Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.02.2011, 13:53   #1
sunias
 
2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun? - Standard

2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?



Hallo!
Ich bitte Euch sehr um Hilfe. Ein Antivir Suchlauf hat gerade ergeben, dass mein System infiziert ist mit TR/PSW.zbot.137; TR/Diple.bcv und ausserdem JAVA/Openconnect.Al
- diese wurden laut Antivir in Quarantäne verschoben. Was muss ich jetzt tun? Gerade vorher hatte ich mich auch noch beim Onlinebanking eingeloggt, bei allen email-accounts von mir usw. Bitte erklärt mir die nächsten Schritte. Kenne mich leider nicht SO gut mit PCs aus...

Danke und viele Grüße
sunias

Hier der Report von Antivir:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 21. Februar 2011 12:13

Es wird nach 2417525 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : 1001-2E1B877302

Versionsinformationen:
BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 17.12.2010 10:29:41
AVSCAN.DLL : 10.0.3.0 56168 Bytes 02.08.2010 15:09:45
LUKE.DLL : 10.0.3.2 104296 Bytes 17.12.2010 10:29:42
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:29:29
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 19:44:44
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 19:44:44
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 19:44:44
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 19:44:44
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 19:44:44
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 19:44:45
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 19:44:45
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 19:44:45
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 19:44:45
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 19:44:45
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 19:44:45
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 13:06:38
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 09:28:40
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 11:08:58
VBASE016.VDF : 7.11.3.149 2048 Bytes 19.02.2011 11:08:58
VBASE017.VDF : 7.11.3.150 2048 Bytes 19.02.2011 11:08:58
VBASE018.VDF : 7.11.3.151 2048 Bytes 19.02.2011 11:08:58
VBASE019.VDF : 7.11.3.152 2048 Bytes 19.02.2011 11:08:58
VBASE020.VDF : 7.11.3.153 2048 Bytes 19.02.2011 11:08:58
VBASE021.VDF : 7.11.3.154 2048 Bytes 19.02.2011 11:08:58
VBASE022.VDF : 7.11.3.155 2048 Bytes 19.02.2011 11:08:58
VBASE023.VDF : 7.11.3.156 2048 Bytes 19.02.2011 11:08:58
VBASE024.VDF : 7.11.3.157 2048 Bytes 19.02.2011 11:08:58
VBASE025.VDF : 7.11.3.158 2048 Bytes 19.02.2011 11:08:58
VBASE026.VDF : 7.11.3.159 2048 Bytes 19.02.2011 11:08:58
VBASE027.VDF : 7.11.3.160 2048 Bytes 19.02.2011 11:08:58
VBASE028.VDF : 7.11.3.161 2048 Bytes 19.02.2011 11:08:58
VBASE029.VDF : 7.11.3.162 2048 Bytes 19.02.2011 11:08:58
VBASE030.VDF : 7.11.3.163 2048 Bytes 19.02.2011 11:08:58
VBASE031.VDF : 7.11.3.167 29696 Bytes 21.02.2011 11:08:59
Engineversion : 8.2.4.170
AEVDF.DLL : 8.1.2.1 106868 Bytes 02.08.2010 15:09:30
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 30.01.2011 14:29:08
AESCN.DLL : 8.1.7.2 127349 Bytes 23.11.2010 12:46:03
AESBX.DLL : 8.1.3.2 254324 Bytes 23.11.2010 12:46:04
AERDL.DLL : 8.1.9.2 635252 Bytes 04.11.2010 15:40:59
AEPACK.DLL : 8.2.4.9 512374 Bytes 30.01.2011 14:29:07
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 30.01.2011 14:29:05
AEHEUR.DLL : 8.1.2.78 3277175 Bytes 21.02.2011 11:09:05
AEHELP.DLL : 8.1.16.1 246134 Bytes 04.02.2011 13:41:20
AEGEN.DLL : 8.1.5.2 397683 Bytes 23.01.2011 09:30:18
AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 12:46:00
AECORE.DLL : 8.1.19.2 196983 Bytes 23.01.2011 09:30:17
AEBB.DLL : 8.1.1.0 53618 Bytes 02.08.2010 15:09:25
AVWINLL.DLL : 10.0.0.0 19304 Bytes 02.08.2010 15:09:33
AVPREF.DLL : 10.0.0.0 44904 Bytes 02.08.2010 15:09:33
AVREP.DLL : 10.0.0.8 62209 Bytes 17.06.2010 14:26:53
AVREG.DLL : 10.0.3.2 53096 Bytes 02.08.2010 15:09:33
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 17.12.2010 10:29:42
AVARKT.DLL : 10.0.22.6 231784 Bytes 17.12.2010 10:29:39
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 02.08.2010 15:09:32
SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 14:27:02
AVSMTP.DLL : 10.0.0.17 63848 Bytes 02.08.2010 15:09:33
NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 14:27:01
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.08.2010 15:09:45

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Montag, 21. Februar 2011 12:13

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
c:\windows\system32\brmfrmps.exe
c:\windows\system32\brmfrmps.exe
[HINWEIS] Der Prozess ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcmon.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'HOTSYNC.EXE' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'BrMfcWnd.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'CloneCDTray.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'brctrcen.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '96' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'Brmfrmps.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '188' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '456' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Susann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\68f02c6f-15579783
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.AI
--> bpac/purok.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.AI
C:\System Volume Information\_restore{37D99E58-E38E-4E57-8682-510F12758E11}\RP900\A0174880.exe
[FUND] Ist das Trojanische Pferd TR/Diple.bcv
C:\System Volume Information\_restore{37D99E58-E38E-4E57-8682-510F12758E11}\RP901\A0175938.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.137

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{37D99E58-E38E-4E57-8682-510F12758E11}\RP901\A0175938.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.137
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e1cf0a.qua' verschoben!
C:\System Volume Information\_restore{37D99E58-E38E-4E57-8682-510F12758E11}\RP900\A0174880.exe
[FUND] Ist das Trojanische Pferd TR/Diple.bcv
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f76e0ad.qua' verschoben!
C:\Dokumente und Einstellungen\Susann\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\68f02c6f-15579783
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.AI
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0d72ba7d.qua' verschoben!


Ende des Suchlaufs: Montag, 21. Februar 2011 14:41
Benötigte Zeit: 2:26:15 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10515 Verzeichnisse wurden überprüft
367592 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
367589 Dateien ohne Befall
4881 Archive wurden durchsucht
0 Warnungen
3 Hinweise
405317 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

Habe auch schon versucht load.exe downzuloaden. Jedoch konnte die Installation nicht vollständig beendet werden, da TFC.exe nicht ausführbar ist. Fehlermeldung: TFC.exe ist keine zulässige win32-Anwendung.

Alt 21.02.2011, 15:55   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun? - Standard

2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?



Zitat:
Habe auch schon versucht load.exe downzuloaden. Jedoch konnte die Installation nicht vollständig beendet werden, da TFC.exe nicht ausführbar ist. Fehlermeldung: TFC.exe ist keine zulässige win32-Anwendung.
Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 21.02.2011, 16:11   #3
sunias
 
2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun? - Standard

2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?



Hallo Arne,
danke für deinen netten Willkommensgruß und auch Danke schonmal für deine Hilfe!

Malwarebytes hat nichts gefunden:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5829

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.02.2011 16:24:43
mbam-log-2011-02-21 (16-24-43).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 172832
Laufzeit: 16 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

OTL werde ich nachher versuchen, und das Ergebnis posten.

Liebe Grüße
__________________

Geändert von sunias (21.02.2011 um 16:13 Uhr) Grund: Ergänzung

Alt 21.02.2011, 16:16   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun? - Standard

2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?



Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Alt 21.02.2011, 16:49   #5
sunias
 
2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun? - Standard

2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?



Weitere Logs von Malwarebytes gibt es leider nicht. Habe das Programm auch heute erstmals runtergeladen und verwendet.

Jetzt existieren aber noch die Logfiles von OTL:OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 21.02.2011 17:27:43 - Run 1
OTL by OldTimer - Version 3.2.20.6     Folder = C:\Dokumente und Einstellungen\***\Desktop\MFTools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 86,00 Mb Available Physical Memory | 17,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 53,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111,78 Gb Total Space | 17,46 Gb Free Space | 15,62% Space Free | Partition Type: NTFS
Drive E: | 700,94 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: 1001-2E1B877302 | User Name: ***| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Desktop\MFTools\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\SlySoft\CloneCD\CloneCDTray.exe (SlySoft, Inc.)
PRC - C:\Programme\Brother\ControlCenter2\brctrcen.exe (Brother Industries, Ltd.)
PRC - C:\Programme\Brother\Brmfcmon\BrMfcMon.exe (Brother Industries, Ltd.)
PRC - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.)
PRC - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.)
PRC - C:\WINDOWS\system32\Brmfrmps.exe (Brother Industries, Ltd.)
PRC - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)
PRC - C:\WINDOWS\system32\brsvc01a.exe (brother Industries Ltd)
PRC - C:\WINDOWS\system32\brss01a.exe (brother Industries Ltd)
PRC - C:\Palm\HOTSYNC.EXE (Palm, Inc.)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Desktop\MFTools\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) --  File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (sdCoreService) -- C:\Programme\Spyware Doctor\swdsvc.exe (PC Tools)
SRV - (sdAuxService) -- C:\Programme\Spyware Doctor\svcntaux.exe (PC Tools)
SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software GmbH)
SRV - (brmfrmps) -- C:\WINDOWS\System32\Brmfrmps.exe (Brother Industries, Ltd.)
SRV - (SoundMAX Agent Service (default)) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)
SRV - (Brother XP spl Service) -- C:\WINDOWS\system32\brsvc01a.exe (brother Industries Ltd)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (IKSysSec) -- C:\WINDOWS\system32\drivers\iksyssec.sys (PCTools Research Pty Ltd.)
DRV - (IkSysFlt) -- C:\WINDOWS\system32\drivers\iksysflt.sys (PCTools Research Pty Ltd.)
DRV - (IKFileSec) -- C:\WINDOWS\system32\drivers\ikfilesec.sys (PCTools Research Pty Ltd.)
DRV - (IKFileFlt) -- C:\WINDOWS\system32\drivers\ikfileflt.sys (PCTools Research Pty Ltd.)
DRV - (ElbyCDFL) -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys (SlySoft, Inc.)
DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (Afc) -- C:\WINDOWS\system32\drivers\afc.sys (Arcsoft, Inc.)
DRV - (dtscsi) -- C:\WINDOWS\System32\Drivers\dtscsi.sys ()
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (BrScnUsb) -- C:\WINDOWS\system32\drivers\BrScnUsb.sys (Brother Industries Ltd.)
DRV - (rtl8139) -- C:\WINDOWS\system32\drivers\R8139n51.sys (Realtek Semiconductor Corporation       )
DRV - (sfman) Creative-SoundFont-Verwaltungstreiber (WDM) -- C:\WINDOWS\system32\drivers\sfmanm.sys (Creative Technology Ltd.)
DRV - (emu10k1) Creative-Schnittstellen-Verwaltungstreiber (WDM) -- C:\WINDOWS\system32\drivers\ctlfacem.sys (Creative Technology Ltd.)
DRV - (emu10k) Creative SB Live! (WDM) -- C:\WINDOWS\system32\drivers\emu10k1m.sys (Creative Technology Ltd.)
DRV - (ctljystk) -- C:\WINDOWS\system32\drivers\ctljystk.sys (Creative Technology Ltd.)
DRV - (PalmUSBD) -- C:\WINDOWS\system32\drivers\PalmUSBD.sys (Palm, Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Winload Customized Web Search"
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}:20100908
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198
FF - prefs.js..extensions.enabledItems: finder@meingutscheincode.de:2.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.15 00:00:56 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.11 12:44:40 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.08.06 00:58:46 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2010.03.17 22:13:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.03.17 22:13:40 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{2f1e6a90-e99e-11dd-ba2f-0800200c9a66}
[2011.02.21 12:24:22 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0vhctzq8.default\extensions
[2010.11.27 10:31:08 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0vhctzq8.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.10.29 18:57:58 | 000,000,000 | ---D | M] (WOT) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0vhctzq8.default\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7}
[2010.12.25 02:21:05 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0vhctzq8.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.01.29 10:43:36 | 000,000,000 | ---D | M] (Mein Gutscheincode Finder) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0vhctzq8.default\extensions\finder@meingutscheincode.de
[2010.03.24 15:13:02 | 000,000,917 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0vhctzq8.default\searchplugins\conduit.xml
[2011.02.21 12:24:22 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2006.10.25 20:09:39 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.05.24 20:31:11 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2010.11.06 11:18:01 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2007.06.03 19:09:51 | 000,000,000 | ---D | M] (Google Settings) -- C:\Programme\Mozilla Firefox\extensions\google-cjk@partners.mozilla.com
[2010.04.12 13:56:29 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.07.26 12:01:18 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2010.09.15 04:50:38 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.09.17 10:49:13 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.09.17 10:49:13 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.09.17 10:49:14 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.09.17 10:49:14 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.09.17 10:49:14 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.02.20 19:55:02 | 000,000,847 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -  File not found
O3 - HKLM\..\Toolbar: (Easy-WebPrint) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CloneCDTray] C:\Programme\SlySoft\CloneCD\CloneCDTray.exe (SlySoft, Inc.)
O4 - HKLM..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe (Brother Industories, Ltd.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [YeppStudioAgent]  File not found
O4 - HKLM..\RunOnce: [AvgUninstallURL] C:\WINDOWS\System32\cmd.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE (Palm, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta ()
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (ICQ Ltd.)
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (ICQ Ltd.)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Programme\Yahoo!\Common\yinsthelper.dll (YInstStarter Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.10.112.1 134.76.62.248
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.09.29 22:05:02 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009.06.05 13:58:34 | 000,000,055 | R--- | M] () - E:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{a6621aa4-81c7-11d9-8553-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{a6621aa4-81c7-11d9-8553-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a6621aa4-81c7-11d9-8553-806d6172696f}\Shell\AutoRun\command - "" = E:\setup.exe -- [2009.05.18 16:06:07 | 005,690,348 | R--- | M] (Adobe Systems, Inc.)
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.02.21 17:22:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.02.21 16:06:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ERUNT
[2011.02.21 16:06:36 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2011.02.21 15:33:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2011.02.21 15:32:55 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.02.21 15:32:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.02.21 15:32:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.02.21 15:32:47 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.02.21 15:32:47 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.02.21 15:29:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\MFTools
[2011.02.18 09:38:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Alfons
[2011.02.18 09:32:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Alfons
[2011.02.18 09:27:11 | 000,000,000 | ---D | C] -- C:\Programme\Alfons
[2011.02.18 09:27:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\alw
[2011.02.18 09:23:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Duden
[2011.02.18 09:17:49 | 000,000,000 | ---D | C] -- C:\Programme\Duden
[2011.01.22 19:37:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\****
[2004.09.24 23:40:12 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.02.21 17:31:46 | 000,000,420 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{20D3DBF2-1F17-4FD0-AA07-B704AE9B5F35}.job
[2011.02.21 17:26:10 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.02.21 16:06:37 | 000,000,591 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\NTREGOPT.lnk
[2011.02.21 16:06:37 | 000,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\ERUNT.lnk
[2011.02.21 16:05:21 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.02.21 15:38:13 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.02.21 15:38:04 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.02.21 15:38:03 | 535,613,440 | -HS- | M] () -- C:\hiberfil.sys
[2011.02.21 15:29:42 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\g2m3e4r.exe
[2011.02.21 15:29:40 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\defogger.exe
[2011.02.21 15:24:39 | 000,472,080 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Load.exe
[2011.02.21 12:06:51 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.02.20 19:48:56 | 000,026,913 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\gr.jpg
[2011.02.19 19:34:47 | 000,003,540 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\eBayISAPI.dll.htm
[2011.02.18 17:22:02 | 000,144,424 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.02.18 17:15:00 | 000,000,392 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2011.02.18 14:25:56 | 000,013,324 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\lind.jpg
[2011.02.18 14:21:41 | 000,001,743 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\lind.gif
[2011.02.18 09:42:27 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Alfons Lernwelt Deutsch 1.lnk
[2011.02.18 09:23:27 | 000,000,680 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Duden Deutsch 1.lnk
[2011.02.17 22:27:46 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011.02.13 22:56:30 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2011.02.01 01:26:43 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\*****.doc
[2011.01.29 00:38:18 | 000,044,032 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.01.27 12:23:49 | 000,342,991 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\bedarfsampel 50 m.pdf
[2011.01.25 22:33:35 | 000,054,272 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\******.doc
[2011.01.25 14:01:01 | 000,000,150 | ---- | M] () -- C:\X-Plane Installer.prf
[2011.01.22 20:01:44 | 000,020,263 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\shoppingwindow.htm
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.02.21 16:06:37 | 000,000,591 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\NTREGOPT.lnk
[2011.02.21 16:06:37 | 000,000,572 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\ERUNT.lnk
[2011.02.21 15:32:55 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.02.21 15:29:41 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\g2m3e4r.exe
[2011.02.21 15:29:40 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\defogger.exe
[2011.02.21 15:28:59 | 000,472,080 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Load.exe
[2011.02.18 14:49:48 | 000,026,913 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\gr.jpg
[2011.02.18 14:25:56 | 000,013,324 | ---- | C] () -- C:\Dokumente und Einstellungen\Susann\Desktop\lind.jpg
[2011.02.18 14:21:38 | 000,001,743 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\lind.gif
[2011.02.18 09:42:27 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Alfons Lernwelt Deutsch 1.lnk
[2011.02.18 09:23:27 | 000,000,680 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Duden Deutsch 1.lnk
[2011.02.01 01:25:45 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\****.doc
[2011.01.27 12:23:49 | 000,342,991 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\bedarfsampel 50 m.pdf
[2011.01.25 14:00:57 | 000,000,150 | ---- | C] () -- C:\X-Plane Installer.prf
[2011.01.22 20:01:43 | 000,020,263 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\shoppingwindow.htm
[2010.10.08 19:20:40 | 000,000,035 | ---- | C] () -- C:\WINDOWS\A5W.INI
[2010.09.24 14:32:30 | 000,034,308 | ---- | C] () -- C:\WINDOWS\System32\BASSMOD.dll
[2010.07.08 21:40:49 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\Gif89.dll
[2010.05.10 19:54:07 | 000,000,023 | ---- | C] () -- C:\WINDOWS\ANS2000.INI
[2010.05.10 19:54:07 | 000,000,020 | -H-- | C] () -- C:\WINDOWS\akebook.ini
[2010.05.10 19:54:07 | 000,000,004 | -H-- | C] () -- C:\WINDOWS\a3kebook.ini
[2010.04.04 16:04:10 | 000,015,873 | ---- | C] () -- C:\WINDOWS\System32\Inetde.dll
[2010.03.23 22:27:51 | 000,044,032 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.12.31 17:37:53 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Brownie.ini
[2009.12.31 17:07:52 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\brss01a.ini
[2009.12.31 17:07:51 | 000,000,468 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.12.31 17:07:51 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2009.12.31 17:04:26 | 000,027,114 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2009.11.19 14:49:55 | 000,126,976 | R--- | C] () -- C:\WINDOWS\System32\e1000msg.dll
[2007.07.17 22:09:36 | 000,249,856 | ---- | C] () -- C:\WINDOWS\System32\CddbPlaylistSamsung.dll
[2007.07.17 22:09:35 | 000,487,424 | ---- | C] () -- C:\WINDOWS\System32\CddbPlaylist2Samsung.dll
[2007.07.17 22:09:10 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll
[2007.07.17 22:09:10 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll
[2007.07.17 22:09:10 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2007.07.17 22:09:10 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll
[2007.01.18 21:21:04 | 000,000,025 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2006.11.17 22:44:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2006.09.24 18:58:06 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD-Start.INI
[2006.09.21 15:36:07 | 000,008,995 | ---- | C] () -- C:\WINDOWS\Analysis.INI
[2006.09.21 14:21:16 | 000,000,229 | ---- | C] () -- C:\WINDOWS\MTB40.ini
[2006.09.21 14:21:06 | 000,000,213 | ---- | C] () -- C:\WINDOWS\asym.ini
[2006.09.21 14:10:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Rechblat.INI
[2006.09.21 14:08:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Funkplot.INI
[2006.08.08 23:20:08 | 000,223,128 | ---- | C] () -- C:\WINDOWS\System32\drivers\dtscsi.sys
[2006.08.08 23:18:44 | 000,642,560 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2006.08.08 23:18:44 | 000,096,384 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd0125.sys
[2006.04.06 19:11:20 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2006.03.21 20:13:33 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2006.02.21 19:57:37 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2005.12.24 00:30:01 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2005.08.28 19:13:09 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2005.08.04 16:56:14 | 000,003,997 | ---- | C] () -- C:\WINDOWS\hpdj3740.ini
[2005.05.20 21:11:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PCFriend.INI
[2005.04.19 11:07:58 | 000,000,067 | ---- | C] () -- C:\WINDOWS\GDINST.INI
[2004.12.20 10:08:28 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2004.12.20 10:03:26 | 000,679,936 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2004.11.21 22:20:19 | 000,000,021 | ---- | C] () -- C:\Programme\AVPersonalAVWIN.INI
[2004.11.01 19:57:13 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2004.10.25 08:26:34 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2004.10.12 07:40:56 | 002,255,360 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2004.10.12 07:39:47 | 000,028,160 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll
[2004.10.12 07:39:06 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll
[2004.10.09 07:40:16 | 000,454,144 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll
[2004.10.05 09:16:07 | 000,395,776 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll
[2004.10.04 18:47:38 | 000,006,656 | ---- | C] () -- C:\WINDOWS\System32\CNMVS58.DLL
[2004.10.03 18:50:53 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll
[2004.10.01 19:25:41 | 000,000,192 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2004.10.01 19:18:26 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\msssc.dll
[2004.10.01 19:17:36 | 000,002,848 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2004.10.01 19:17:35 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2004.09.29 22:44:13 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2002.03.04 10:16:34 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\Jpeg32.dll
[2000.02.09 23:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL
[1998.10.11 00:07:38 | 000,088,576 | ---- | C] () -- C:\WINDOWS\System32\Iticheck.dll
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 113 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2

< End of report >
         
--- --- ---


Alt 21.02.2011, 16:58   #6
sunias
 
2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun? - Standard

2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?



Hier noch der 2. Logfile von OTL:OTL EXTRAS Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 21.02.2011 17:27:44 - Run 1
OTL by OldTimer - Version 3.2.20.6     Folder = C:\Dokumente und Einstellungen\***\Desktop\MFTools
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 86,00 Mb Available Physical Memory | 17,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 53,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111,78 Gb Total Space | 17,46 Gb Free Space | 15,62% Space Free | Partition Type: NTFS
Drive E: | 700,94 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: 1001-2E1B877302 | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\Winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1723:TCP" = 1723:TCP:*:Enabled:@xpsp2res.dll,-22015
"1701:UDP" = 1701:UDP:*:Enabled:@xpsp2res.dll,-22016
"500:UDP" = 500:UDP:*:Enabled:@xpsp2res.dll,-22017
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1723:TCP" = 1723:TCP:*:Enabled:@xpsp2res.dll,-22015
"1701:UDP" = 1701:UDP:*:Enabled:@xpsp2res.dll,-22016
"500:UDP" = 500:UDP:*:Enabled:@xpsp2res.dll,-22017
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQLite\ICQLite.exe" = C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQLite -- (ICQ Ltd.)
"C:\Programme\Maxis\SimCity 3000 Deutschland\Apps\Updater\UPDATER.EXE" = C:\Programme\Maxis\SimCity 3000 Deutschland\Apps\Updater\UPDATER.EXE:*:Enabled:SC3UpdaterMFC
"C:\Programme\eMule.de\emule.exe" = C:\Programme\eMule.de\emule.exe:*:Enabled:eMule
"C:\Programme\Microsoft Games\Flight Simulator 9\fs9.exe" = C:\Programme\Microsoft Games\Flight Simulator 9\fs9.exe:*:Enabled:Microsoft Flight Simulator
"C:\WINDOWS\system32\dpnsvr.exe" = C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server -- (Microsoft Corporation)
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" = C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger -- (Yahoo! Inc.)
"C:\Programme\Yahoo!\Messenger\YServer.exe" = C:\Programme\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server -- (Yahoo! Inc.)
"C:\Palm\PPLTReg.exe" = C:\Palm\PPLTReg.exe:*:Enabled:PPLTReg -- (Leader Technologies/Palm)
"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe" = C:\Dokumente und Einstellungen\***\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe:*:Enabled:Octoshape add-in for Adobe Flash Player -- (Octoshape ApS)
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{107CDD66-ED13-44C8-B392-D295B66AB6E8}_is1" = PamFax 3.0.0.1
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{262DA23B-4BAB-463F-B1DC-9B5287CAB5CA}}_is1" = Deinstallation der Arcor Online Software
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 22
"{289CA3B4-9525-4B31-B58F-D76B2B52EA5A}" = SamsungMediaStudio
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{40A6C96D-808E-41DD-8716-617AB6B0F1F1}" = Brother MFL-Pro Suite
"{4286E640-B5FB-11DF-AC4B-005056C00008}" = Google Earth
"{4377F918-E6C9-4ECA-A7F5-754B310B7ED8}" = Sid Meier's Civilization 4
"{49FC50FC-F965-40D9-89B4-CBFF80941031}" = Windows Movie Maker 2.0
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5339885F-4597-4343-BD3B-74280CC79424}" = ArcSoft VideoImpression 2
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{868D7896-99D4-4513-BC62-2B3AD3E24926}" = TuneUp Utilities 2006
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{917C79E9-9E4E-11D6-B27C-0003FFFFFFFC}" = Fritz und Fertig
"{97AA0C55-AFAD-4126-B21C-F1318FB6DADA}" = Realtek RTL8139/810x Fast Ethernet NIC Driver Setup
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A17EABB6-D0C6-44E5-820C-72DC7F495064}" = PaperPort
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{BA0F44C2-A883-11D1-AD0A-006097D15E2C}" = Palm Desktop
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C9A87D86-FDFD-418B-BF96-EF09320973B3}" = PC Inspector smart recovery
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}" = Sid Meier's Civilization 4
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"7-Zip" = 7-Zip 4.57
"Access 97rt PAN EURO G" = Access 97rt PAN EURO G
"Ad-Aware SE Personal" = Ad-Aware SE Personal
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Alfons Lernwelt" = Alfons Lernwelt
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"BeClean_is1" = BeClean
"Biet-O-Matic v2.12.7" = Biet-O-Matic v2.12.7
"CANONBJ_Deinstall_CNMCP58.DLL" = Canon i560
"CCleaner" = CCleaner (remove only)
"CloneCD" = CloneCD
"Cool Edit Pro 2.0" = Cool Edit Pro 2.0
"Duden Deutsch 1_is1" = Duden Deutsch 1
"DVD Shrink DE_is1" = DVD Shrink 3.2 deutsch (DeCSS-frei)
"DVD Shrink_is1" = DVD Shrink 3.2
"Easy-WebPrint" = Easy-WebPrint
"ERUNT_is1" = ERUNT 1.1j
"Flexio - Latein Grammatiktrainer" = Flexio - Latein Grammatiktrainer
"FormatFactory" = FormatFactory 2.50
"Google Chrome" = Google Chrome
"ICQLite" = ICQ 5.1
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InterActual Player" = InterActual Player
"Klett Nussknacker 1" = Klett Nussknacker 1
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MjM Free Photo Recovery Software1.0" = MjM Free Photo Recovery Software
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero OEM
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"PCFriendly" = PCFriendly
"PhotoScape" = PhotoScape
"Picasa2" = Picasa 2
"PrimoDeutsch1" = Primo:Deutsch 1
"PROSet" = Intel(R) PRO Network Adapters and Drivers
"QuickTime" = QuickTime
"Recuva" = Recuva
"Satsuki Decoder Pack" = Satsuki Decoder Pack
"Schach für Kiddies" = Schach für Kiddies
"Spyware Doctor" = Spyware Doctor 5.0
"VLC media player" = VLC media player 1.1.2
"WIC" = Windows Imaging Component
"Winamp" = Winamp (remove only)
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XviD_is1" = XviD MPEG-4 Video Codec
"Yahoo! Customizations" = Yahoo! Extras
"Yahoo! Internet Mail" = Yahoo! Mail
"Yahoo! Messenger" = Yahoo! Messenger
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Octoshape add-in for Adobe Flash Player" = Octoshape add-in for Adobe Flash Player
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 20.12.2010 18:19:31 | Computer Name = 1001-2E1B877302 | Source = ESENT | ID = 439
Description = Catalog Database (932) Die Shadowkopfzeile für Datei C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
 konnte nicht geschrieben werden. Fehler -1032.
 
Error - 20.12.2010 18:19:31 | Computer Name = 1001-2E1B877302 | Source = ESENT | ID = 473
Description = Catalog Database (932) Datenbank C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
 wurde teilweise getrennt. Fehler -1032 beim Aktualisieren der Datenbankkopfzeilen.
 
Error - 21.12.2010 04:26:54 | Computer Name = 1001-2E1B877302 | Source = ESENT | ID = 490
Description = svchost (948) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 21.12.2010 04:26:54 | Computer Name = 1001-2E1B877302 | Source = ESENT | ID = 470
Description = Catalog Database (948) Datenbank C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
 wurde teilweise angehängt. Anhängungsstufe: 3. Fehler: -1032.
 
Error - 01.01.2011 07:33:28 | Computer Name = 1001-2E1B877302 | Source = ESENT | ID = 490
Description = svchost (928) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 01.01.2011 07:33:28 | Computer Name = 1001-2E1B877302 | Source = ESENT | ID = 439
Description = Catalog Database (928) Die Shadowkopfzeile für Datei C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
 konnte nicht geschrieben werden. Fehler -1032.
 
Error - 01.01.2011 07:33:28 | Computer Name = 1001-2E1B877302 | Source = ESENT | ID = 473
Description = Catalog Database (928) Datenbank C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
 wurde teilweise getrennt. Fehler -1032 beim Aktualisieren der Datenbankkopfzeilen.
 
Error - 12.01.2011 11:24:34 | Computer Name = 1001-2E1B877302 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung dvd shrink 3.2.exe, Version 3.2.0.15, fehlgeschlagenes
 Modul dvd shrink 3.2.exe, Version 3.2.0.15, Fehleradresse 0x0007c98a.
 
Error - 14.01.2011 09:30:20 | Computer Name = 1001-2E1B877302 | Source = Avira AntiVir | ID = 4112
Description = Bei der Anforderung nach einer Resource des Betriebssystems trat ein
 Fehler auf.  Die Resource 'ThreadInit' wurde nicht zugewiesen.  Der Grund hierfür könnte
 zu wenig Hauptspeicher oder ein anderer Systemfehler sein.  Fehlercode: 0x18
 
Error - 07.02.2011 07:08:27 | Computer Name = 1001-2E1B877302 | Source = SecurityCenter | ID = 1802
Description = Das Windows-Sicherheitscenter konnte keine Ereignisabfragen mit der
 WMI herstellen, um Antivirus- und Firewallprogramme von Drittanbietern zu überwachen.
 
[ System Events ]
Error - 20.02.2011 04:36:50 | Computer Name = 1001-2E1B877302 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%1053
 
Error - 20.02.2011 05:44:47 | Computer Name = 1001-2E1B877302 | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "SAMSUNG-B975EE7",
der
 der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{39CEAF3A-E92-Transport zu sein
 scheint.  Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
 
Error - 20.02.2011 17:41:04 | Computer Name = 1001-2E1B877302 | Source = DCOM | ID = 10010
Description = Der Server "{B2B3C70A-B20F-40B7-90C5-EA7E946C16E0}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 20.02.2011 17:41:35 | Computer Name = 1001-2E1B877302 | Source = DCOM | ID = 10010
Description = Der Server "{B2B3C70A-B20F-40B7-90C5-EA7E946C16E0}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 20.02.2011 17:42:05 | Computer Name = 1001-2E1B877302 | Source = DCOM | ID = 10010
Description = Der Server "{B2B3C70A-B20F-40B7-90C5-EA7E946C16E0}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 21.02.2011 07:11:03 | Computer Name = 1001-2E1B877302 | Source = BROWSER | ID = 8032
Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport
 "\Device\NetBT_Tcpip_{39CEAF3A-E927-4526-8DDF-4C8300CD9B1C}" zu oft fehl.  Der Sicherungssuchdienst
 wird beendet.
 
Error - 21.02.2011 07:30:02 | Computer Name = 1001-2E1B877302 | Source = DCOM | ID = 10010
Description = Der Server "{D61A27C6-8F53-11D0-BFA0-00A024151983}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 21.02.2011 07:59:05 | Computer Name = 1001-2E1B877302 | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "MAC-",
der
 der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{39CEAF3A-E927-4526-8DDF-Transport
 zu sein scheint.  Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
 
Error - 21.02.2011 09:01:48 | Computer Name = 1001-2E1B877302 | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "MAC-",
der
 der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{39CEAF3A-E927-4526-8DDF-Transport
 zu sein scheint.  Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
 
Error - 21.02.2011 11:11:27 | Computer Name = 1001-2E1B877302 | Source = MRxSmb | ID = 8003
Description = Der Hauptsuchdienst erhielt eine Serverankündigung vom Computer "MAC-",
der
 der Hauptsuchdienst der Domäne für den NetBT_Tcpip_{39CEAF3A-E927-4526-8DDF-Transport
 zu sein scheint.  Der Hauptsuchdienst wurde beendet oder es wird eine Auswahl erzwungen.
 
 
< End of report >
         
--- --- ---

Was könnt ihr daraus ersehen? Was könnt ihr mir raten?

Alt 21.02.2011, 19:01   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun? - Standard

2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O32 - AutoRun File - [2009.06.05 13:58:34 | 000,000,055 | R--- | M] () - E:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{a6621aa4-81c7-11d9-8553-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{a6621aa4-81c7-11d9-8553-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a6621aa4-81c7-11d9-8553-806d6172696f}\Shell\AutoRun\command - "" = E:\setup.exe -- [2009.05.18 16:06:07 | 005,690,348 | R--- | M] (Adobe Systems, Inc.)
@Alternate Data Stream - 113 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
:Commands
[purity]
[resethosts]
[emptytemp]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Alt 21.02.2011, 20:25   #8
sunias
 
2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun? - Standard

2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?



Danke schonmal für deine Hinweise. Möchte dir aber, bevor ich diese durchführe noch das Ergebnis eines zweiten langen Suchdurchlaufes mit Malwarebytes (das erste war ein Schnellscan) mitteilen, denn hier gab es durchaus 4 Funde! (Trojan.Dropper. PGEN und Spyware.Passwords.Xgen)

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5829

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.02.2011 21:19:53
mbam-log-2011-02-21 (21-19-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 283628
Laufzeit: 4 Stunde(n), 42 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\***\Desktop\MFTools\TFC.exe (Trojan.Dropper.PGen) -> No action taken.
c:\dokumente und einstellungen\***\lokale einstellungen\temporary internet files\Content.IE5\U1K92QX7\TFC[1].exe (Trojan.Dropper.PGen) -> No action taken.
c:\system volume information\_restore{37d99e58-e38e-4e57-8682-510f12758e11}\RP900\A0175889.exe (Spyware.Passwords.XGen) -> No action taken.
c:\system volume information\_restore{37d99e58-e38e-4e57-8682-510f12758e11}\RP901\A0175957.exe (Trojan.Dropper.PGen) -> No action taken.

Soll ich trotzdem die von dir zuletzt genannten Anweisungen mit OTL durchführen (und was bewirkt das genau?) Und was wegen den oben genannten Funden - soll ich auf "Entferne Auswahl" in Malwarebytes klicken und reicht das wirklich zur Entfernung? Könnten Passwörter usw schon ausspioniert worden sein? Ach so, und was soll ich zuerst machen - die Funde auf Malwarebytes löschen oder deine Hinweise bei OTL eingeben?

Danke für deine Hilfe!!
Liebe Grüße
sunias

Geändert von sunias (21.02.2011 um 20:29 Uhr) Grund: Ergänzung

Alt 22.02.2011, 07:32   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun? - Standard

2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?



Ja bitte alles entfernen und dann den OTL-Fix durchführen.

Alt 22.02.2011, 11:50   #10
sunias
 
2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun? - Standard

2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?



Habe den Fix bei OTL durchgeführt - hier der Bericht:

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: **

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: ***
->Temp folder emptied: 2094993314 bytes
->Temporary Internet Files folder emptied: 34783014 bytes
->Java cache emptied: 5780982 bytes
->FireFox cache emptied: 82466327 bytes
->Flash cache emptied: 1147805 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 145204276 bytes
RecycleBin emptied: 3132541537 bytes

Total Files Cleaned = 5.242,00 mb


OTL by OldTimer - Version 3.2.20.6 log created on 02222011_124018

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Würdest du mir raten, auch den Scan mit GMER und DFOGGER durchzuführen? Was ist jetzt sonst als nächstes zu tun?

Liebe Grüße
sunias

Geändert von sunias (22.02.2011 um 11:51 Uhr) Grund: Ergänzung

Alt 22.02.2011, 13:45   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun? - Standard

2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Antwort

Themen zu 2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?
.dll, antivir, avg, csrss.exe, desktop, dllhost.exe, ebanking, einstellungen, explorer.exe, infiziert, load.exe, lsass.exe, modul, namen, nt.dll, programm, programme, prozess, prozesse, registry, services.exe, svchost.exe, system, system volume information, system32, tr/psw.zbot., trojaner, versteckte objekte, verweise, virus gefunden, was tun, windows, winlogon.exe, wuauclt.exe



Ähnliche Themen: 2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?


  1. Trojaner ZBot
    Log-Analyse und Auswertung - 20.03.2014 (10)
  2. Nach PWS:WIN32/Zbot.gen!Am jetzt PWS:WIN32/Zbot.AJB - wie werde ich diesen los
    Log-Analyse und Auswertung - 16.08.2013 (10)
  3. Trojan.zbot.FV und Spyware.zbot.-ED auf Netbook Asus Eee PC /Win7
    Plagegeister aller Art und deren Bekämpfung - 21.07.2013 (23)
  4. Trojaner eingefangen? TR/Spy.zbot.alw
    Log-Analyse und Auswertung - 24.06.2013 (27)
  5. Sparkassen Onlin Banking Virus (Zbot.HEEP, Agent.MIXC, Zbot, Agent.ED)
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (21)
  6. PWS:Win32/Zbot.gen!AJ Trojaner?
    Log-Analyse und Auswertung - 17.05.2013 (9)
  7. GVU Trojaner und Win32/Spy.Zbot.AAO
    Plagegeister aller Art und deren Bekämpfung - 02.05.2013 (1)
  8. Zeus/ZBot TRojaner
    Log-Analyse und Auswertung - 20.02.2013 (12)
  9. Trojaner TR/PSW.Zbot.AJ.368
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (12)
  10. Trojaner ZeuS/ZBot
    Log-Analyse und Auswertung - 11.10.2012 (1)
  11. Win32/Spy.Zbot.AAO Trojaner
    Log-Analyse und Auswertung - 01.09.2012 (1)
  12. Trojaner TR/Spy.ZBot.asur in FXYCNO.dll
    Log-Analyse und Auswertung - 16.04.2011 (61)
  13. Trojaner TR/Spy.ZBot.agaa
    Plagegeister aller Art und deren Bekämpfung - 25.03.2010 (27)
  14. 3 tw. unbekannte Trojaner TR/Spy.ZBot.hkp.2, TR/Dropper.Gen und TR/Spy.ZBot.hss
    Plagegeister aller Art und deren Bekämpfung - 25.01.2009 (0)
  15. Trojaner TR/Spy.Zbot.MU und Win32.Agent.pz
    Plagegeister aller Art und deren Bekämpfung - 15.01.2008 (8)
  16. Trojaner TR/Spy.ZBot.R
    Log-Analyse und Auswertung - 01.11.2007 (4)
  17. Probleme mit Trojaner Spy.ZBot.R
    Plagegeister aller Art und deren Bekämpfung - 05.10.2007 (1)

Zum Thema 2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun? - Hallo! Ich bitte Euch sehr um Hilfe. Ein Antivir Suchlauf hat gerade ergeben, dass mein System infiziert ist mit TR/PSW.zbot.137; TR/Diple.bcv und ausserdem JAVA/Openconnect.Al - diese wurden laut Antivir in - 2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun?...
Archiv
Du betrachtest: 2 Trojaner TR/PSW.zbot.137 + TR/Dipla.hcv u.a. - Was tun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.