Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Automatische Screenshots im Temp-Ordner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 17.01.2011, 16:01   #1
Harbinger
 
Automatische Screenshots im Temp-Ordner - Standard

Automatische Screenshots im Temp-Ordner



Tag zusammen, ich habe dasselbe Problem, das schon mal hier geschildert wurde, habe den Hinweisen da entsprechend Anit Malware und OTL ausgeführt. Hier die Logfiles:

Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5538

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

17.01.2011 16:54:24
mbam-log-2011-01-17 (16-54-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 186265
Laufzeit: 6 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 21

Infizierte Speicherprozesse:
c:\programme\VVSN\VVSN.exe (Adware.WhenU) -> 1200 -> Unloaded process successfully.
c:\dokumente und einstellungen\harbinger\anwendungsdaten\sys\winlogon.exe (Malware.Trace) -> 1872 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{2102E101-20C0-CB00-C020-CDAE13022046} (NameSpace.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{2102E101-20C0-CB00-C020-CDAE13022046} (NameSpace.Hijack) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{EDECC29F-E15C-BEE6-DFCE-ED9CCA9B32EF} (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{EDECC29F-E15C-BEE6-DFCE-ED9CCA9B32EF} (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{EDECC29F-E15C-BEE6-DFCE-ED9CCA9B32EF} (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VVSN (Adware.WhenU) -> Value: VVSN -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winlogon (Malware.Trace) -> Value: Winlogon -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\programme\VVSN (Adware.WhenU) -> Quarantined and deleted successfully.
c:\programme\VVSN\URL1 (Adware.WhenU) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\programme\VVSN\VVSN.exe (Adware.WhenU) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\anwendungsdaten\a.exe (Trojan.Chekafe) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\n01d.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\n02d.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\n04d.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\n05d.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\259750n02.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\293593n05.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\315218n04.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\3f2b53n01.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\4120890n02.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\4131406n05.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\4146906n04.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\4a748n01.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\application data\microsoft\Protect\track.sys (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\anwendungsdaten\sys\data.dat (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Winup\kb37154.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\Winup\kb37156.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\Winup\kb93623.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\anwendungsdaten\sys\winlogon.exe (Malware.Trace) -> Quarantined and deleted successfully.
c:\programme\VVSN\vvsn.cfg (Adware.WhenU) -> Quarantined and deleted successfully.
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 17.01.2011 16:53:52 - Run 1
OTL by OldTimer - Version 3.2.20.2 Folder = C:\Dokumente und Einstellungen\Harbinger\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 401,00 Mb Available Physical Memory | 39,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 186,30 Gb Total Space | 128,06 Gb Free Space | 68,74% Space Free | Partition Type: NTFS
Drive D: | 298,09 Gb Total Space | 297,99 Gb Free Space | 99,97% Space Free | Partition Type: NTFS
Unable to calculate disk information.
Drive F: | 1397,26 Gb Total Space | 986,38 Gb Free Space | 70,59% Space Free | Partition Type: NTFS
 
Computer Name: HARBINGER | User Name: Harbinger | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Harbinger\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Thunderbird\thunderbird.exe (Mozilla Messaging)
PRC - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys\winlogon.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\Programme\coolspot AG\Personal ID\pid.exe (coolspot AG, Düsseldorf)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\ATI Technologies\ATI.ACE\CLI.exe (ATI Technologies Inc.)
PRC - C:\Programme\DAEMON Tools\daemon.exe (DT Soft Ltd.)
PRC - C:\Programme\VVSN\VVSN.exe (WhenU.com)
PRC - C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe ()
PRC - C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.exe (Conexant Systems, Inc.)
PRC - C:\Programme\Winamp\winampa.exe ()
PRC - C:\WINXP\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
PRC - C:\Programme\VSTASCAN\vsaccess.exe (UMAX)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Harbinger\Desktop\OTL.exe (OldTimer Tools)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- File not found
SRV - (NMSAccessU) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV - (dtscsi) -- C:\WINXP\System32\Drivers\dtscsi.sys ()
DRV - (sptd) -- C:\WINXP\System32\Drivers\sptd.sys ()
DRV - (MDC8021X) AEGIS Protocol (IEEE 802.1x) -- C:\WINXP\system32\drivers\mdc8021x.sys (Meetinghouse Data Communications)
DRV - (StarOpen) -- C:\WINXP\System32\drivers\StarOpen.sys ()
DRV - (gameenum) -- C:\WINXP\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (ati2mtag) -- C:\WINXP\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (DT154_A02) -- C:\WINXP\system32\drivers\TS154USB.sys (Deutsche Telekom AG)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINXP\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (ms_mpu401) -- C:\WINXP\system32\drivers\msmpu401.sys (Microsoft Corporation)
DRV - (PPSCAN) -- C:\WINXP\System32\drivers\ppscan.sys (Shuttle Technology.)
DRV - (PPCLASS) -- C:\WINXP\System32\drivers\ppclass.sys (Silitek Corporation.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://so92.com/?
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://so92.com/?
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://forum.worldofplayers.de/forum/index.php"
FF - prefs.js..extensions.enabledItems: {a7c6cf7f-112c-4500-a7ea-39801a327e5f}:1.0.10
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.2
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.12 02:22:56 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.12 02:22:56 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.12.10 13:51:41 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2010.09.03 13:06:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Extensions
[2010.09.03 13:06:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.01.17 01:52:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\extensions
[2010.12.03 14:07:26 | 000,000,000 | ---D | M] (FireFTP) -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}
[2010.12.12 13:44:26 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.01.11 21:16:13 | 000,001,238 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\searchplugins\wikipedia-en---search.xml
[2011.01.17 01:52:20 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.05.17 01:08:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.05.17 01:07:41 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.05.17 01:07:40 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.05.03 23:15:03 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.05.03 23:15:03 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.05.03 23:15:04 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.05.03 23:15:04 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.05.03 23:15:04 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 10:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Kwyshell MidpX) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll (Kwyshell G.Corp)
O3 - HKLM\..\Toolbar: (Kwyshell MidpX) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll (Kwyshell G.Corp)
O3 - HKCU\..\Toolbar\ShellBrowser: (Kwyshell MidpX) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll (Kwyshell G.Corp)
O3 - HKCU\..\Toolbar\WebBrowser: (Kwyshell MidpX) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll (Kwyshell G.Corp)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)
O4 - HKLM..\Run: [DAEMON Tools] C:\Programme\DAEMON Tools\daemon.exe (DT Soft Ltd.)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [PRISMSVR.EXE] C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE (Conexant Systems, Inc.)
O4 - HKLM..\Run: [SoundMan] C:\WINXP\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe (WhenU.com)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe ()
O4 - HKCU..\Run: [ICQ] C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O4 - HKCU..\Run: [Personal ID] C:\Programme\coolspot AG\Personal ID\pid.exe (coolspot AG, Düsseldorf)
O4 - HKCU..\Run: [Winlogon] C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys\winlogon.exe ()
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Harbinger\Startmenü\Programme\Autostart\Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe (Mozilla Messaging)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetIcon = 0
O8 - Extra context menu item: Link to &MidpX - C:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm ()
O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/A/7/D/A7D1EBE3-8E78-4CBE-B22B-EEECF9E3A1BC/fhg.CAB (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINXP\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.10.11 01:36:48 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.07.10 03:20:25 | 000,000,000 | RH-D | M] - F:\autorun -- [ NTFS ]
O32 - AutoRun File - [2002.10.16 13:56:50 | 000,000,036 | RH-- | M] () - F:\autorun.inf -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.01.17 16:52:55 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Harbinger\Desktop\OTL.exe
[2011.01.17 16:40:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Malwarebytes
[2011.01.17 16:40:29 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2011.01.17 16:40:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes
[2011.01.17 16:40:26 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[2011.01.17 16:40:26 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.01.17 16:36:30 | 007,734,208 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\mbam-setup.exe
[2011.01.05 21:01:32 | 000,012,288 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\mouhid.sys
[2011.01.05 21:01:27 | 000,010,368 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\hidusb.sys
[2008.01.06 19:59:00 | 016,455,833 | ---- | C] (Tsunami ) -- C:\Programme\Tsunami_Filter_Pack_3_9_9.exe
[2007.11.27 20:39:59 | 017,766,840 | ---- | C] (DivX, Inc.) -- C:\Programme\DivXInstaller.exe
[2007.11.27 01:50:57 | 000,336,229 | ---- | C] (PGC ) -- C:\Programme\GameCamSetup14.exe
[2007.11.26 23:08:24 | 021,321,008 | ---- | C] (Apple Inc.) -- C:\Programme\QuickTimeInstaller73.exe
[2007.11.26 23:02:25 | 025,534,936 | ---- | C] (RapidSolution Software AG) -- C:\Programme\tunebite.exe
[2007.11.03 14:03:20 | 008,030,790 | ---- | C] (BioWare Corp.) -- C:\Programme\BGII-ThroneofBhaal_Patch_26498_EUROPEAN.exe
[2007.11.02 16:50:10 | 003,213,312 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\r32_g20_3sm.exe
[2007.11.02 14:27:53 | 011,917,655 | ---- | C] ( ) -- C:\Programme\quicktimealt190.exe
[4 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.01.17 16:52:55 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Harbinger\Desktop\OTL.exe
[2011.01.17 16:39:40 | 000,011,229 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\.recently-used.xbel
[2011.01.17 16:36:42 | 007,734,208 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\mbam-setup.exe
[2011.01.17 16:32:11 | 000,417,040 | ---- | M] () -- C:\WINXP\System32\perfh007.dat
[2011.01.17 16:32:11 | 000,402,634 | ---- | M] () -- C:\WINXP\System32\perfh009.dat
[2011.01.17 16:32:11 | 000,075,464 | ---- | M] () -- C:\WINXP\System32\perfc007.dat
[2011.01.17 16:32:11 | 000,062,812 | ---- | M] () -- C:\WINXP\System32\perfc009.dat
[2011.01.17 16:31:56 | 000,000,177 | ---- | M] () -- C:\WINXP\ppdrv.ini
[2011.01.17 16:31:51 | 000,003,945 | ---- | M] () -- C:\WINXP\vista32.ini
[2011.01.17 16:27:54 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2011.01.17 16:27:50 | 1073,274,880 | -HS- | M] () -- C:\hiberfil.sys
[2011.01.17 16:25:03 | 000,000,084 | ---- | M] () -- C:\WINXP\winamp.ini
[2011.01.17 04:51:32 | 000,200,192 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.01.14 17:33:37 | 000,022,528 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\lieblingsfilm 2010 runde 2.doc
[2011.01.12 12:34:33 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2011.01.07 13:08:32 | 081,083,126 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\OMNIUM_GATHERUM_-_New_World_Shadows_(all_tracks).zip
[2011.01.03 18:27:25 | 007,125,706 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\Alfred Robbins v1.0.2.7.rar
[2011.01.03 15:16:08 | 000,068,116 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\die_eiserne_rose.jpg
[2011.01.02 02:06:00 | 000,079,973 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\drag me to hell.jpg
[2010.12.28 19:10:01 | 000,069,942 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\edge_small.jpg
[2010.12.28 19:09:12 | 000,227,432 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\edge.jpg
[2010.12.28 19:00:25 | 000,717,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\Alberron Tales - Highwaymen.doc
[2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[4 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.01.17 16:39:40 | 000,011,229 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\.recently-used.xbel
[2011.01.14 17:30:36 | 000,022,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\lieblingsfilm 2010 runde 2.doc
[2011.01.07 13:05:32 | 081,083,126 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\OMNIUM_GATHERUM_-_New_World_Shadows_(all_tracks).zip
[2011.01.03 18:27:11 | 007,125,706 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\Alfred Robbins v1.0.2.7.rar
[2011.01.03 15:16:07 | 000,068,116 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\die_eiserne_rose.jpg
[2011.01.02 02:05:54 | 000,079,973 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\drag me to hell.jpg
[2010.12.28 19:10:00 | 000,069,942 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\edge_small.jpg
[2010.12.28 19:09:11 | 000,227,432 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\edge.jpg
[2010.10.16 14:13:56 | 000,069,632 | R--- | C] () -- C:\WINXP\System32\xmltok.dll
[2010.10.16 14:13:56 | 000,036,864 | R--- | C] () -- C:\WINXP\System32\xmlparse.dll
[2010.05.11 17:28:27 | 000,000,397 | ---- | C] () -- C:\WINXP\ODBC.INI
[2010.04.29 03:21:14 | 000,000,084 | ---- | C] () -- C:\WINXP\winamp.ini
[2010.02.25 20:48:19 | 000,007,168 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys
[2010.02.25 15:29:03 | 000,043,520 | ---- | C] () -- C:\WINXP\System32\CmdLineExt03.dll
[2010.02.18 20:13:07 | 000,002,338 | ---- | C] () -- C:\WINXP\vista32d.ini
[2010.02.18 20:10:13 | 000,000,177 | ---- | C] () -- C:\WINXP\ppdrv.ini
[2010.02.18 20:08:22 | 000,003,945 | ---- | C] () -- C:\WINXP\vista32.ini
[2010.02.18 20:08:22 | 000,000,069 | ---- | C] () -- C:\WINXP\umaxdrv.ini
[2010.02.18 20:08:19 | 000,199,696 | ---- | C] () -- C:\WINXP\p1220_16.dll
[2010.02.18 20:08:19 | 000,140,320 | ---- | C] () -- C:\WINXP\p1220_32.dll
[2010.02.18 20:08:19 | 000,068,608 | ---- | C] () -- C:\WINXP\vufile32.dll
[2010.02.18 20:08:19 | 000,030,208 | ---- | C] () -- C:\WINXP\uxmail32.dll
[2010.02.18 07:54:14 | 000,223,128 | ---- | C] () -- C:\WINXP\System32\drivers\dtscsi.sys
[2010.02.18 07:51:58 | 000,664,064 | ---- | C] () -- C:\WINXP\System32\drivers\sptd.sys
[2010.02.18 07:51:58 | 000,096,384 | ---- | C] () -- C:\WINXP\System32\drivers\sptd4829.sys
[2010.02.18 07:48:46 | 000,000,041 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\.zreglib
[2010.02.17 02:23:26 | 000,200,192 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.16 17:58:25 | 000,000,142 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.02.16 15:19:43 | 000,004,073 | ---- | C] () -- C:\WINXP\ODBCINST.INI
[2010.01.10 22:17:50 | 000,120,570 | ---- | C] () -- C:\Programme\JoWooD.RPT
[2008.10.13 13:37:01 | 000,718,824 | ---- | C] () -- C:\Programme\MatroskaSplitter.exe
[2008.08.03 12:58:48 | 000,367,643 | ---- | C] () -- C:\Programme\gmid2wav!.exe
[2008.01.31 19:25:08 | 004,230,520 | ---- | C] () -- C:\Programme\dMC-r12.4.exe
[2008.01.12 21:20:28 | 000,069,232 | ---- | C] () -- C:\Programme\Neverend_Patch_1.1.zip
[2008.01.09 18:35:10 | 000,776,149 | ---- | C] () -- C:\Programme\willst du.mp3
[2008.01.02 18:43:59 | 000,187,365 | ---- | C] () -- C:\Programme\RedEye.exe
[2007.12.26 15:44:35 | 005,740,099 | ---- | C] () -- C:\Programme\die_gilde_gold_patch_2_06.exe
[2007.12.26 13:03:08 | 001,916,471 | ---- | C] () -- C:\Programme\tribesv_update_ger_10_101.exe
[2007.12.11 21:49:32 | 000,441,826 | ---- | C] () -- C:\Programme\vsfilter_20051125.7z
[2007.12.11 21:40:51 | 002,820,758 | ---- | C] () -- C:\Programme\Avisynth_257.exe
[2007.12.01 16:50:56 | 000,242,480 | ---- | C] () -- C:\Programme\SCKeeper105_Setup.exe
[2007.11.27 20:38:13 | 005,532,619 | ---- | C] () -- C:\Programme\DrDivX_2_0_0_OSS.exe
[2007.11.27 01:53:45 | 011,330,092 | ---- | C] () -- C:\Programme\avidemux_2.4_preview2_win32.exe
[2007.11.27 01:39:28 | 000,159,122 | ---- | C] () -- C:\Programme\audioscrobbler.wa.1.1.10.exe
[2007.11.26 22:40:05 | 001,492,991 | ---- | C] () -- C:\Programme\RADTools.exe
[2007.11.26 01:58:38 | 000,638,104 | ---- | C] () -- C:\Programme\MP4Box-0.4.5-dev.zip
[2007.11.11 13:16:52 | 007,444,972 | ---- | C] () -- C:\Programme\chivalry.zip
[2007.11.06 21:01:02 | 000,523,654 | ---- | C] () -- C:\Programme\VirtualDub1493VCR+SYNC.zip
[2007.11.03 14:03:32 | 015,062,528 | ---- | C] () -- C:\Programme\bgintl114315.exe
[2007.11.03 13:24:58 | 003,073,172 | ---- | C] () -- C:\Programme\Tutufix_v17.exe
[2007.11.01 16:09:34 | 011,284,970 | ---- | C] () -- C:\Programme\cdbxp_setup_3.0.116.zip
[2006.06.23 11:13:54 | 000,114,688 | ---- | C] () -- C:\WINXP\System32\liclock.dll
[1999.04.29 22:00:00 | 000,065,536 | ---- | C] () -- C:\WINXP\System32\MSRTEDIT.DLL
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 24 bytes -> C:\WINXP:7A22F41B002D1A39
 
< End of report >
         
--- --- ---


OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 17.01.2011 16:53:52 - Run 1
OTL by OldTimer - Version 3.2.20.2 Folder = C:\Dokumente und Einstellungen\Harbinger\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 401,00 Mb Available Physical Memory | 39,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 186,30 Gb Total Space | 128,06 Gb Free Space | 68,74% Space Free | Partition Type: NTFS
Drive D: | 298,09 Gb Total Space | 297,99 Gb Free Space | 99,97% Space Free | Partition Type: NTFS
Unable to calculate disk information.
Drive F: | 1397,26 Gb Total Space | 986,38 Gb Free Space | 70,59% Space Free | Partition Type: NTFS
 
Computer Name: HARBINGER | User Name: Harbinger | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ -- (ICQ, LLC.)
"C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer
"C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys\winlogon.exe" = C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys\winlogon.exe:*:Enabled:Windows Messanger
"C:\DOKUME~1\HARBIN~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für George Carlin - Stupid things we say.zip\George Carlin - Stupid things we say\George Carlin - Stupid things we say.exe" = C:\DOKUME~1\HARBIN~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für George Carlin - Stupid things we say.zip\George Carlin - Stupid things we say\George Carlin - Stupid things we say.exe:*:Enabled:Windows Messanger
"C:\Programme\Java\jre6\launch4j-tmp\strange-eons.exe" = C:\Programme\Java\jre6\launch4j-tmp\strange-eons.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\FLV_Player_Setup.exe" = C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\FLV_Player_Setup.exe:*:Enabled:Flash FLV Player -- ()
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)
"C:\Programme\Real Alternative\Media Player Classic\mplayerc.exe" = C:\Programme\Real Alternative\Media Player Classic\mplayerc.exe:*:Enabled:Media Player Classic -- (Gabest)
"C:\Games\Unreal Tournament\System\UnrealTournament.exe" = C:\Games\Unreal Tournament\System\UnrealTournament.exe:*:Enabled:UnrealTournament -- ()
"C:\Programme\FlashGet\flashget.exe" = C:\Programme\FlashGet\flashget.exe:*:Enabled:Flashget
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{BBB3F622-D848-4CDA-B282-CC53627432F0}" = Microsoft Application Compatibility Toolkit 5.5
"{C53FB914-C1F6-4F9D-93E2-A3A84935EC15}" = Sinus 154 data II
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe
"{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}" = ATI Catalyst Control Center
"{F722209B-739E-40E4-ADB1-062BD032A0DB}" = Personal ID
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{ff9dfbe9-f109-4d3d-a14e-302e0e9864b7}.sdb" = Dungeon Keeper 1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"DivX Setup.divx.com" = DivX-Setup
"Fraps" = Fraps (remove only)
"Grotesque-Tactics" = Grotesque-Tactics 1.0.0.2
"Guitar Pro 5_is1" = Guitar Pro 5.2
"InstallShield_{C53FB914-C1F6-4F9D-93E2-A3A84935EC15}" = Sinus 154 data II
"Keeper" = Dungeon Keeper
"Kwyshell MidpX Emulator Package" = Kwyshell MidpX Emulator Package 1.3.1
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7)
"OpenAL" = OpenAL
"QuicktimeAlt_is1" = QuickTime Alternative 3.2.2
"RealAlt_is1" = Real Alternative 2.0.2
"Silver" = Silver
"StrangeEons" = Strange Eons
"uTorrent" = µTorrent
"VLC media player" = VLC media player 1.1.4
"Windows Media Encoder 9" = Windows Media Encoder 9-Reihe
"WinGimp-2.0_is1" = GIMP 2.6.8
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 09.09.2010 07:52:17 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x04b29290.
 
Error - 17.09.2010 22:04:08 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x04ed9290.
 
Error - 16.10.2010 09:51:54 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung warlords4.exe, Version 1.0.1.0, fehlgeschlagenes
Modul warlords4.exe, Version 1.0.1.0, Fehleradresse 0x000f3d97.
 
Error - 16.10.2010 20:15:15 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x04779290.
 
Error - 19.10.2010 15:49:59 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x07430000.
 
Error - 25.10.2010 20:05:47 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x04f99298.
 
Error - 01.11.2010 23:09:54 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul l3codeca.acm, Version 1.9.0.306, Fehleradresse 0x000092b0.
 
Error - 08.11.2010 18:47:23 | Computer Name = HARBINGER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung winamp.exe, Version 2.9.1.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 20.11.2010 17:22:44 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x04749290.
 
Error - 20.11.2010 17:22:51 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.
 
[ System Events ]
Error - 12.12.2010 08:44:25 | Computer Name = HARBINGER | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. .
 
Error - 12.12.2010 08:44:28 | Computer Name = HARBINGER | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC90.CRT" konnte nicht gefunden
werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
installiert. 
 
Error - 12.12.2010 08:44:28 | Computer Name = HARBINGER | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC90.CRT fehlgeschlagen.
Referenzfehlermeldung:
Die referenzierte Assemblierung ist nicht auf dem Computer installiert. .
 
Error - 12.12.2010 08:44:28 | Computer Name = HARBINGER | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. .
 
Error - 23.12.2010 15:44:10 | Computer Name = HARBINGER | Source = W32Time | ID = 39452706
Description = Der Zeitdienst hat festgestellt, dass die Systemzeit um +74579 Sekunden
geändert
werden muss. Die Systemzeit kann durch den Zeitdienst um maximal +54000 Sekunden
geändert werden. Stellen Sie sicher, dass die Uhrzeit und Zeitzone korrekt sind 
und dass die Zeitquelle time.windows.com (ntp.m|0x1|192.168.178.29:123->207.46.232.182:123)
funktionsfähig ist.
 
Error - 29.12.2010 22:28:24 | Computer Name = HARBINGER | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
 
Error - 29.12.2010 22:28:24 | Computer Name = HARBINGER | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 30.12.2010 19:02:00 | Computer Name = HARBINGER | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.178.29 über die
Netzwerkkarte mit der Netzwerkadresse 0030F1E937F0 ist verloren gegangen.
 
Error - 12.01.2011 07:34:57 | Computer Name = HARBINGER | Source = Dhcp | ID = 1001
Description = Diesem Computer konnte keine Netzwerkadresse durch den DHCP-Server
für die Netzwerkkarte mit der Netzwerkadresse 0030F1E937F0 zugeteilt werden. Der
folgende Fehler ist aufgetreten: %%1223. Es wird weiterhin im Hintergrund versucht,
eine Adresse vom Netzwerkadressserver (DHCP) zugeteilt zu bekommen.
 
Error - 15.01.2011 09:50:37 | Computer Name = HARBINGER | Source = Dhcp | ID = 1001
Description = Diesem Computer konnte keine Netzwerkadresse durch den DHCP-Server
für die Netzwerkkarte mit der Netzwerkadresse 0030F1E937F0 zugeteilt werden. Der
folgende Fehler ist aufgetreten: %%1223. Es wird weiterhin im Hintergrund versucht,
eine Adresse vom Netzwerkadressserver (DHCP) zugeteilt zu bekommen.
 
 
< End of report >
         
--- --- ---


Ich starte dann jetzt mal neu, weil gesagt wurde, dass ein paar infizierte Dinge nur beim Neustart entfernt werden können, ansonsten danke ich schon mal im Voraus für Hilfe

Alt 17.01.2011, 16:15   #2
markusg
/// Malware-holic
 
Automatische Screenshots im Temp-Ordner - Standard

Automatische Screenshots im Temp-Ordner



• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKCU..\Run: [Winlogon] C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys\winlogon.exe ()
PRC - C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys\winlogon.exe ()
:Files
C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne den arbeitsplatz,, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html
__________________

__________________

Alt 17.01.2011, 16:36   #3
Harbinger
 
Automatische Screenshots im Temp-Ordner - Standard

Automatische Screenshots im Temp-Ordner



Das Archiv ist hochgeladen. Besagte Textdatei finde ich aber nicht. Wo wäre die denn?
__________________

Alt 17.01.2011, 16:39   #4
markusg
/// Malware-holic
 
Automatische Screenshots im Temp-Ordner - Standard

Automatische Screenshots im Temp-Ordner



hätte automatisch aufgehen müssen aber ich finde die auch im archiv.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 17.01.2011, 16:41   #5
markusg
/// Malware-holic
 
Automatische Screenshots im Temp-Ordner - Standard

Automatische Screenshots im Temp-Ordner



hmm, hast du nach nutzung von otl nen neustart gemacht?

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 17.01.2011, 16:42   #6
Harbinger
 
Automatische Screenshots im Temp-Ordner - Standard

Automatische Screenshots im Temp-Ordner



Ja, hab ich. Bzw. Neustart kam automatisch.

Alt 17.01.2011, 16:43   #7
markusg
/// Malware-holic
 
Automatische Screenshots im Temp-Ordner - Standard

Automatische Screenshots im Temp-Ordner



ok
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 17.01.2011, 17:25   #8
Harbinger
 
Automatische Screenshots im Temp-Ordner - Standard

Automatische Screenshots im Temp-Ordner



Ok, hier isses:

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-01-16.04 - Harbinger 17.01.2011  18:02:34.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.469 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Harbinger\Eigene Dateien\ComboFix.exe
.
 ADS - WINXP: deleted 24 bytes in 1 streams. 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\ICQ6.5\ICQLRun.exe
c:\programme\sFX
C:\Thumbs.db
C:\Winup
F:\Autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2010-12-17 bis 2011-01-17  ))))))))))))))))))))))))))))))
.

2011-01-17 16:17 . 2011-01-17 16:34	--------	d-----w-	C:\_OTL
2011-01-17 15:40 . 2011-01-17 15:40	--------	d-----w-	c:\dokumente und einstellungen\Harbinger\Anwendungsdaten\Malwarebytes
2011-01-17 15:40 . 2011-01-17 15:40	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes
2011-01-17 15:40 . 2010-12-20 17:09	38224	----a-w-	c:\winxp\system32\drivers\mbamswissarmy.sys
2011-01-17 15:40 . 2011-01-17 15:40	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-01-17 15:40 . 2010-12-20 17:08	20952	----a-w-	c:\winxp\system32\drivers\mbam.sys
2011-01-05 20:01 . 2001-08-18 02:22	12288	-c--a-w-	c:\winxp\system32\dllcache\mouhid.sys
2011-01-05 20:01 . 2001-08-18 02:22	12288	----a-w-	c:\winxp\system32\drivers\mouhid.sys
2011-01-05 20:01 . 2008-04-13 22:15	10368	-c--a-w-	c:\winxp\system32\dllcache\hidusb.sys
2011-01-05 20:01 . 2008-04-13 22:15	10368	----a-w-	c:\winxp\system32\drivers\hidusb.sys

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 18:38 . 2006-06-23 10:13	114688	----a-w-	c:\winxp\system32\liclock.dll
2008-10-13 12:43 . 2008-10-13 12:37	718824	----a-w-	c:\programme\MatroskaSplitter.exe
2008-08-03 11:58 . 2008-08-03 11:58	367643	----a-w-	c:\programme\gmid2wav!.exe
2008-01-31 18:27 . 2008-01-31 18:25	4230520	----a-w-	c:\programme\dMC-r12.4.exe
2008-01-06 19:00 . 2008-01-06 18:59	16455833	----a-w-	c:\programme\Tsunami_Filter_Pack_3_9_9.exe
2008-01-02 17:43 . 2008-01-02 17:43	187365	----a-w-	c:\programme\RedEye.exe
2007-12-26 14:46 . 2007-12-26 14:44	5740099	----a-w-	c:\programme\die_gilde_gold_patch_2_06.exe
2007-12-26 12:03 . 2007-12-26 12:03	1916471	----a-w-	c:\programme\tribesv_update_ger_10_101.exe
2007-12-11 20:41 . 2007-12-11 20:40	2820758	----a-w-	c:\programme\Avisynth_257.exe
2007-12-01 15:50 . 2007-12-01 15:50	242480	----a-w-	c:\programme\SCKeeper105_Setup.exe
2007-11-27 19:41 . 2007-11-27 19:39	17766840	----a-w-	c:\programme\DivXInstaller.exe
2007-11-27 19:38 . 2007-11-27 19:38	5532619	----a-w-	c:\programme\DrDivX_2_0_0_OSS.exe
2007-11-27 00:54 . 2007-11-27 00:53	11330092	----a-w-	c:\programme\avidemux_2.4_preview2_win32.exe
2007-11-27 00:50 . 2007-11-27 00:50	336229	----a-w-	c:\programme\GameCamSetup14.exe
2007-11-27 00:39 . 2007-11-27 00:39	159122	----a-w-	c:\programme\audioscrobbler.wa.1.1.10.exe
2007-11-26 22:09 . 2007-11-26 22:08	21321008	----a-w-	c:\programme\QuickTimeInstaller73.exe
2007-11-26 22:03 . 2007-11-26 22:02	25534936	----a-w-	c:\programme\tunebite.exe
2007-11-26 21:40 . 2007-11-26 21:40	1492991	----a-w-	c:\programme\RADTools.exe
2007-11-03 13:07 . 2007-11-03 13:03	15062528	----a-w-	c:\programme\bgintl114315.exe
2007-11-03 13:04 . 2007-11-03 13:03	8030790	----a-w-	c:\programme\BGII-ThroneofBhaal_Patch_26498_EUROPEAN.exe
2007-11-03 12:25 . 2007-11-03 12:24	3073172	----a-w-	c:\programme\Tutufix_v17.exe
2007-11-02 15:50 . 2007-11-02 15:50	3213312	----a-w-	c:\programme\r32_g20_3sm.exe
2007-11-02 13:28 . 2007-11-02 13:27	11917655	----a-w-	c:\programme\quicktimealt190.exe
.

------- Sigcheck -------

[-] 2008-12-10 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Personal ID"="c:\progra~1\COOLSP~1\PERSON~1\PID.EXE" [2009-03-04 1134008]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2010-11-16 172856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PRISMSVR.EXE"="c:\programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" [2004-04-26 295001]
"SoundMan"="SOUNDMAN.EXE" [2003-02-27 47104]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2005-11-08 128920]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-04-12 1135912]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2003-04-17 12288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

c:\dokumente und einstellungen\Harbinger\Startmen\Programme\Autostart\
Mozilla Thunderbird.lnk - c:\programme\Mozilla Thunderbird\thunderbird.exe [2008-1-15 12584112]

c:\dokumente und einstellungen\All Users.WINXP\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-4-29 65588]
T-Com WLAN Manager.lnk - c:\programme\T-Com\Sinus 154 data II\TS154USB.exe [2004-6-8 327680]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\strange-eons.exe"=
"c:\\Dokumente und Einstellungen\\Harbinger\\Eigene Dateien\\FLV_Player_Setup.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Real Alternative\\Media Player Classic\\mplayerc.exe"=
"c:\\Games\\Unreal Tournament\\System\\UnrealTournament.exe"=

R0 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [18.02.2010 07:51 664064]
R2 PPCLASS;PPCLASS;c:\winxp\system32\drivers\ppclass.sys [18.02.2010 20:08 85868]
R2 PPSCAN;PPSCAN;c:\winxp\system32\drivers\ppscan.sys [18.02.2010 20:08 120544]
R3 DT154_A02;Sinus 154 data II Driver;c:\winxp\system32\drivers\TS154USB.sys [04.12.2007 17:34 379264]
S3 cusbohcn;cusbohcn;\??\c:\dokume~1\HARBIN~1\LOKALE~1\Temp\cusbohcn.sys --> c:\dokume~1\HARBIN~1\LOKALE~1\Temp\cusbohcn.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://so92.com/?
mStart Page = hxxp://so92.com/?
IE: Link to &MidpX - c:\programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm
FF - ProfilePath - c:\dokumente und einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\
FF - prefs.js: browser.startup.homepage - hxxp://forum.worldofplayers.de/forum/index.php
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: FireFTP: {a7c6cf7f-112c-4500-a7ea-39801a327e5f} - %profile%\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Grotesque-Tactics - c:\games\Grotesque-Tactics\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-17 18:14
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  Personal ID = c:\progra~1\COOLSP~1\PERSON~1\PID.EXE? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\winxp\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-01-17  18:18:44
ComboFix-quarantined-files.txt  2011-01-17 17:18

Vor Suchlauf: 21 Verzeichnis(se), 137.488.158.720 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 137.532.669.952 Bytes frei

- - End Of File - - 10175D6D8D398389543872AACAFF3BCB
         
--- --- ---

Alt 17.01.2011, 17:41   #9
markusg
/// Malware-holic
 
Automatische Screenshots im Temp-Ordner - Standard

Automatische Screenshots im Temp-Ordner



mach mal nen update von malwarebytes, komplett scan und dann das log posten, funde entfernen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 17.01.2011, 20:31   #10
Harbinger
 
Automatische Screenshots im Temp-Ordner - Standard

Automatische Screenshots im Temp-Ordner



Okay, ist gerade fertig geworden. Hier das Log:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5541

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

17.01.2011 21:31:00
mbam-log-2011-01-17 (21-31-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 487767
Laufzeit: 2 Stunde(n), 15 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{56acfa70-864b-4362-92ac-be493f1bb820}\RP177\A0076430.exe (Trojan.Chekafe) -> Quarantined and deleted successfully.
c:\system volume information\_restore{56acfa70-864b-4362-92ac-be493f1bb820}\RP177\A0076431.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{56acfa70-864b-4362-92ac-be493f1bb820}\RP177\A0076436.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\system volume information\_restore{56acfa70-864b-4362-92ac-be493f1bb820}\RP177\A0076437.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\system volume information\_restore{56acfa70-864b-4362-92ac-be493f1bb820}\RP177\A0076438.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\programme\daemon tools\setupdtsb.exe (Adware.WhenU) -> Quarantined and deleted successfully.
c:\WINDOWS\Udat1123.exe (Spyware.Passwords) -> Quarantined and deleted successfully.

Alt 18.01.2011, 12:19   #11
markusg
/// Malware-holic
 
Automatische Screenshots im Temp-Ordner - Standard

Automatische Screenshots im Temp-Ordner



lade den CCleaner slim:
Piriform - Builds
falls der CCleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Automatische Screenshots im Temp-Ordner
0x00000001, adblock, adobe, adware.whenu, alternate, assembly, bho, cdburnerxp, desktop, einstellungen, error, explorer, firefox, firefox.exe, flash player, format, helper, ip-adresse, launch, location, malware, maximal, mozilla, mozilla thunderbird, namespace.hijack, neustart, object, oldtimer, otl.exe, problem, realtek, registry, rundll, saver, searchplugins, security, shell32.dll, software, sptd.sys, spyware.onlinegames, staropen, system restore, temp, udp, vista, vlc media player, wlan



Ähnliche Themen: Automatische Screenshots im Temp-Ordner


  1. Windows 7: Viren im Temp-Ordner
    Log-Analyse und Auswertung - 19.11.2014 (13)
  2. Automatische Ordner unter Winows 8.1 endgültig löschen
    Alles rund um Windows - 12.11.2014 (4)
  3. Sonderbarer Ordner im Win Temp Ordner
    Alles rund um Windows - 14.02.2014 (1)
  4. tr crypt.zpack.gen im Temp Ordner
    Plagegeister aller Art und deren Bekämpfung - 18.11.2010 (20)
  5. TR/Dropper.Gen im Windows\Temp Ordner
    Plagegeister aller Art und deren Bekämpfung - 01.07.2010 (1)
  6. über 20 Trojaner im Temp ordner!
    Plagegeister aller Art und deren Bekämpfung - 04.06.2010 (1)
  7. Wiederkehrender Trojanerbefall via Temp Ordner
    Log-Analyse und Auswertung - 01.06.2010 (15)
  8. SCREENSHOTS im Temp-Ordner
    Log-Analyse und Auswertung - 20.04.2010 (1)
  9. Trojaner im System32 und Temp Ordner
    Plagegeister aller Art und deren Bekämpfung - 05.01.2009 (1)
  10. Mehrere .tmp Trojaner im Temp Ordner
    Mülltonne - 08.11.2008 (4)
  11. Komische Datei im Temp ordner
    Plagegeister aller Art und deren Bekämpfung - 25.09.2008 (1)
  12. winlogon.exe im Temp Ordner!! Trojaner?!
    Log-Analyse und Auswertung - 13.05.2008 (6)
  13. mx_**.temp dateien in windows/temp ordner?
    Plagegeister aller Art und deren Bekämpfung - 27.06.2007 (1)
  14. TR/Crypt.XPACK.Gen im TEMP-Ordner
    Plagegeister aller Art und deren Bekämpfung - 08.04.2007 (2)
  15. eine anfängerfrage: temp ordner
    Alles rund um Windows - 04.01.2006 (18)
  16. Temp und Cache Ordner
    Alles rund um Windows - 10.03.2005 (7)
  17. Mega-Dateien im TEMP-Ordner????
    Alles rund um Windows - 07.12.2004 (2)

Zum Thema Automatische Screenshots im Temp-Ordner - Tag zusammen, ich habe dasselbe Problem, das schon mal hier geschildert wurde, habe den Hinweisen da entsprechend Anit Malware und OTL ausgeführt. Hier die Logfiles: Zitat: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org - Automatische Screenshots im Temp-Ordner...
Archiv
Du betrachtest: Automatische Screenshots im Temp-Ordner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.