1844 C:\WINDOWS\system32\winlogon.exe 1920 C:\WINDOWS\system32\services.exe 1932 C:\WINDOWS\system32\lsass.exe 256 C:\WINDOWS\system32\svchost.exe 344 svchost.exe 440 C:\WINDOWS\system32\svchost.exe 484 C:\WINDOWS\system32\svchost.exe 548 svchost.exe 628 svchost.exe 940 C:\WINDOWS\system32\spoolsv.exe 992 C:\Programme\Avira\AntiVir Desktop\sched.exe 1328 C:\WINDOWS\explorer.exe 1492 C:\WINDOWS\ehome\ehtray.exe 1532 C:\WINDOWS\RTHDCPL.exe 1552 C:\Programme\Synaptics\SynTP\SynTPEnh.exe 1572 C:\WINDOWS\system32\hkcmd.exe 1600 C:\WINDOWS\system32\igfxpers.exe 1616 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 616 C:\Programme\Avira\AntiVir Desktop\avguard.exe 664 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe 680 C:\Programme\Bonjour\mDNSResponder.exe 780 C:\WINDOWS\system32\svchost.exe 1204 svchost.exe 1124 C:\WINDOWS\system32\svchost.exe 1432 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 468 C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe 1112 mcrdsvc.exe 1816 wmpnetwk.exe 3004 C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe 3180 alg.exe 2916 C:\Programme\Mozilla Firefox\firefox.exe 3200 C:\Dokumente und Einstellungen\Lukas Hartmann\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000014`d9840c00 (NTFS) PhysicalDrive0 Model Number: ST9100828AS, Rev: 3.ALB Size Device Name MBR Status -------------------------------------------- 93 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! Geändert von Joscha_ (29.12.2010 um 15:05 Uhr) |
|
29.12.2010, 15:58
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen Bitte mal den Avenger anwenden: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:  3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter Registry keys to delete:
HKLM\SYSTEM\ControlSet003\Services\adbhgx
HKLM\SYSTEM\ControlSet003\Services\djlgfa
HKLM\SYSTEM\ControlSet003\Services\jmfue
HKLM\SYSTEM\ControlSet003\Services\lrcimqdol
HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd
HKLM\SYSTEM\ControlSet003\Services\pxsgyax
HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}
Files to delete:
C:\WINDOWS\system32\rnhsv.dll
5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
29.12.2010, 22:33
| #14 |
| | TR/Crypt.ZPACK.Gen Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Registry key "HKLM\SYSTEM\ControlSet003\Services\adbhgx" deleted successfully. Registry key "HKLM\SYSTEM\ControlSet003\Services\djlgfa" deleted successfully. Registry key "HKLM\SYSTEM\ControlSet003\Services\jmfue" deleted successfully. Registry key "HKLM\SYSTEM\ControlSet003\Services\lrcimqdol" deleted successfully. Registry key "HKLM\SYSTEM\ControlSet003\Services\lskjmtgcd" deleted successfully. Registry key "HKLM\SYSTEM\ControlSet003\Services\pxsgyax" deleted successfully. Error: file "C:\WINDOWS\system32\rnhsv.dll" not found! Deletion of file "C:\WINDOWS\system32\rnhsv.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry key "HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
29.12.2010, 22:41
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Crypt.ZPACK.Gen Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu TR/Crypt.ZPACK.Gen |
| 'tr/crypt.zpack.gen', aktion, antivir, avira, avira antivir, datei, einstellungen, forum, gen, guard, kommt immer wieder, lokale, malware, neu, nichts, personal, programm, system, temp, thema, tr/crypt.zpack.gen, trojan, unerwünschtes programm, virus, vsgavlkehsnmocx.dll, warnung, zugriff |
Linear-Darstellung
