Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: syscheckrt.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.02.2011, 10:37   #1
outa
 
syscheckrt.exe - Standard

syscheckrt.exe



Hi,

ich habe gestern besagte verdächtige Datei ("syscheckrt.exe") in meinem Task-Manager gesehen. Ich hatte die gleichen Symptome wie in diesem Thread: http://www.trojaner-board.de/95138-t...enttaste.html, ca seit einer Woche, also solang wohl auch schon den Virus. Seit ein paar Tagen sind außerdem verschiedene Anwendungen (z.b. rundll32.exe) öfters abgestürzt.
Ich habe dann im abgesicherten Modus gestartet und per HijackThis den Registry-Eintrag und per Konsole die Datei gelöscht. Danach waren die Symptome weg.

Logdateien folgen.. Was für mich noch wichtig zu wissen wäre: weiß jemand, was genau der Wurm anrichtet? Sind z.b. meine Passwörter kompromittiert? Ich habe die wichtigsten (Online-Banking etc) schon geändert, die Frage ist, ob ich das jetzt bei allen machen sollte.


HijackThis:
Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 09:22:30, on 11.02.2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16722)

Running processes:
E:\Downloads\Diagnose&Security\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Catalyst\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe Acrobat\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [syscheckrt.exe] C:\syscheckrt\syscheckrt.exe
O4 - Startup: Dropbox.lnk = lutz\AppData\Roaming\Dropbox\bin\Dropbox.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International
O13 - Gopher Prefix: 
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} (JuniperSetupClientControl Class) - https://juniper.net/dana-cached/sc/JuniperSetupClient.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)
         
Malwarebytes:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5739

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

11.02.2011 10:18:48
mbam-log-2011-02-11 (10-18-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 475094
Laufzeit: 31 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecycleFiles (PUM.Disable.Recycle) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\lutz\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\1GLIHW4L\az3[1].exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Users\lutz\AppData\Local\Temp\9480.tmp (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
e:\downloads\Internet\mIRC\mirc612.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
e:\downloads\Tools\ventrilo-2.1.4.exe (Trojan.Dropper) -> Not selected for removal.
e:\Lutz\Fun\neu\fr029\fr029.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.
         
OTL:
Code:
ATTFilter
OTL logfile created on: 11.02.2011 10:27:06 - Run 1
OTL by OldTimer - Version 3.2.20.6     Folder = C:\Users\lutz\Desktop
64bit- An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 69,00% Memory free
8,00 Gb Paging File | 7,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 29,20 Gb Total Space | 6,50 Gb Free Space | 22,24% Space Free | Partition Type: NTFS
Drive D: | 195,31 Gb Total Space | 180,78 Gb Free Space | 92,56% Space Free | Partition Type: NTFS
Drive E: | 195,31 Gb Total Space | 68,03 Gb Free Space | 34,83% Space Free | Partition Type: NTFS
Drive F: | 177,31 Gb Total Space | 82,75 Gb Free Space | 46,67% Space Free | Partition Type: NTFS
Drive G: | 144,29 Gb Total Space | 129,24 Gb Free Space | 89,57% Space Free | Partition Type: NTFS
 
Computer Name: DESKTOP | User Name: lutz | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\lutz\Desktop\OTL.exe (OldTimer Tools)
PRC - D:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Users\lutz\AppData\Roaming\Dropbox\bin\Dropbox.exe ()
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\lutz\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (AMD External Events Utility) -- C:\Windows\SysNative\atiesrxx.exe (AMD)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Steam Client Service) -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (LBTServ) -- C:\Programme\Common Files\LogiShrd\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH)
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH)
DRV:64bit: - (arusb_win7x) -- C:\Windows\SysNative\drivers\arusb_win7x.sys (Atheros Communications, Inc.)
DRV:64bit: - (LUsbFilt) -- C:\Windows\SysNative\drivers\LUsbFilt.sys (Logitech, Inc.)
DRV:64bit: - (LMouFilt) -- C:\Windows\SysNative\drivers\LMouFilt.Sys (Logitech, Inc.)
DRV:64bit: - (LHidFilt) -- C:\Windows\SysNative\drivers\LHidFilt.Sys (Logitech, Inc.)
DRV:64bit: - (atikmdag) -- C:\Windows\SysNative\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek                                            )
DRV:64bit: - (RTHDMIAzAudService) -- C:\Windows\SysNative\drivers\RtHDMIVX.sys (Realtek Semiconductor Corp.)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (Ntfs) -- C:\Windows\SysNative\wbem\ntfs.mof ()
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV - (gdrv) -- C:\Windows\gdrv.sys (Windows (R) Server 2003 DDK provider)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
 
 
 
 
 
 
IE - HKU\S-1-5-21-3917745244-3809735353-2045529254-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-3917745244-3809735353-2045529254-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-3917745244-3809735353-2045529254-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = F1 10 74 69 7D 4F CB 01  [binary data]
IE - HKU\S-1-5-21-3917745244-3809735353-2045529254-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "about:blank"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3
FF - prefs.js..extensions.enabledItems: {455D905A-D37C-4643-A9E2-F6FEFAA0424A}:0.8.14
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.2
FF - prefs.js..extensions.enabledItems: {02450954-cdd9-410f-b1da-db804e18c671}:0.96.3
FF - prefs.js..extensions.enabledItems: {E19DF523-EFFD-48d2-95A2-883CB3BA32A4}:1.6.0.7
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: D:\Programme\Mozilla Firefox\components [2010.12.10 23:22:54 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2011.02.11 09:45:45 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.1\extensions\\Components: D:\Programme\Mozilla Thunderbird\components [2010.12.09 21:13:40 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.1\extensions\\Plugins: D:\Programme\Mozilla Thunderbird\plugins
 
[2010.02.19 21:17:21 | 000,000,000 | ---D | M] (No name found) -- C:\Users\lutz\AppData\Roaming\mozilla\Extensions
[2010.02.19 21:17:21 | 000,000,000 | ---D | M] (No name found) -- C:\Users\lutz\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.02.11 09:40:53 | 000,000,000 | ---D | M] (No name found) -- C:\Users\lutz\AppData\Roaming\mozilla\Firefox\Profiles\f49uujz8.default\extensions
[2010.03.26 21:43:58 | 000,000,000 | ---D | M] (Screengrab) -- C:\Users\lutz\AppData\Roaming\mozilla\Firefox\Profiles\f49uujz8.default\extensions\{02450954-cdd9-410f-b1da-db804e18c671}
[2011.01.27 21:47:07 | 000,000,000 | ---D | M] (RefControl) -- C:\Users\lutz\AppData\Roaming\mozilla\Firefox\Profiles\f49uujz8.default\extensions\{455D905A-D37C-4643-A9E2-F6FEFAA0424A}
[2011.01.11 15:25:42 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\lutz\AppData\Roaming\mozilla\Firefox\Profiles\f49uujz8.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2011.01.03 02:35:58 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\lutz\AppData\Roaming\mozilla\Firefox\Profiles\f49uujz8.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.04.21 17:41:24 | 000,000,000 | ---D | M] (Torbutton) -- C:\Users\lutz\AppData\Roaming\mozilla\Firefox\Profiles\f49uujz8.default\extensions\{e0204bd5-9d31-402b-a99d-a6aa8ffebdca}
[2010.07.21 17:08:55 | 000,000,000 | ---D | M] (QuietUrl) -- C:\Users\lutz\AppData\Roaming\mozilla\Firefox\Profiles\f49uujz8.default\extensions\{E19DF523-EFFD-48d2-95A2-883CB3BA32A4}
[2010.03.24 16:16:03 | 000,001,959 | ---- | M] () -- C:\Users\lutz\AppData\Roaming\Mozilla\Firefox\Profiles\f49uujz8.default\searchplugins\lastfm.xml
[2011.01.31 12:28:22 | 000,001,872 | ---- | M] () -- C:\Users\lutz\AppData\Roaming\Mozilla\Firefox\Profiles\f49uujz8.default\searchplugins\musicbrainz-release-indexed.xml
[2011.02.09 14:42:35 | 000,001,840 | ---- | M] () -- C:\Users\lutz\AppData\Roaming\Mozilla\Firefox\Profiles\f49uujz8.default\searchplugins\score11-filmsuche.xml
[2010.03.24 16:09:58 | 000,000,888 | ---- | M] () -- C:\Users\lutz\AppData\Roaming\Mozilla\Firefox\Profiles\f49uujz8.default\searchplugins\torrentsto.xml
[2010.03.24 16:03:37 | 000,001,330 | ---- | M] () -- C:\Users\lutz\AppData\Roaming\Mozilla\Firefox\Profiles\f49uujz8.default\searchplugins\wikipedia-en.xml
[2010.03.24 16:17:06 | 000,002,057 | ---- | M] () -- C:\Users\lutz\AppData\Roaming\Mozilla\Firefox\Profiles\f49uujz8.default\searchplugins\youtube-video-search.xml
[2010.02.19 20:52:36 | 000,000,000 | ---D | M] (Java Console) -- D:\PROGRAMME\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
 
O1 HOSTS File: ([2009.06.10 22:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O4:64bit: - HKLM..\Run: [EvtMgr6] D:\Programme\Logitech\SetPointP\SetPoint.exe (Logitech, Inc.)
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] D:\Programme\Adobe Acrobat\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [StartCCC] D:\Programme\ATI Catalyst\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin]  File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin]  File not found
O4 - Startup: C:\Users\lutz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\lutz\AppData\Roaming\Dropbox\bin\Dropbox.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKU\S-1-5-21-3917745244-3809735353-2045529254-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-3917745244-3809735353-2045529254-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecycleFiles = 0
O13 - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} https://juniper.net/dana-cached/sc/JuniperSetupClient.cab (JuniperSetupClientControl Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20:64bit: - Winlogon\Notify\LBTWlgn: DllName - Reg Error: Key error. - c:\Programme\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.02.11 09:33:03 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2011.02.11 09:33:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2011.02.09 16:08:22 | 000,602,624 | ---- | C] (OldTimer Tools) -- C:\Users\lutz\Desktop\OTL.exe
[2011.02.09 16:08:03 | 000,000,000 | ---D | C] -- C:\Users\lutz\AppData\Roaming\Malwarebytes
[2011.02.09 16:07:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2011.02.09 16:07:31 | 000,024,152 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2011.02.08 22:32:32 | 000,599,040 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msfeeds.dll
[2011.02.08 22:32:31 | 000,703,488 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msfeeds.dll
[2011.02.08 22:32:31 | 000,256,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\iepeers.dll
[2011.02.08 22:32:31 | 000,247,808 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieui.dll
[2011.02.08 22:32:31 | 000,185,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\iepeers.dll
[2011.02.08 22:32:31 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieui.dll
[2011.02.08 22:32:31 | 000,097,280 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmled.dll
[2011.02.08 22:32:31 | 000,067,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmled.dll
[2011.02.08 22:32:31 | 000,057,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\licmgr10.dll
[2011.02.08 22:32:31 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\licmgr10.dll
[2011.02.08 22:32:30 | 000,482,816 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\html.iec
[2011.02.08 22:32:30 | 000,386,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\html.iec
[2011.02.08 22:32:30 | 000,012,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msfeedssync.exe
[2011.02.08 22:32:30 | 000,012,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msfeedssync.exe
[2011.02.08 22:32:21 | 000,852,480 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript.dll
[2011.02.08 22:32:21 | 000,612,352 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\vbscript.dll
[2011.02.08 22:32:20 | 000,716,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript.dll
[2011.02.08 22:32:19 | 005,510,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntoskrnl.exe
[2011.02.08 22:32:19 | 003,957,120 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ntkrnlpa.exe
[2011.02.08 22:32:19 | 003,901,824 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ntoskrnl.exe
[2011.02.08 22:32:19 | 001,739,176 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntdll.dll
[2011.02.08 22:31:41 | 000,366,080 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysNative\atmfd.dll
[2011.02.08 22:31:41 | 000,294,400 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\SysWow64\atmfd.dll
[2011.02.08 22:31:41 | 000,046,080 | ---- | C] (Adobe Systems) -- C:\Windows\SysNative\atmlib.dll
[2011.02.08 22:31:41 | 000,034,304 | ---- | C] (Adobe Systems) -- C:\Windows\SysWow64\atmlib.dll
[2011.02.06 23:55:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mp3Tag
[2011.02.02 16:25:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN
[2011.01.25 13:01:16 | 000,000,000 | ---D | C] -- C:\Users\lutz\AppData\Roaming\Juniper Networks
 
========== Files - Modified Within 30 Days ==========
 
[2011.02.11 10:27:01 | 000,022,624 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2011.02.11 10:27:01 | 000,022,624 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2011.02.11 10:23:58 | 001,472,002 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2011.02.11 10:23:58 | 000,643,628 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2011.02.11 10:23:58 | 000,606,992 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2011.02.11 10:23:58 | 000,126,188 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2011.02.11 10:23:58 | 000,103,370 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2011.02.11 10:19:40 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.02.11 10:19:35 | 3220,037,632 | -HS- | M] () -- C:\hiberfil.sys
[2011.02.09 16:08:24 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Users\lutz\Desktop\OTL.exe
[2011.02.09 14:42:57 | 000,000,932 | ---- | M] () -- C:\Users\lutz\Desktop\Trillian.lnk
[2011.02.09 14:36:48 | 000,003,008 | ---- | M] () -- C:\Users\lutz\Desktop\Star.java
[2011.02.09 14:27:16 | 000,289,296 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2011.02.06 23:59:35 | 000,000,337 | ---- | M] () -- C:\Users\lutz\AppData\Local\Perfmon.PerfmonCfg
[2011.01.28 01:42:39 | 001,202,119 | ---- | M] () -- C:\Users\lutz\Desktop\Engel, The Immorality of Eating Meat (2000).pdf
[2011.01.24 23:01:19 | 006,465,810 | ---- | M] () -- C:\Users\lutz\Desktop\Probability_Theory_The_Logic_Of_Science_-_E._T._Jaynes.pdf
[2011.01.17 01:29:28 | 000,120,674 | ---- | M] () -- C:\Users\lutz\Desktop\stundenplan.png
 
========== Files Created - No Company Name ==========
 
[2011.02.09 14:36:47 | 000,003,008 | ---- | C] () -- C:\Users\lutz\Desktop\Star.java
[2011.02.06 23:59:35 | 000,000,337 | ---- | C] () -- C:\Users\lutz\AppData\Local\Perfmon.PerfmonCfg
[2011.01.28 01:42:31 | 001,202,119 | ---- | C] () -- C:\Users\lutz\Desktop\Engel, The Immorality of Eating Meat (2000).pdf
[2011.01.24 23:01:19 | 006,465,810 | ---- | C] () -- C:\Users\lutz\Desktop\Probability_Theory_The_Logic_Of_Science_-_E._T._Jaynes.pdf
[2010.09.01 20:51:23 | 000,017,408 | ---- | C] () -- C:\Users\lutz\AppData\Local\WebpageIcons.db
[2010.06.13 18:26:10 | 000,000,600 | ---- | C] () -- C:\Users\lutz\AppData\Local\PUTTY.RND
[2010.04.04 16:14:05 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
[2010.02.18 20:05:27 | 000,000,010 | ---- | C] () -- C:\Windows\GSetup.ini
[2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll
[2009.07.13 22:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2004.03.30 21:47:44 | 000,049,152 | ---- | C] () -- C:\Windows\SysWow64\nl_msgs.dll
[2004.03.30 21:47:41 | 000,065,536 | ---- | C] () -- C:\Windows\SysWow64\nl_msgc.dll
 
========== LOP Check ==========
 
[2010.09.26 10:53:55 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\.minecraft
[2010.12.18 14:33:41 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\Audacity
[2011.02.11 10:20:14 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\Dropbox
[2010.09.08 14:23:49 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\gnupg
[2010.05.18 00:20:54 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\gtk-2.0
[2011.01.25 13:01:18 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\Juniper Networks
[2010.03.23 12:30:03 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\Leadertech
[2010.03.27 22:55:38 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\LockTime
[2010.03.27 19:31:17 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\Mp3tag
[2010.04.15 22:20:29 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\nltk_data
[2010.03.29 20:34:07 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\Notepad++
[2010.02.19 21:11:50 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\OpenOffice.org
[2010.04.17 22:32:11 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\SWI-Prolog
[2010.02.19 21:17:21 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\Thunderbird
[2010.02.21 14:31:46 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\TrueCrypt
[2011.02.09 02:03:00 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\uTorrent
[2010.05.02 22:09:55 | 000,000,000 | ---D | M] -- C:\Users\lutz\AppData\Roaming\xpce
[2010.11.08 11:38:58 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 

< End of report >
         
Code:
ATTFilter
OTL Extras logfile created on: 11.02.2011 10:27:06 - Run 1
OTL by OldTimer - Version 3.2.20.6     Folder = C:\Users\lutz\Desktop
64bit- An unknown product  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 69,00% Memory free
8,00 Gb Paging File | 7,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 29,20 Gb Total Space | 6,50 Gb Free Space | 22,24% Space Free | Partition Type: NTFS
Drive D: | 195,31 Gb Total Space | 180,78 Gb Free Space | 92,56% Space Free | Partition Type: NTFS
Drive E: | 195,31 Gb Total Space | 68,03 Gb Free Space | 34,83% Space Free | Partition Type: NTFS
Drive F: | 177,31 Gb Total Space | 82,75 Gb Free Space | 46,67% Space Free | Partition Type: NTFS
Drive G: | 144,29 Gb Total Space | 129,24 Gb Free Space | 89,57% Space Free | Partition Type: NTFS
 
Computer Name: DESKTOP | User Name: lutz | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
[HKEY_USERS\S-1-5-21-3917745244-3809735353-2045529254-1000\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1" File not found
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l File not found
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java(TM) 6 Update 20 (64-bit)
"{2ACBF1FA-F5C3-4B19-A774-B22A31F231B9}_is1" = Media Player Classic - Home Cinema v. 1.3.1249.0
"{350AA351-21FA-3270-8B7A-835434E766AD}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.21022
"{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148
"{5F94D3B9-2B02-9C37-740B-A59C7B8D17CC}" = ATI Catalyst Install Manager
"{64A3A4F4-B792-11D6-A78A-00B0D0160200}" = Java(TM) SE Development Kit 6 Update 20 (64-bit)
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{A792E67C-FDA4-A301-0C3C-53BA86EFBB5A}" = ccc-utility64
"nbi-nb-base-6.8.0.0.0" = NetBeans IDE 6.8
"SP6" = Logitech SetPoint 6.0
"WinRAR archiver" = WinRAR
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{3D6A24EA-A543-6C84-351E-D7646E7AB86E}" = Catalyst Control Center InstallProxy
"{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = eReg
"{47CAFF95-C3D8-ABF2-70BC-89DE00D8FB19}" = Catalyst Control Center Graphics Light
"{4962EBAC-AE7C-1B22-1EA0-0916A7E40954}" = Catalyst Control Center Graphics Full Existing
"{49A62E2B-B35C-941D-DF48-601207CF14C0}" = Catalyst Control Center Graphics Previews Common
"{5449FB4F-1802-4D5B-A6D8-087DB1142147}" = Realtek HDMI Audio Driver for ATI
"{6A490E11-6C8A-777C-4E00-43F3CC16A1EC}" = CCC Help English
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{77919701-C3E7-09AA-D2F7-DBF42CD7C13D}" = Catalyst Control Center HydraVision Full
"{78B2F09F-BDC7-7865-CF4C-233B64A3BE51}" = Catalyst Control Center Graphics Full New
"{87BB78C4-F36D-4D93-A7C7-F80F18219848}" = AMD DnD V1.0.19
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek Ethernet Controller  Driver
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{8D7133DE-27D2-47E5-B248-4180278D32AA}" = Catalyst Control Center - Branding
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.2 - Deutsch
"{D241BBEC-B1C7-7953-EDDE-D90A654A8D2C}" = ccc-core-static
"{D5C24E77-099E-9B84-5BE2-708E70B938A9}" = Catalyst Control Center Core Implementation
"{DC4757E2-BAE3-0BFE-C6E5-576CB911FF52}" = Catalyst Control Center Graphics Previews Vista
"{E503B4BF-F7BB-3D5F-8BC8-F694B1CFF942}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022.218
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0
"{e7394a0f-3f80-45b1-87fc-abcd51893246}" = Python 2.6.4
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.11 (Unicode)
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CDex" = CDex extraction audio
"Dia" = Dia (nur entfernen)
"EvilLyrics" = EvilLyrics
"Exifer_is1" = Exifer
"GnuPG" = GNU Privacy Guard
"GPL Ghostscript 8.70" = GPL Ghostscript 8.70
"GSview 4.9" = GSview 4.9
"HijackThis" = HijackThis 1.99.1
"IrfanView" = IrfanView (remove only)
"Juniper_Setup_Client Activex Control" = Juniper Networks Setup Client Activex Control
"LAME for Audacity_is1" = LAME v3.98.2 for Audacity
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MatlabR2009b" = MATLAB R2009b
"MiKTeX 2.8" = MiKTeX 2.8
"mIRC" = mIRC
"Mozilla Firefox (3.6)" = Mozilla Firefox (3.6)
"Mozilla Thunderbird (3.0.1)" = Mozilla Thunderbird (3.0.1)
"Mp3tag" = Mp3tag v2.48
"NetLimiter" = NetLimiter 1.30 (remove only)
"nltk-py2.6" = Python 2.6 nltk-2.0b8
"Notepad++" = Notepad++
"Steam App 400" = Portal
"Steam App 630" = Alien Swarm
"SWI-Prolog" = SWI-Prolog (remove only)
"TeXnicCenter_is1" = TeXnicCenter Version 1.0 Stable RC1
"Trillian" = Trillian
"TrueCrypt" = TrueCrypt
"uTorrent" = µTorrent
"VLC media player" = VLC media player 1.1.6
"Winamp" = Winamp
"Zattoo4" = Zattoo4 4.0.5
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-3917745244-3809735353-2045529254-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
"Juniper_Setup_Client" = Juniper Networks Setup Client
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7)
"PyYAML-py2.6" = Python 2.6 PyYAML-3.09
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 08.02.2011 17:02:33 | Computer Name = desktop | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: AdobeARM.exe, Version: 1.4.7.0, Zeitstempel:
 0x4c98fb16  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0, Zeitstempel:
 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0baf4d15  ID des fehlerhaften Prozesses:
 0xbc8  Startzeit der fehlerhaften Anwendung: 0x01cbc7d37fc3bdde  Pfad der fehlerhaften
 Anwendung: C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe  Pfad des
 fehlerhaften Moduls: unknown  Berichtskennung: bf2fcb71-33c6-11e0-862a-00241ddda067
 
Error - 08.02.2011 17:03:55 | Computer Name = desktop | Source = Application Hang | ID = 1002
Description = Programm firefox.exe, Version 1.9.2.3989 kann nicht mehr unter Windows
 ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: ef4    Startzeit: 
01cbc7d3897417b9    Endzeit: 0    Anwendungspfad: D:\Programme\Mozilla Firefox\firefox.exe

Berichts-ID:
 eec21983-33c6-11e0-862a-00241ddda067  
 
Error - 08.02.2011 17:16:26 | Computer Name = desktop | Source = Application Hang | ID = 1002
Description = Programm plugin-container.exe, Version 1.9.2.3989 kann nicht mehr 
unter Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf
 in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
 zu suchen.    Prozess-ID: c04    Startzeit: 01cbc7d3c89289a1    Endzeit: 6    Anwendungspfad: D:\Programme\Mozilla
 Firefox\plugin-container.exe    Berichts-ID: ae72dffc-33c8-11e0-862a-00241ddda067  
 
Error - 09.02.2011 09:39:37 | Computer Name = desktop | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: rundll32.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc637  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0baf4d15  ID des fehlerhaften
 Prozesses: 0x7d0  Startzeit der fehlerhaften Anwendung: 0x01cbc85ecb41ef09  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\rundll32.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: 094a1869-3452-11e0-949e-00241ddda067
 
Error - 09.02.2011 09:41:04 | Computer Name = desktop | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: rundll32.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc637  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0baf4d15  ID des fehlerhaften
 Prozesses: 0x1098  Startzeit der fehlerhaften Anwendung: 0x01cbc85eff782d3f  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\rundll32.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: 3d282335-3452-11e0-949e-00241ddda067
 
Error - 09.02.2011 09:47:45 | Computer Name = desktop | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: rundll32.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc637  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0baf4d15  ID des fehlerhaften
 Prozesses: 0xe08  Startzeit der fehlerhaften Anwendung: 0x01cbc85fede2661f  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\rundll32.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: 2c10407c-3453-11e0-949e-00241ddda067
 
Error - 09.02.2011 09:54:25 | Computer Name = desktop | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: rundll32.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc637  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0baf4d15  ID des fehlerhaften
 Prozesses: 0x119c  Startzeit der fehlerhaften Anwendung: 0x01cbc860dc6fb7e2  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\rundll32.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: 1a7d86a7-3454-11e0-949e-00241ddda067
 
Error - 09.02.2011 10:14:25 | Computer Name = desktop | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: rundll32.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc637  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0baf7838  ID des fehlerhaften
 Prozesses: 0x1090  Startzeit der fehlerhaften Anwendung: 0x01cbc863a7e7c2d7  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\rundll32.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: e5bcf498-3456-11e0-949e-00241ddda067
 
Error - 09.02.2011 10:21:05 | Computer Name = desktop | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: rundll32.exe, Version: 6.1.7600.16385,
 Zeitstempel: 0x4a5bc637  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0baf4d15  ID des fehlerhaften
 Prozesses: 0x6e4  Startzeit der fehlerhaften Anwendung: 0x01cbc8649634af49  Pfad der
 fehlerhaften Anwendung: C:\Windows\SysWOW64\rundll32.exe  Pfad des fehlerhaften Moduls:
 unknown  Berichtskennung: d428db2e-3457-11e0-949e-00241ddda067
 
Error - 09.02.2011 10:35:08 | Computer Name = desktop | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: LogitechUpdate.exe, Version: 1.80.114.0,
 Zeitstempel: 0x4b03a998  Name des fehlerhaften Moduls: unknown, Version: 0.0.0.0,
 Zeitstempel: 0x00000000  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0baf7838  ID des fehlerhaften
 Prozesses: 0xd48  Startzeit der fehlerhaften Anwendung: 0x01cbc8668bad3ee0  Pfad der
 fehlerhaften Anwendung: D:\Programme\Logitech\SetPointP\LU\LogitechUpdate.exe  Pfad
 des fehlerhaften Moduls: unknown  Berichtskennung: cac13989-3459-11e0-a260-00241ddda067
 
[ System Events ]
Error - 26.01.2011 21:39:29 | Computer Name = desktop | Source = atikmdag | ID = 43029
Description = Display is not active
 
Error - 27.01.2011 16:34:33 | Computer Name = desktop | Source = atikmdag | ID = 52236
Description = CPLIB :: General - Invalid Parameter
 
Error - 27.01.2011 16:34:33 | Computer Name = desktop | Source = atikmdag | ID = 43029
Description = Display is not active
 
Error - 27.01.2011 17:20:15 | Computer Name = desktop | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
Error - 28.01.2011 10:26:36 | Computer Name = desktop | Source = atikmdag | ID = 52236
Description = CPLIB :: General - Invalid Parameter
 
Error - 28.01.2011 10:26:36 | Computer Name = desktop | Source = atikmdag | ID = 43029
Description = Display is not active
 
Error - 29.01.2011 11:26:55 | Computer Name = desktop | Source = atikmdag | ID = 52236
Description = CPLIB :: General - Invalid Parameter
 
Error - 29.01.2011 11:26:55 | Computer Name = desktop | Source = atikmdag | ID = 43029
Description = Display is not active
 
Error - 30.01.2011 09:25:26 | Computer Name = desktop | Source = atikmdag | ID = 52236
Description = CPLIB :: General - Invalid Parameter
 
Error - 30.01.2011 09:25:26 | Computer Name = desktop | Source = atikmdag | ID = 43029
Description = Display is not active
 
 
< End of report >
         

Geändert von outa (11.02.2011 um 10:46 Uhr)

Alt 11.02.2011, 12:18   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
syscheckrt.exe - Standard

syscheckrt.exe



Zitat:
e:\downloads\Tools\ventrilo-2.1.4.exe (Trojan.Dropper) -> Not selected for removal.
e:\Lutz\Fun\neu\fr029\fr029.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.
Wasndas und auch welchen Quellen stammt das?
__________________

__________________

Geändert von cosinus (11.02.2011 um 12:23 Uhr)

Alt 11.02.2011, 13:28   #3
outa
 
syscheckrt.exe - Standard

syscheckrt.exe



Zitat:
Zitat von cosinus Beitrag anzeigen
Wasndas und auch welchen Quellen stammt das?
das erste ist eine alte Ventrilo-Version, müsste von der offiziellen Download-Seite stammen.

das zweite keine ahnung, liegt schon ewig da rum und hab ich glaub ich auch nie angeklickt.
__________________

Alt 11.02.2011, 13:47   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
syscheckrt.exe - Standard

syscheckrt.exe



Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.02.2011, 14:01   #5
outa
 
syscheckrt.exe - Standard

syscheckrt.exe



nein, nur die eine


Alt 11.02.2011, 17:58   #6
outa
 
syscheckrt.exe - Standard

syscheckrt.exe



was heißt das jetzt? ich gehe eigentlich davon aus, dass der PC wieder sauber ist.. weißt du was zu meiner frage bzgl. der passwörter?

Alt 11.02.2011, 20:06   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
syscheckrt.exe - Standard

syscheckrt.exe



Mach bitte noch ein Log mit CF, syscheckrt.exe kann Einträge erzeugen, die im OTL-Log nicht unbedingt sichtbar sind.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.02.2011, 20:26   #8
outa
 
syscheckrt.exe - Standard

syscheckrt.exe



Hi,

ich bekomme beim Ausführen von CombiFix einen Fehler (siehe Anhang).
Außerdem scheint die Internetverbindung meines PCs nicht mehr zu funktionieren -_-
Angehängte Grafiken
Dateityp: png cofi.png (75,1 KB, 418x aufgerufen)

Alt 11.02.2011, 21:01   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
syscheckrt.exe - Standard

syscheckrt.exe



cofi.exe per Rechtsklick als Admin ausgeführt?
Wenn nicht, Rechner neustarten und das machen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.02.2011, 21:12   #10
outa
 
syscheckrt.exe - Standard

syscheckrt.exe



Hatte ich vorhin nicht gemacht. Wenn ich es jetzt als Admin ausführe, kommt aber der gleiche Fehler.

Alt 11.02.2011, 21:13   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
syscheckrt.exe - Standard

syscheckrt.exe



Sollte nicht sein
Virenscanner deaktiviert? Notfalls mal vorübergehend deinstalliert?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.02.2011, 21:47   #12
outa
 
syscheckrt.exe - Standard

syscheckrt.exe



Avira war deaktiviert, habs nun deinstalliert, Fehler ist immer noch da.

Hier ist die vollständige Fehlerbeschreibung, wenn dir das was bringt:
Code:
ATTFilter
Problemsignatur:
  Problemereignisname:	APPCRASH
  Anwendungsname:	CF12921.cfxxe
  Anwendungsversion:	6.1.7600.16385
  Anwendungszeitstempel:	4a5bc48d
  Fehlermodulname:	ntdll.dll
  Fehlermodulversion:	6.1.7600.16695
  Fehlermodulzeitstempel:	4cc7b325
  Ausnahmecode:	c00000fd
  Ausnahmeoffset:	0000000000054d80
  Betriebsystemversion:	6.1.7600.2.0.0.256.48
  Gebietsschema-ID:	1031
  Zusatzinformation 1:	0973
  Zusatzinformation 2:	0973e3c560399987c7519de55606d7ba
  Zusatzinformation 3:	07bb
  Zusatzinformation 4:	07bb4b3937d08d3fe7f968163ddb99b3

Lesen Sie unsere Datenschutzbestimmungen online:
  hxxp://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0407

Wenn die Onlinedatenschutzbestimmungen nicht verfügbar sind, lesen Sie unsere Datenschutzbestimmungen offline:
  C:\Windows\system32\de-DE\erofflps.txt
         
Wenn du nicht weiterweißt, kannst du vielleicht eine Einschätzung geben, ob ich den PC neu aufsetzen sollte? Nachdem ich http://www.trojaner-board.de/95596-n...eckrt-exe.html gelesen hab, hab ich ein bisschen gegoogelt und ancheinend ist das ein Bot/RAT, der sich aber relativ leicht wieder entfernen lässt.

Alt 11.02.2011, 21:49   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
syscheckrt.exe - Standard

syscheckrt.exe



Wir lassen CF erstmal weg.
Bitte nun Logs mit GMER und mbrcheck erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg

Anleitung zu mbrcheck:
Downloade Dir MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.02.2011, 22:10   #14
outa
 
syscheckrt.exe - Standard

syscheckrt.exe



GMER hat nichts gefunden, die Oberfläche sah bei mir aber auch ein wenig anders aus als in der Anleitung (siehe Anhang).. weiß nicht inwieweit das normal ist.

MBRCheck:
Code:
ATTFilter
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows 7 Professional
Windows Information:		 (build 7600), 64-bit
Base Board Manufacturer:	Gigabyte Technology Co., Ltd.
BIOS Manufacturer:		Award Software International, Inc.
System Manufacturer:		Gigabyte Technology Co., Ltd.
System Product Name:		GA-MA770T-UD3P
Logical Drives Mask:		0x000004fc

Kernel Drivers (total 190):
  0x02E01000 \SystemRoot\system32\ntoskrnl.exe
  0x033DE000 \SystemRoot\system32\hal.dll
  0x00BBE000 \SystemRoot\system32\kdcom.dll
  0x00C4C000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
  0x00C59000 \SystemRoot\system32\PSHED.dll
  0x00C6D000 \SystemRoot\system32\CLFS.SYS
  0x00CCB000 \SystemRoot\system32\CI.dll
  0x00E60000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x00F04000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x00F13000 \SystemRoot\system32\DRIVERS\ACPI.sys
  0x00F6A000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
  0x00F73000 \SystemRoot\system32\DRIVERS\msisadrv.sys
  0x00F7D000 \SystemRoot\system32\DRIVERS\pci.sys
  0x00FB0000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
  0x00FBD000 \SystemRoot\System32\drivers\partmgr.sys
  0x00FD2000 \SystemRoot\system32\DRIVERS\volmgr.sys
  0x00E00000 \SystemRoot\System32\drivers\volmgrx.sys
  0x00FE7000 \SystemRoot\system32\DRIVERS\pciide.sys
  0x00FEE000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x00D8B000 \SystemRoot\System32\drivers\mountmgr.sys
  0x00DA5000 \SystemRoot\system32\DRIVERS\atapi.sys
  0x00DAE000 \SystemRoot\system32\DRIVERS\ataport.SYS
  0x00DD8000 \SystemRoot\system32\DRIVERS\amdxata.sys
  0x00C00000 \SystemRoot\system32\drivers\fltmgr.sys
  0x00DE3000 \SystemRoot\system32\drivers\fileinfo.sys
  0x01047000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x01242000 \SystemRoot\System32\Drivers\msrpc.sys
  0x012A0000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x012BA000 \SystemRoot\System32\Drivers\cng.sys
  0x0132D000 \SystemRoot\System32\drivers\pcw.sys
  0x0133E000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x01450000 \SystemRoot\system32\drivers\ndis.sys
  0x01542000 \SystemRoot\system32\drivers\NETIO.SYS
  0x015A2000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x01600000 \SystemRoot\System32\drivers\tcpip.sys
  0x01400000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x015CD000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
  0x01348000 \SystemRoot\system32\DRIVERS\volsnap.sys
  0x015DD000 \SystemRoot\System32\Drivers\spldr.sys
  0x01394000 \SystemRoot\System32\drivers\rdyboost.sys
  0x015E5000 \SystemRoot\System32\Drivers\mup.sys
  0x015F7000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x01200000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x013CE000 \SystemRoot\system32\DRIVERS\disk.sys
  0x01000000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x02A0A000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x02A34000 \SystemRoot\System32\Drivers\Null.SYS
  0x02A3D000 \SystemRoot\System32\Drivers\Beep.SYS
  0x02A44000 \SystemRoot\System32\drivers\vga.sys
  0x02A52000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x02A77000 \SystemRoot\System32\drivers\watchdog.sys
  0x02A87000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x02A90000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x02A99000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x02AA2000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x02AAD000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x02ABE000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x02ADC000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x02AE9000 \SystemRoot\system32\drivers\afd.sys
  0x02B73000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x02BB8000 \SystemRoot\system32\drivers\ws2ifsl.sys
  0x02BC3000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x02BCC000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x03C63000 \SystemRoot\system32\DRIVERS\vwififlt.sys
  0x03C79000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x03C88000 \SystemRoot\system32\DRIVERS\serial.sys
  0x03CA5000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x03CC0000 \SystemRoot\SysWOW64\drivers\truecrypt.sys
  0x03D00000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x03D14000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x03D65000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x03D71000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x03D7C000 \SystemRoot\System32\drivers\discache.sys
  0x03E42000 \SystemRoot\system32\drivers\csc.sys
  0x03EC5000 \SystemRoot\System32\Drivers\dfsc.sys
  0x03EE3000 \SystemRoot\system32\DRIVERS\blbdrive.sys
  0x03EF4000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x03F1A000 \SystemRoot\system32\DRIVERS\amdppm.sys
  0x03F2F000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0x04641000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x04C58000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x04D4C000 \SystemRoot\System32\drivers\dxgmms1.sys
  0x04D92000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x04DB6000 \SystemRoot\system32\DRIVERS\Rt64win7.sys
  0x04DF4000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0x03F38000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x04600000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x03F8E000 \SystemRoot\system32\DRIVERS\1394ohci.sys
  0x04611000 \SystemRoot\system32\DRIVERS\serenum.sys
  0x0461D000 \SystemRoot\system32\DRIVERS\parport.sys
  0x03FCC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x03FEA000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x03E00000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
  0x03E10000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
  0x03D8B000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x03E26000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x03DAF000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x03DDE000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x03C00000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x03C21000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x03E32000 \SystemRoot\system32\DRIVERS\rdpbus.sys
  0x03C3B000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x0463A000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x04236000 \SystemRoot\system32\DRIVERS\ks.sys
  0x04279000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x0428B000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x042E5000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x042FA000 \SystemRoot\system32\drivers\RtHDMIVX.sys
  0x0432C000 \SystemRoot\system32\drivers\portcls.sys
  0x04369000 \SystemRoot\system32\drivers\drmk.sys
  0x0438B000 \SystemRoot\system32\drivers\ksthunk.sys
  0x05E19000 \SystemRoot\system32\drivers\RTKVHD64.sys
  0x05E00000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x04391000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x05E0E000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0x0439D000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
  0x043B0000 \SystemRoot\System32\Drivers\LUsbFilt.Sys
  0x043C0000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x043CE000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x043E7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x05E17000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x04200000 \SystemRoot\system32\DRIVERS\LHidFilt.Sys
  0x04214000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x04221000 \SystemRoot\system32\DRIVERS\LMouFilt.Sys
  0x00070000 \SystemRoot\System32\win32k.sys
  0x043F0000 \SystemRoot\System32\drivers\Dxapi.sys
  0x03C4A000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x00590000 \SystemRoot\System32\TSDDD.dll
  0x00710000 \SystemRoot\System32\cdd.dll
  0x022D7000 \SystemRoot\system32\drivers\luafv.sys
  0x022FA000 \SystemRoot\system32\drivers\WudfPf.sys
  0x0231B000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x02330000 \SystemRoot\system32\DRIVERS\nwifi.sys
  0x02383000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0x02396000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x02200000 \SystemRoot\system32\drivers\HTTP.sys
  0x023AE000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x023CC000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x06435000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x06462000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x064B0000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x064D3000 \SystemRoot\system32\drivers\peauth.sys
  0x06579000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x06584000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x065B1000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x06828000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x0688F000 \SystemRoot\System32\DRIVERS\srv.sys
  0x06996000 \SystemRoot\system32\DRIVERS\asyncmac.sys
  0x069A1000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0x069BC000 \SystemRoot\System32\Drivers\fastfat.SYS
  0x06925000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
  0x77210000 \Windows\System32\ntdll.dll
  0x47F90000 \Windows\System32\smss.exe
  0xFF530000 \Windows\System32\apisetschema.dll
  0xFF910000 \Windows\System32\autochk.exe
  0xFF480000 \Windows\System32\comdlg32.dll
  0xFF2A0000 \Windows\System32\setupapi.dll
  0xFE510000 \Windows\System32\shell32.dll
  0xFE390000 \Windows\System32\urlmon.dll
  0xFE370000 \Windows\System32\sechost.dll
  0x770F0000 \Windows\System32\kernel32.dll
  0xFE360000 \Windows\System32\nsi.dll
  0xFE2E0000 \Windows\System32\difxapi.dll
  0xFE260000 \Windows\System32\shlwapi.dll
  0xFE240000 \Windows\System32\imagehlp.dll
  0x773E0000 \Windows\System32\normaliz.dll
  0xFE1A0000 \Windows\System32\clbcatq.dll
  0xFE070000 \Windows\System32\wininet.dll
  0x76FF0000 \Windows\System32\user32.dll
  0xFDF90000 \Windows\System32\advapi32.dll
  0xFDEB0000 \Windows\System32\oleaut32.dll
  0xFDC50000 \Windows\System32\iertutil.dll
  0x773D0000 \Windows\System32\psapi.dll
  0xFDA40000 \Windows\System32\ole32.dll
  0xFD9D0000 \Windows\System32\gdi32.dll
  0xFD930000 \Windows\System32\msvcrt.dll
  0xFD820000 \Windows\System32\msctf.dll
  0xFD7F0000 \Windows\System32\imm32.dll
  0xFD6C0000 \Windows\System32\rpcrt4.dll
  0xFD670000 \Windows\System32\Wldap32.dll
  0xFD660000 \Windows\System32\lpk.dll
  0xFD610000 \Windows\System32\ws2_32.dll
  0xFD540000 \Windows\System32\usp10.dll
  0xFD500000 \Windows\System32\cfgmgr32.dll
  0xFD490000 \Windows\System32\KernelBase.dll
  0xFD3F0000 \Windows\System32\comctl32.dll
  0xFD3B0000 \Windows\System32\wintrust.dll
  0xFD240000 \Windows\System32\crypt32.dll
  0xFD220000 \Windows\System32\devobj.dll
  0xFD210000 \Windows\System32\msasn1.dll

Processes (total 43):
       0 System Idle Process
       4 System
     288 C:\Windows\System32\smss.exe
     436 csrss.exe
     500 C:\Windows\System32\wininit.exe
     536 csrss.exe
     560 C:\Windows\System32\services.exe
     576 C:\Windows\System32\lsass.exe
     584 C:\Windows\System32\lsm.exe
     648 C:\Windows\System32\winlogon.exe
     740 C:\Windows\System32\svchost.exe
     820 C:\Windows\System32\svchost.exe
     904 C:\Windows\System32\atiesrxx.exe
     944 C:\Windows\System32\svchost.exe
     984 C:\Windows\System32\svchost.exe
    1016 C:\Windows\System32\svchost.exe
     756 C:\Windows\System32\svchost.exe
    1116 C:\Windows\System32\svchost.exe
    1188 C:\Windows\System32\atieclxx.exe
    1320 C:\Windows\System32\spoolsv.exe
    1380 C:\Windows\System32\svchost.exe
    1504 C:\Windows\System32\taskhost.exe
    1544 C:\Windows\System32\dwm.exe
    1560 C:\Windows\explorer.exe
    1804 C:\Windows\System32\svchost.exe
    2020 C:\Windows\System32\svchost.exe
    1348 C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe
    2168 D:\Programme\Logitech\SetPointP\SetPoint.exe
    2224 C:\Users\lutz\AppData\Roaming\Dropbox\bin\Dropbox.exe
    2296 D:\Programme\ATI Catalyst\ATI.ACE\Core-Static\MOM.exe
    2412 D:\Programme\ATI Catalyst\ATI.ACE\Core-Static\CCC.exe
    2528 C:\Windows\System32\SearchIndexer.exe
    2888 C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.exe
    2564 C:\Windows\System32\svchost.exe
    1232 C:\Windows\System32\svchost.exe
    1340 C:\Program Files\Windows Media Player\wmpnetwk.exe
    2872 WmiPrvSE.exe
     424 WUDFHost.exe
    2596 taskhost.exe
    1056 C:\Windows\System32\audiodg.exe
    2576 C:\Users\lutz\Desktop\MBRCheck.exe
    2832 C:\Windows\System32\conhost.exe
     344 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`06500000  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000007`53100000  (NTFS)
\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000000`00100000  (NTFS)
\\.\F: --> \\.\PhysicalDrive1 at offset 0x00000030`d4100000  (NTFS)
\\.\G: --> \\.\PhysicalDrive0 at offset 0x00000050`5df7d800  (NTFS)

PhysicalDrive0 Model Number: WDCWD5000AAKS-22TMA0, Rev: 12.01C01
PhysicalDrive1 Model Number: SAMSUNGHD501LJ, Rev: CR100-10

      Size  Device Name          MBR Status
  --------------------------------------------
    465 GB  \\.\PhysicalDrive0   GRUB MBR code detected
            SHA1: 719708840E955B873130550EBBF16CF44DA45807
    465 GB  \\.\PhysicalDrive1   GRUB MBR code detected
            SHA1: 719708840E955B873130550EBBF16CF44DA45807


Done!
         
Angehängte Grafiken
Dateityp: png gmer.png (38,9 KB, 237x aufgerufen)

Alt 11.02.2011, 22:14   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
syscheckrt.exe - Standard

syscheckrt.exe



Zitat:
465 GB \\.\PhysicalDrive0 GRUB MBR code detected
SHA1: 719708840E955B873130550EBBF16CF44DA45807
465 GB \\.\PhysicalDrive1 GRUB MBR code detected
SHA1: 719708840E955B873130550EBBF16CF44DA45807
GRUB-MBR? Hast du nochn Linux parallel installiert? Sag ja!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu syscheckrt.exe
64-bit, adblock, antivir, antivir guard, avgnt, avgntflt.sys, avira, bho, c:\windows\system32\rundll32.exe, desktop, e-banking, entfernen, error, firefox, flash player, frage, hijack, hijackthis, ieframe.dll, install.exe, internet, internet explorer, langs, location, logfile, mozilla, mozilla thunderbird, mp3, oldtimer, otl.exe, programdata, pum.disable.recycle, realtek, rundll, saver, schattenkopien, searchplugins, security, server, shell32.dll, shortcut, software, start menu, svchost.exe, syscheckrt.exe, syswow64, vlc media player, webcheck, windows, wurm



Ähnliche Themen: syscheckrt.exe


  1. C:\syscheckrt\syscheckrt.exe
    Plagegeister aller Art und deren Bekämpfung - 25.03.2011 (8)
  2. PC nach syscheckrt hinüber?
    Plagegeister aller Art und deren Bekämpfung - 07.03.2011 (4)
  3. syscheckrt.exe in c:\syscheckrt\
    Plagegeister aller Art und deren Bekämpfung - 28.02.2011 (7)
  4. spyeye syscheckrt.exe hat auch bei mir zu geschlagen. Wie löschen?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2011 (24)
  5. Nochmal syscheckrt.exe
    Plagegeister aller Art und deren Bekämpfung - 11.02.2011 (1)

Zum Thema syscheckrt.exe - Hi, ich habe gestern besagte verdächtige Datei ("syscheckrt.exe") in meinem Task-Manager gesehen. Ich hatte die gleichen Symptome wie in diesem Thread: http://www.trojaner-board.de/95138-t...enttaste.html, ca seit einer Woche, also solang wohl auch - syscheckrt.exe...
Archiv
Du betrachtest: syscheckrt.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.