TAN-Abfrage beim Online-Banking: Java/Edoer.af + Openstream.L + TR/Kazy.17993.1 + HTML/Expkit.Gen2

Tomate2011 · 06.04.2011, 20:11

Hallo liebes Forum,

nach nun 17 Jahren Viren-freiem Surfen hat es mich nun "endlich" auch erwischt:

Gestern öffnete sich NACH dem Einloggen in meinen Onlinebanking-Account ein Fenster, welches mich zur Eingabe von 30 TANs aufforderte.
Da ich mit dem Rechner neben Onlinebanking auch noch Ebay sowie Paypal und Click&Buy nutze, stellen mir sich nun die Nackenhaare ein wenig hoch...

Avira Antivir fand und "entfernte" (?) die schon im Betreff genannten Kollegen Java/Edoer.af + Openstream.L + TR/Kazy.17993.1 + HTML/Expkit.Gen2.

Nachdem ich nun viel zu dem Thema gegoogelt und hier im Forum gelesen habe, stellt sich mir nun folgende Frage:

Macht eine Rettung des Rechners bzw der aktuellen Installation Sinn bzw ist diese überhaupt möglich? Oder wäre es besser, wenn ich direkt die Platte bügele und alles neu installiere?

Ich würde mich sehr über eine Antwort hierzu von den Experten hier im Forum freuen.

Herzlichen Dank vorab.

Grüße,
Tomate

cosinus · 07.04.2011, 10:56

Zitat:

Avira Antivir fand und "entfernte" (?) die schon im Betreff genannten Kollegen Java/Edoer.af + Openstream.L + TR/Kazy.17993.1 + HTML/Expkit.Gen2.

Log dazu bitte komplett nachreichen!

Tomate2011 · 07.04.2011, 12:51

Hi Arne,

habe in Euren Regeln gesehen, dass man die Logs mit posten soll. Nur ist mein Problem, dass ich wegen dem Virenbefall mit dem besagten Rechner eigentlich gar nicht mehr online gehen möchte, was ja Voraussetzung wäre, um die Logs zu posten. (naja, außer, ich schreib sie ab...

)

Daher wollte ich eigentlich nur eine Einschätzung auf Basis der genannten Viren und Eurer Erfahrung haben, ob ein Rettungsversuch noch Sinn macht. Hätte ja sein können, dass Ihr bei einem der genannten Viren eh nach dem Motto der Patient ist tot abwinkt.

Seht Ihr das denn nicht als gefährlich an, wenn man mit der befallenen Maschine noch einmal online geht? Bitte kurze Info, falls nicht. Würde dann die Logs heute Abend nachreichen.

Danke & Grüße,
Tomate

cosinus · 07.04.2011, 14:28

Ohne Internetzugang können wir die Maschine weder vernünftig bereinigen noch analysieren...

Tomate2011 · 07.04.2011, 20:05

Hi,

werde nun die Logs im folgenden posten. Es waren insgesamt 3 Scans mit Antivir mit unterschiedlicher Analysetiefe. Seitdem findet Antivir nichts mehr was aber natürlich nicht gleich Entwarnung ist. Ich liste die Logs hier wegen der möglichen Virengefahr im übrigen als harten Text und nicht als Attachment.

Beste Grüße,
Thomas

PS: Finde es übrigens absolut superklasse, was Ihr hier Support-mäßig macht. Echt toll

Tomate2011 · 07.04.2011, 20:07

Log 1:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 5. April 2011 15:24

Es wird nach 2555303 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SAMSUNG-NC10

Versionsinformationen:
BUILD.DAT : 10.0.0.635 31822 Bytes 07.03.2011 12:02:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 10.12.2010 20:02:15
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 10.12.2010 20:02:16
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:34:57
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 19:53:44
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 18:54:53
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 18:54:53
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 18:54:53
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 18:54:53
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 18:54:53
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 18:54:53
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 18:54:53
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 18:54:53
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 18:54:54
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 18:54:54
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 18:54:54
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 18:54:54
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 18:17:27
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 19:56:08
VBASE016.VDF : 7.11.3.183 140288 Bytes 22.02.2011 19:56:09
VBASE017.VDF : 7.11.3.216 124416 Bytes 24.02.2011 19:56:10
VBASE018.VDF : 7.11.3.251 159232 Bytes 28.02.2011 20:33:10
VBASE019.VDF : 7.11.4.33 148992 Bytes 02.03.2011 20:33:12
VBASE020.VDF : 7.11.4.73 150016 Bytes 06.03.2011 19:51:02
VBASE021.VDF : 7.11.4.108 122880 Bytes 08.03.2011 19:36:33
VBASE022.VDF : 7.11.4.150 133120 Bytes 10.03.2011 19:06:16
VBASE023.VDF : 7.11.4.183 122368 Bytes 14.03.2011 19:06:17
VBASE024.VDF : 7.11.4.228 123392 Bytes 16.03.2011 20:14:40
VBASE025.VDF : 7.11.5.8 246272 Bytes 21.03.2011 20:14:41
VBASE026.VDF : 7.11.5.38 137216 Bytes 23.03.2011 20:14:42
VBASE027.VDF : 7.11.5.82 151552 Bytes 27.03.2011 19:14:13
VBASE028.VDF : 7.11.5.122 154112 Bytes 30.03.2011 19:14:13
VBASE029.VDF : 7.11.5.123 2048 Bytes 30.03.2011 19:14:13
VBASE030.VDF : 7.11.5.124 2048 Bytes 30.03.2011 19:14:13
VBASE031.VDF : 7.11.5.168 150528 Bytes 01.04.2011 19:14:14
Engineversion : 8.2.4.192
AEVDF.DLL : 8.1.2.1 106868 Bytes 12.11.2010 18:55:18
AESCRIPT.DLL : 8.1.3.57 1261947 Bytes 24.03.2011 20:14:57
AESCN.DLL : 8.1.7.2 127349 Bytes 23.11.2010 19:08:50
AESBX.DLL : 8.1.3.2 254324 Bytes 23.11.2010 19:08:53
AERDL.DLL : 8.1.9.9 639347 Bytes 01.04.2011 19:14:24
AEPACK.DLL : 8.2.4.13 524662 Bytes 01.04.2011 19:14:23
AEOFFICE.DLL : 8.1.1.18 205178 Bytes 01.04.2011 19:14:22
AEHEUR.DLL : 8.1.2.91 3387767 Bytes 01.04.2011 19:14:21
AEHELP.DLL : 8.1.16.1 246134 Bytes 08.02.2011 21:00:48
AEGEN.DLL : 8.1.5.3 397684 Bytes 24.03.2011 20:14:45
AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 19:08:43
AECORE.DLL : 8.1.19.2 196983 Bytes 22.01.2011 19:23:14
AEBB.DLL : 8.1.1.0 53618 Bytes 12.11.2010 18:55:17
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 12.11.2010 18:55:18
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 10.12.2010 20:02:16
AVARKT.DLL : 10.0.22.6 231784 Bytes 10.12.2010 20:02:14
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 12.11.2010 18:55:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 5. April 2011 15:24

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'MpfConsole.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'mghtml.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'McDash.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPNOT~1.EXE' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfAgent.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'PerformanceManager.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicKBD.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcagent.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcregwiz.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfTray.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLSoftware.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryManager.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'EDSAgent.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'MPFSERVICE.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'mctskshd.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcdetect.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLAcsd.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '154' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '387' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48\f406fb0-64a5d8f0
[0] Archivtyp: ZIP
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.AF
--> durdom/huiak.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.AF
--> durdom/Stremer.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.L
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48\f406fb0-64a5d8f0
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.L
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47889894.qua' verschoben!

Ende des Suchlaufs: Dienstag, 5. April 2011 17:57
Benötigte Zeit: 42:25 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

5002 Verzeichnisse wurden überprüft
272438 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
272436 Dateien ohne Befall
6615 Archive wurden durchsucht
0 Warnungen
1 Hinweise
352940 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Tomate2011 · 07.04.2011, 20:09

Log 2:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 5. April 2011 19:10

Es wird nach 2565203 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SAMSUNG-NC10

Versionsinformationen:
BUILD.DAT : 10.0.0.635 31822 Bytes 07.03.2011 12:02:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 10.12.2010 20:02:15
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 10.12.2010 20:02:16
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:34:57
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 19:53:44
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 18:54:53
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 18:54:53
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 18:54:53
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 18:54:53
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 18:54:53
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 18:54:53
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 18:54:53
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 18:54:53
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 18:54:54
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 18:54:54
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 18:54:54
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 18:54:54
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 18:17:27
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 19:56:08
VBASE016.VDF : 7.11.3.183 140288 Bytes 22.02.2011 19:56:09
VBASE017.VDF : 7.11.3.216 124416 Bytes 24.02.2011 19:56:10
VBASE018.VDF : 7.11.3.251 159232 Bytes 28.02.2011 20:33:10
VBASE019.VDF : 7.11.4.33 148992 Bytes 02.03.2011 20:33:12
VBASE020.VDF : 7.11.4.73 150016 Bytes 06.03.2011 19:51:02
VBASE021.VDF : 7.11.4.108 122880 Bytes 08.03.2011 19:36:33
VBASE022.VDF : 7.11.4.150 133120 Bytes 10.03.2011 19:06:16
VBASE023.VDF : 7.11.4.183 122368 Bytes 14.03.2011 19:06:17
VBASE024.VDF : 7.11.4.228 123392 Bytes 16.03.2011 20:14:40
VBASE025.VDF : 7.11.5.8 246272 Bytes 21.03.2011 20:14:41
VBASE026.VDF : 7.11.5.38 137216 Bytes 23.03.2011 20:14:42
VBASE027.VDF : 7.11.5.82 151552 Bytes 27.03.2011 19:14:13
VBASE028.VDF : 7.11.5.122 154112 Bytes 30.03.2011 19:14:13
VBASE029.VDF : 7.11.5.174 206336 Bytes 04.04.2011 17:07:21
VBASE030.VDF : 7.11.5.175 2048 Bytes 04.04.2011 17:07:21
VBASE031.VDF : 7.11.5.197 78336 Bytes 05.04.2011 17:07:22
Engineversion : 8.2.4.202
AEVDF.DLL : 8.1.2.1 106868 Bytes 12.11.2010 18:55:18
AESCRIPT.DLL : 8.1.3.58 1266042 Bytes 05.04.2011 17:07:34
AESCN.DLL : 8.1.7.2 127349 Bytes 23.11.2010 19:08:50
AESBX.DLL : 8.1.3.2 254324 Bytes 23.11.2010 19:08:53
AERDL.DLL : 8.1.9.9 639347 Bytes 01.04.2011 19:14:24
AEPACK.DLL : 8.2.4.15 524662 Bytes 05.04.2011 17:07:32
AEOFFICE.DLL : 8.1.1.20 205177 Bytes 05.04.2011 17:07:31
AEHEUR.DLL : 8.1.2.96 3412341 Bytes 05.04.2011 17:07:31
AEHELP.DLL : 8.1.16.1 246134 Bytes 08.02.2011 21:00:48
AEGEN.DLL : 8.1.5.4 397684 Bytes 05.04.2011 17:07:24
AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 19:08:43
AECORE.DLL : 8.1.19.2 196983 Bytes 22.01.2011 19:23:14
AEBB.DLL : 8.1.1.0 53618 Bytes 12.11.2010 18:55:17
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 12.11.2010 18:55:18
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 10.12.2010 20:02:16
AVARKT.DLL : 10.0.22.6 231784 Bytes 10.12.2010 20:02:14
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 12.11.2010 18:55:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 5. April 2011 19:10

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfAgent.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'PerformanceManager.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicKBD.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcagent.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcregwiz.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfTray.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLSoftware.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryManager.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'EDSAgent.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'MPFSERVICE.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'mctskshd.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcdetect.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLAcsd.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '158' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '388' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EM2PZWKY\index[1].htm
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen2
C:\System Volume Information\_restore{BC241411-1639-43D3-823E-FEF18D7A35CA}\RP191\A0032205.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17993.1
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{BC241411-1639-43D3-823E-FEF18D7A35CA}\RP191\A0032205.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17993.1
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EM2PZWKY\index[1].htm
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/ExpKit.Gen2
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 464ac470.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.

Ende des Suchlaufs: Dienstag, 5. April 2011 20:32
Benötigte Zeit: 1:18:33 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

5008 Verzeichnisse wurden überprüft
272380 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
272378 Dateien ohne Befall
6614 Archive wurden durchsucht
1 Warnungen
2 Hinweise
353103 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Tomate2011 · 07.04.2011, 20:10

...und Nr. 3

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 5. April 2011 20:22

Es wird nach 2565203 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SAMSUNG-NC10

Versionsinformationen:
BUILD.DAT : 10.0.0.635 31822 Bytes 07.03.2011 12:02:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 10.12.2010 20:02:15
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 10.12.2010 20:02:16
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:34:57
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 19:53:44
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 18:54:53
VBASE003.VDF : 7.11.3.1 2048 Bytes 09.02.2011 18:54:53
VBASE004.VDF : 7.11.3.2 2048 Bytes 09.02.2011 18:54:53
VBASE005.VDF : 7.11.3.3 2048 Bytes 09.02.2011 18:54:53
VBASE006.VDF : 7.11.3.4 2048 Bytes 09.02.2011 18:54:53
VBASE007.VDF : 7.11.3.5 2048 Bytes 09.02.2011 18:54:53
VBASE008.VDF : 7.11.3.6 2048 Bytes 09.02.2011 18:54:53
VBASE009.VDF : 7.11.3.7 2048 Bytes 09.02.2011 18:54:53
VBASE010.VDF : 7.11.3.8 2048 Bytes 09.02.2011 18:54:54
VBASE011.VDF : 7.11.3.9 2048 Bytes 09.02.2011 18:54:54
VBASE012.VDF : 7.11.3.10 2048 Bytes 09.02.2011 18:54:54
VBASE013.VDF : 7.11.3.59 157184 Bytes 14.02.2011 18:54:54
VBASE014.VDF : 7.11.3.97 120320 Bytes 16.02.2011 18:17:27
VBASE015.VDF : 7.11.3.148 128000 Bytes 19.02.2011 19:56:08
VBASE016.VDF : 7.11.3.183 140288 Bytes 22.02.2011 19:56:09
VBASE017.VDF : 7.11.3.216 124416 Bytes 24.02.2011 19:56:10
VBASE018.VDF : 7.11.3.251 159232 Bytes 28.02.2011 20:33:10
VBASE019.VDF : 7.11.4.33 148992 Bytes 02.03.2011 20:33:12
VBASE020.VDF : 7.11.4.73 150016 Bytes 06.03.2011 19:51:02
VBASE021.VDF : 7.11.4.108 122880 Bytes 08.03.2011 19:36:33
VBASE022.VDF : 7.11.4.150 133120 Bytes 10.03.2011 19:06:16
VBASE023.VDF : 7.11.4.183 122368 Bytes 14.03.2011 19:06:17
VBASE024.VDF : 7.11.4.228 123392 Bytes 16.03.2011 20:14:40
VBASE025.VDF : 7.11.5.8 246272 Bytes 21.03.2011 20:14:41
VBASE026.VDF : 7.11.5.38 137216 Bytes 23.03.2011 20:14:42
VBASE027.VDF : 7.11.5.82 151552 Bytes 27.03.2011 19:14:13
VBASE028.VDF : 7.11.5.122 154112 Bytes 30.03.2011 19:14:13
VBASE029.VDF : 7.11.5.174 206336 Bytes 04.04.2011 17:07:21
VBASE030.VDF : 7.11.5.175 2048 Bytes 04.04.2011 17:07:21
VBASE031.VDF : 7.11.5.197 78336 Bytes 05.04.2011 17:07:22
Engineversion : 8.2.4.202
AEVDF.DLL : 8.1.2.1 106868 Bytes 12.11.2010 18:55:18
AESCRIPT.DLL : 8.1.3.58 1266042 Bytes 05.04.2011 17:07:34
AESCN.DLL : 8.1.7.2 127349 Bytes 23.11.2010 19:08:50
AESBX.DLL : 8.1.3.2 254324 Bytes 23.11.2010 19:08:53
AERDL.DLL : 8.1.9.9 639347 Bytes 01.04.2011 19:14:24
AEPACK.DLL : 8.2.4.15 524662 Bytes 05.04.2011 17:07:32
AEOFFICE.DLL : 8.1.1.20 205177 Bytes 05.04.2011 17:07:31
AEHEUR.DLL : 8.1.2.96 3412341 Bytes 05.04.2011 17:07:31
AEHELP.DLL : 8.1.16.1 246134 Bytes 08.02.2011 21:00:48
AEGEN.DLL : 8.1.5.4 397684 Bytes 05.04.2011 17:07:24
AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 19:08:43
AECORE.DLL : 8.1.19.2 196983 Bytes 22.01.2011 19:23:14
AEBB.DLL : 8.1.1.0 53618 Bytes 12.11.2010 18:55:17
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 12.11.2010 18:55:18
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 10.12.2010 20:02:16
AVARKT.DLL : 10.0.22.6 231784 Bytes 10.12.2010 20:02:14
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 12.11.2010 18:55:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4dd5e653\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch

Beginn des Suchlaufs: Dienstag, 5. April 2011 20:22

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PerformanceManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicKBD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcregwiz.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLSoftware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EDSAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MPFSERVICE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mctskshd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcdetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLAcsd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{BC241411-1639-43D3-823E-FEF18D7A35CA}\RP191\A0032205.exe'
C:\System Volume Information\_restore{BC241411-1639-43D3-823E-FEF18D7A35CA}\RP191\A0032205.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.17993.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4eafff2a.qua' verschoben!

Ende des Suchlaufs: Dienstag, 5. April 2011 20:23
Benötigte Zeit: 00:33 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
56 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
55 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Die Suchergebnisse werden an den Guard übermittelt.

cosinus · 07.04.2011, 20:10

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Tomate2011 · 07.04.2011, 22:56

mmmh... sehr interessant, was OTL so alles ausliest...

ok, vor den Logs folgende Anmerkungen:

Habe eben Mist gebaut. Sprich, habe vor Anti-Malware noch Antivir mit den Virussignaturenupdate von heute versorgt und dann geschickterweise den Antivir-Guard nicht deaktiviert, als Anti-Malware lief.

Resultat war, dass Antivir mit den Signaturen von heute parallel zum Anti-Malware Scan noch einen weiteren Fund gemacht hat. Habe daraufhin Anti-Malware abgebrochen und Antivir weiterlaufen lassen.

Anti-Malware habe ich danach nach einem System-Neustart erneut ausgeführt.

Unten beigefügt daher nun als erstes das Log für o.g. Antivir-Scan von heute. Dann das Log von Anti-Malware (hat Viren gefunden) sowie die beiden Logs von OTL (wie gesagt sehr, sehr interessantes Tool).

Im übrigen poppt hier ab und an jetzt immer wieder eine Box auf (Absender laut Taskleiste = Antivir), die sagt "Das Profil konnte nicht gefunden werden!". Option ist dabei nur auf "Ok" drücken.

Das kann entweder ein Bug aus dem Antivir-Update von heute sein oder aber eines der netten kleinen Virusviecher. Poste bei Bedarf gerne einen Screenshot.

Hier nun die Logs:

Tomate2011 · 07.04.2011, 22:58

Scan Antivir von heute:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 7. April 2011 21:40

Es wird nach 2532899 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SAMSUNG-NC10

Versionsinformationen:
BUILD.DAT : 10.0.0.635 31822 Bytes 07.03.2011 12:02:00
AVSCAN.EXE : 10.0.3.5 435368 Bytes 10.12.2010 20:02:15
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 11:42:16
LUKE.DLL : 10.0.3.2 104296 Bytes 10.12.2010 20:02:16
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:34:57
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 19:53:44
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 18:54:53
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 19:28:43
VBASE004.VDF : 7.11.5.226 2048 Bytes 07.04.2011 19:28:44
VBASE005.VDF : 7.11.5.227 2048 Bytes 07.04.2011 19:28:44
VBASE006.VDF : 7.11.5.228 2048 Bytes 07.04.2011 19:28:44
VBASE007.VDF : 7.11.5.229 2048 Bytes 07.04.2011 19:28:44
VBASE008.VDF : 7.11.5.230 2048 Bytes 07.04.2011 19:28:45
VBASE009.VDF : 7.11.5.231 2048 Bytes 07.04.2011 19:28:45
VBASE010.VDF : 7.11.5.232 2048 Bytes 07.04.2011 19:28:45
VBASE011.VDF : 7.11.5.233 2048 Bytes 07.04.2011 19:28:46
VBASE012.VDF : 7.11.5.234 2048 Bytes 07.04.2011 19:28:46
VBASE013.VDF : 7.11.5.235 2048 Bytes 07.04.2011 19:28:46
VBASE014.VDF : 7.11.5.236 2048 Bytes 07.04.2011 19:28:47
VBASE015.VDF : 7.11.5.237 2048 Bytes 07.04.2011 19:28:47
VBASE016.VDF : 7.11.5.238 2048 Bytes 07.04.2011 19:28:47
VBASE017.VDF : 7.11.5.239 2048 Bytes 07.04.2011 19:28:48
VBASE018.VDF : 7.11.5.240 2048 Bytes 07.04.2011 19:28:48
VBASE019.VDF : 7.11.5.241 2048 Bytes 07.04.2011 19:28:49
VBASE020.VDF : 7.11.5.242 2048 Bytes 07.04.2011 19:28:49
VBASE021.VDF : 7.11.5.243 2048 Bytes 07.04.2011 19:28:50
VBASE022.VDF : 7.11.5.244 2048 Bytes 07.04.2011 19:28:50
VBASE023.VDF : 7.11.5.245 2048 Bytes 07.04.2011 19:28:51
VBASE024.VDF : 7.11.5.246 2048 Bytes 07.04.2011 19:28:52
VBASE025.VDF : 7.11.5.247 2048 Bytes 07.04.2011 19:28:52
VBASE026.VDF : 7.11.5.248 2048 Bytes 07.04.2011 19:28:53
VBASE027.VDF : 7.11.5.249 2048 Bytes 07.04.2011 19:28:53
VBASE028.VDF : 7.11.5.250 2048 Bytes 07.04.2011 19:28:53
VBASE029.VDF : 7.11.5.251 2048 Bytes 07.04.2011 19:28:54
VBASE030.VDF : 7.11.5.252 2048 Bytes 07.04.2011 19:28:55
VBASE031.VDF : 7.11.6.4 29184 Bytes 07.04.2011 19:28:56
Engineversion : 8.2.4.206
AEVDF.DLL : 8.1.2.1 106868 Bytes 12.11.2010 18:55:18
AESCRIPT.DLL : 8.1.3.58 1266042 Bytes 05.04.2011 17:07:34
AESCN.DLL : 8.1.7.2 127349 Bytes 23.11.2010 19:08:50
AESBX.DLL : 8.1.3.2 254324 Bytes 23.11.2010 19:08:53
AERDL.DLL : 8.1.9.9 639347 Bytes 01.04.2011 19:14:24
AEPACK.DLL : 8.2.6.0 549237 Bytes 07.04.2011 19:30:02
AEOFFICE.DLL : 8.1.1.20 205177 Bytes 05.04.2011 17:07:31
AEHEUR.DLL : 8.1.2.97 3428726 Bytes 07.04.2011 19:29:49
AEHELP.DLL : 8.1.16.1 246134 Bytes 08.02.2011 21:00:48
AEGEN.DLL : 8.1.5.4 397684 Bytes 05.04.2011 17:07:24
AEEMU.DLL : 8.1.3.0 393589 Bytes 23.11.2010 19:08:43
AECORE.DLL : 8.1.20.2 196982 Bytes 07.04.2011 19:29:01
AEBB.DLL : 8.1.1.0 53618 Bytes 12.11.2010 18:55:17
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 11:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 16:47:40
AVREG.DLL : 10.0.3.2 53096 Bytes 12.11.2010 18:55:18
AVSCPLR.DLL : 10.0.3.2 84328 Bytes 10.12.2010 20:02:16
AVARKT.DLL : 10.0.22.6 231784 Bytes 10.12.2010 20:02:14
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 09:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 13:10:08
RCTEXT.DLL : 10.0.58.0 98152 Bytes 12.11.2010 18:55:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4dd70088\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 7. April 2011 21:40

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dhcp\Parameters\{118fa2ce-9e07-4260-bc78-fa24ebf9ee0a}
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MBAMSwissArmy\type
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MBAMSwissArmy\start
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MBAMSwissArmy\errorcontrol
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MBAMSwissArmy\imagepath
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MBAMSwissArmy\displayname
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MBAMSwissArmy\displayname
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MBAMSwissArmy\displayname
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MBAMSwissArmy\deleteflag
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MBAMSwissArmy\Security\security
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\dhcpnameserver
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\dhcpnameserver
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\dhcpnameserver
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\dhcpnameserver
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{118FA2CE-9E07-4260-BC78-FA24EBF9EE0A}\dhcpipaddress
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{118FA2CE-9E07-4260-BC78-FA24EBF9EE0A}\dhcpipaddress
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{118FA2CE-9E07-4260-BC78-FA24EBF9EE0A}\dhcpsubnetmask
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{118FA2CE-9E07-4260-BC78-FA24EBF9EE0A}\dhcpsubnetmask
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{118FA2CE-9E07-4260-BC78-FA24EBF9EE0A}\dhcpretrytime
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{118FA2CE-9E07-4260-BC78-FA24EBF9EE0A}\dhcpretrystatus
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{118FA2CE-9E07-4260-BC78-FA24EBF9EE0A}\dhcpdefaultgateway
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{118FA2CE-9E07-4260-BC78-FA24EBF9EE0A}\dhcpsubnetmaskopt
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{118FA2CE-9E07-4260-BC78-FA24EBF9EE0A}\Parameters\Tcpip\dhcpdefaultgateway
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{118FA2CE-9E07-4260-BC78-FA24EBF9EE0A}\Parameters\Tcpip\dhcpsubnetmaskopt
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_MBAMSWISSARMY\nextinstance
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_MBAMSWISSARMY\0000\legacy
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_MBAMSWISSARMY\0000\configflags
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_MBAMSWISSARMY\0000\class
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\Root\LEGACY_MBAMSWISSARMY\0000\classguid
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PerformanceManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MagicKBD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcregwiz.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpfTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLSoftware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EDSAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MPFSERVICE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mctskshd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mcdetect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLAcsd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Ypzeta\uvda.exe'
C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Ypzeta\uvda.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.18045.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c86b5fd.qua' verschoben!
Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.

Tomate2011 · 07.04.2011, 23:00

Anti-Malware:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6304

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

07.04.2011 22:40:27
mbam-log-2011-04-07 (22-40-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 195824
Laufzeit: 21 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{bc241411-1639-43d3-823e-fef18d7a35ca}\RP192\A0032300.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

Tomate2011 · 07.04.2011, 23:07

OTL Extras.txt (sag mal, liest das sogar die Mac-Adresse aus oder interpretiere ich das falsch?):OTL EXTRAS Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 07.04.2011 23:11:51 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Dokumente und Einstellungen\Thomas\Desktop\Virus 05.04.11\otl
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 75,00% Memory free
3,00 Gb Paging File | 3,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 40,04 Gb Total Space | 22,30 Gb Free Space | 55,70% Space Free | Partition Type: NTFS
Drive D: | 103,00 Gb Total Space | 1,80 Gb Free Space | 1,75% Space Free | Partition Type: NTFS
 
Computer Name: SAMSUNG-NC10 | User Name: Thomas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OpenNew] -- cmd.exe /k cd %1 (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\Gemeinsame Dateien\aol\acs\AOLDial.exe" = C:\Programme\Gemeinsame Dateien\aol\acs\AOLDial.exe:*:Enabled:AOL Optimized Dial-In -- (AOL LLC)
"C:\Programme\Gemeinsame Dateien\aol\acs\AOLacsd.exe" = C:\Programme\Gemeinsame Dateien\aol\acs\AOLacsd.exe:*:Enabled:AOL Optimized Dial-In -- (AOL LLC)
"C:\Programme\Gemeinsame Dateien\aol\1225835132\ee\aolsoftware.exe" = C:\Programme\Gemeinsame Dateien\aol\1225835132\ee\aolsoftware.exe:*:Enabled:AOL Shared Components -- (America Online, Inc.)
"C:\Programme\AOL 9.0 VR\waol.exe" = C:\Programme\AOL 9.0 VR\waol.exe:*:Enabled:AOL -- (AOL, LLC.)
"C:\Programme\Gemeinsame Dateien\aol\TopSpeed\3.0\aoltpsd3.exe" = C:\Programme\Gemeinsame Dateien\aol\TopSpeed\3.0\aoltpsd3.exe:*:Enabled:AOL TopSpeed -- (AOL LLC)
"C:\Programme\Gemeinsame Dateien\aol\Loader\aolload.exe" = C:\Programme\Gemeinsame Dateien\aol\Loader\aolload.exe:*:Enabled:AOL Loader -- (America Online, Inc.)
"C:\Programme\Gemeinsame Dateien\aol\System Information\sinf.exe" = C:\Programme\Gemeinsame Dateien\aol\System Information\sinf.exe:*:Enabled:AOL System Information -- (AOL LLC)
"C:\Programme\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe" = C:\Programme\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe:*:Enabled:Nokia Ovi Suite 2 -- (Nokia)
"C:\Programme\Gemeinsame Dateien\Nokia\Service Layer\A\nsl_host_process.exe" = C:\Programme\Gemeinsame Dateien\Nokia\Service Layer\A\nsl_host_process.exe:*:Enabled:Nokia Service Layer Host Process  -- (Nokia Corporation)
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer -- (Microsoft Corporation)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00AF10C1-44BD-4862-9D7F-24E6BA3E87FD}" = imagine digital freedom - Samsung
"{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution III
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}" = Google Earth
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 11
"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0
"{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}" = Samsung Magic Doctor
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{45DF6D99-666D-41FA-8D62-0E183B6240F3}" = PC Connectivity Solution
"{5CBB720F-08E6-4043-B83F-76C277AF6DE7}" = Samsung Wallpaper
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{6F730513-8688-4C3C-90A3-6B9792CE2EF3}" = Samsung Battery Manager
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{71A51B59-E7D3-11DB-A386-005056C00008}" = Namuga 1.3M Webcam
"{749A1EDD-16C2-4C63-B013-D38F0F953973}" = OviMPlatform
"{7B46F9CF-CF60-492E-816E-95EB1A9D1BB4}" = Play Camera
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{8112C6B3-91E1-4560-8AB9-876DADFA37C5}" = Ovi Desktop Sync Engine
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A5F483F0-2D79-4FCA-AE09-D0D96E23EBF7}" = Samsung Update Plus
"{A7581D39-EA20-4883-A480-80C21047052B}" = Easy Network Manager
"{ABB14904-A11B-4F42-996C-80FD608A0F17}" = Samsung EDS
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{B46BC183-3713-3814-9067-D1C6BC952F7B}" = Cooliris for Internet Explorer
"{B8B4446F-87E1-4423-A47A-16832C24A199}" = Nokia Ovi Suite
"{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}" = User Guide
"{BD723E53-A42C-4702-AA04-1D74A0311590}" = Magic Keyboard
"{EE5B5B24-EEFC-4C8B-BF8B-256D705BAD89}" = Nokia Ovi Suite Software Updater
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F1FDAA01-988C-423F-AC12-0D8F333943FD}" = Nokia Connectivity Cable Driver
"{F4F41D14-E0DD-4FB4-AA09-A14225C769BD}" = Atheros WLAN Client
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Shockwave Player" = Adobe Shockwave Player
"AOL Deinstallation" = AOL Deinstallation
"AOL Installations-Manager" = AOL Installations-Manager
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Google Updater" = Google Updater
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"InstallShield_{7B46F9CF-CF60-492E-816E-95EB1A9D1BB4}" = Play Camera
"InstallShield_{A5F483F0-2D79-4FCA-AE09-D0D96E23EBF7}" = Samsung Update Plus
"jose-chess" = jose
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Marvell Miniport Driver" = Marvell Miniport Driver
"McAfee Personal Firewall Plus" = McAfee Personal Firewall Plus
"Mcafee SecurityCenter" = McAfee SecurityCenter
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Nokia Ovi Suite" = Nokia Ovi Suite
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"ViewpointMediaPlayer" = Viewpoint Media Player
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"WMFDist11" = Windows Media Format 11 runtime
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"xp-AntiSpy" = xp-AntiSpy 3.97-9
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 03.04.2011 14:44:34 | Computer Name = SAMSUNG-NC10 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 04.04.2011 04:57:22 | Computer Name = SAMSUNG-NC10 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 04.04.2011 05:02:04 | Computer Name = SAMSUNG-NC10 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 04.04.2011 14:34:35 | Computer Name = SAMSUNG-NC10 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 05.04.2011 09:16:07 | Computer Name = SAMSUNG-NC10 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 05.04.2011 09:16:07 | Computer Name = SAMSUNG-NC10 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 05.04.2011 09:16:07 | Computer Name = SAMSUNG-NC10 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 05.04.2011 09:16:07 | Computer Name = SAMSUNG-NC10 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 05.04.2011 09:16:07 | Computer Name = SAMSUNG-NC10 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 05.04.2011 14:35:12 | Computer Name = SAMSUNG-NC10 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
[ System Events ]
Error - 28.02.2011 15:56:55 | Computer Name = SAMSUNG-NC10 | Source = Tcpip | ID = 4199
Description = Das System hat einen Adressenkonflikt der IP-Adresse 192.168.2.100
 mit dem Computer mit der  Netzwerkhardwareadresse 44:2A:60:69:07:DA ermittelt. Netzwerkvorgänge
 könnten daher auf diesem  System unterbrochen werden.
 
Error - 02.03.2011 14:10:44 | Computer Name = SAMSUNG-NC10 | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.100 für die Netzwerkkarte mit der Netzwerkadresse
 0021638D7573 wurde durch  den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 05.04.2011 09:11:40 | Computer Name = SAMSUNG-NC10 | Source = Dhcp | ID = 1002
Description = Die IP-Adresslease 192.168.2.100 für die Netzwerkkarte mit der Netzwerkadresse
 0021638D7573 wurde durch  den DHCP-Server 192.168.2.1 abgelehnt (der DHCP-Server 
hat eine DHCPNACK-Meldung gesendet).
 
Error - 07.04.2011 16:43:10 | Computer Name = SAMSUNG-NC10 | Source = Service Control Manager | ID = 7034
Description = Dienst "Marvell Yukon Service" wurde unerwartet beendet. Dies ist 
bereits 1 Mal passiert.
 
Error - 07.04.2011 16:44:16 | Computer Name = SAMSUNG-NC10 | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume2" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
 
< End of report >

--- --- ---

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{bc241411-1639-43d3-823e-fef18d7a35ca}\RP192\A0032300.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

Tomate2011 · 07.04.2011, 23:14

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 07.04.2011 23:11:51 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Dokumente und Einstellungen\Thomas\Desktop\Virus 05.04.11\otl
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 75,00% Memory free
3,00 Gb Paging File | 3,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 40,04 Gb Total Space | 22,30 Gb Free Space | 55,70% Space Free | Partition Type: NTFS
Drive D: | 103,00 Gb Total Space | 1,80 Gb Free Space | 1,75% Space Free | Partition Type: NTFS
 
Computer Name: SAMSUNG-NC10 | User Name: Thomas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Thomas\Desktop\Virus 05.04.11\otl\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe (Nokia)
PRC - C:\Programme\Samsung\Samsung Update Plus\SUPBackGround.exe ()
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe (SAMSUNG Electronics)
PRC - C:\Programme\Samsung\MagicKBD\PerformanceManager.exe (Samsung Electronics Co., Ltd.)
PRC - C:\Programme\Samsung\MagicKBD\MagicKBD.exe (SAMSUNG Electronics Co., Ltd.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Samsung\Samsung EDS\EDSAgent.exe (Samsung Electronics,.LTD)
PRC - C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe ()
PRC - C:\Programme\Gemeinsame Dateien\aol\acs\AOLacsd.exe (AOL LLC)
PRC - C:\Programme\Gemeinsame Dateien\aol\1225835132\ee\aolsoftware.exe (America Online, Inc.)
PRC - c:\Programme\McAfee.com\Agent\Mcdetect.exe (McAfee, Inc)
PRC - C:\Programme\McAfee.com\Agent\mcagent.exe (McAfee, Inc)
PRC - c:\Programme\McAfee.com\Agent\McTskshd.exe (McAfee, Inc)
PRC - C:\Programme\McAfee.com\Personal Firewall\MpfTray.exe (McAfee Security)
PRC - C:\Programme\McAfee.com\Personal Firewall\MpfService.exe (McAfee Corporation)
PRC - C:\Programme\McAfee.com\Personal Firewall\MpfAgent.exe (McAfee Security)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Thomas\Desktop\Virus 05.04.11\otl\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) --  File not found
SRV - (AppMgmt) --  File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia)
SRV - (AOL ACS) -- C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe (AOL LLC)
SRV - (McDetect.exe) -- c:\Programme\McAfee.com\Agent\Mcdetect.exe (McAfee, Inc)
SRV - (McTskshd.exe) -- c:\Programme\McAfee.com\Agent\McTskshd.exe (McAfee, Inc)
SRV - (mcupdmgr.exe) -- C:\Programme\McAfee.com\Agent\mcupdmgr.exe (McAfee, Inc)
SRV - (MpfService) -- C:\Programme\McAfee.com\Personal Firewall\MpfService.exe (McAfee Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (UsbserFilt) -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys (Nokia)
DRV - (upperdev) -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys (Nokia)
DRV - (nmwcdc) -- C:\WINDOWS\system32\drivers\ccdcmbo.sys (Nokia)
DRV - (nmwcd) -- C:\WINDOWS\system32\drivers\ccdcmb.sys (Nokia)
DRV - (nmwcdnsu) -- C:\WINDOWS\system32\drivers\nmwcdnsu.sys (Nokia)
DRV - (nmwcdnsuc) -- C:\WINDOWS\system32\drivers\nmwcdnsuc.sys (Nokia)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)
DRV - (VMC326) -- C:\WINDOWS\system32\drivers\VMC326.sys (Vimicro Corporation)
DRV - (AR5416) -- C:\WINDOWS\system32\drivers\athw.sys (Atheros Communications, Inc.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
DRV - (DNSeFilter) -- C:\WINDOWS\system32\drivers\SamsungEDS.SYS (Samsung Electronics,.LTD)
DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)
DRV - (SUEPD) -- C:\WINDOWS\system32\drivers\SUE_PD.sys (Samsung)
DRV - (DOSMEMIO) -- C:\WINDOWS\system32\MEMIO.SYS ()
DRV - (MPFIREWL) -- C:\WINDOWS\system32\drivers\MpFirewall.sys (McAfee Security)
DRV - (wanatw) WAN Miniport (ATW) -- C:\WINDOWS\system32\drivers\wanatw4.sys (America Online, Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\software\mozilla\Firefox\extensions\\{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}: C:\Programme\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\ [2010.11.10 21:31:12 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Thunderbird\Extensions\\{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}: C:\Programme\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension\ [2010.11.10 21:31:13 | 000,000,000 | ---D | M]
 
 
O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (no name) - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Programme\PicLensIE\cooliris.dll (Cooliris Inc.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe ()
O4 - HKLM..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe (SAMSUNG Electronics)
O4 - HKLM..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe (Samsung Electronics,.LTD)
O4 - HKLM..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\aol\1225835132\ee\aolsoftware.exe (America Online, Inc.)
O4 - HKLM..\Run: [MagicKeyboard] C:\Programme\Samsung\MagicKBD\PreMKbd.exe ()
O4 - HKLM..\Run: [MCAgentExe] c:\Programme\McAfee.com\Agent\mcagent.exe (McAfee, Inc)
O4 - HKLM..\Run: [McRegWiz] c:\Programme\McAfee.com\Agent\mcregwiz.exe ()
O4 - HKLM..\Run: [MCUpdateExe] C:\Programme\McAfee.com\Agent\mcupdate.exe (McAfee, Inc)
O4 - HKLM..\Run: [MPFExe] C:\Programme\McAfee.com\Personal Firewall\MpfTray.exe (McAfee Security)
O4 - HKLM..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe (Nokia)
O4 - HKLM..\Run: [SUPBackGround] C:\Programme\Samsung\Samsung Update Plus\SUPBackGround.exe ()
O4 - HKCU..\Run: []  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsNetHood = 1
O9 - Extra Button: Launch Cooliris - {3437D640-C91A-458f-89F5-B9095EA4C28B} - C:\Programme\PicLensIE\cooliris.dll (Cooliris Inc.)
O15 - HKCU\..Trusted Domains: aol.com ([objects] * is out of zone range -  5)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} hxxp://download.microsoft.com/download/e/4/9/e494c802-dd90-4c6b-a074-469358f075a6/OGAControl.cab (Office Genuine Advantage Validation Tool)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.10.06 13:54:20 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{8292c4f0-15a8-11df-bbc2-00038a000015}\Shell\AutoRun\command - "" = E:\Menu.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.04.07 23:02:56 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Thomas\Recent
[2011.04.07 21:35:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Malwarebytes
[2011.04.07 21:35:14 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.04.07 21:35:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.04.07 21:35:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.04.07 21:35:06 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.04.07 21:35:06 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.04.06 19:53:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Desktop\Virus 05.04.11
[2011.04.05 15:24:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2011.04.04 22:01:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Ypzeta
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.04.07 23:07:25 | 000,068,800 | ---- | M] () -- C:\WINDOWS\System32\Status.MPF
[2011.04.07 23:04:06 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2011.04.07 23:03:46 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.04.07 23:03:44 | 2137,444,352 | -HS- | M] () -- C:\hiberfil.sys
[2011.04.07 21:35:15 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.04.07 20:41:41 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.04.04 23:28:40 | 000,218,112 | ---- | M] () -- C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.03.30 23:52:58 | 000,316,594 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.03.30 23:52:58 | 000,311,604 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.03.30 23:52:58 | 000,048,156 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.03.30 23:52:58 | 000,039,992 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.03.24 22:14:58 | 000,137,656 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.03.09 20:39:26 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.04.07 21:35:15 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.01.25 22:15:14 | 000,020,216 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010.02.09 20:25:45 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI
[2009.02.07 23:50:08 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\MpfApi.dll
[2008.11.25 21:32:31 | 002,327,552 | ---- | C] () -- C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\cooliris-win-ie-release-1.9.0.16396.msi
[2008.11.09 22:19:10 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.11.06 20:59:12 | 000,000,052 | ---- | C] () -- C:\WINDOWS\ChssBase.ini
[2008.11.04 23:45:16 | 000,000,335 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008.11.04 23:01:43 | 002,869,760 | ---- | C] () -- C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\cooliris-win-iemin-release-1.8.5.14750.msi
[2008.11.04 06:40:10 | 000,218,112 | ---- | C] () -- C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.11.04 03:35:53 | 000,001,520 | ---- | C] () -- C:\WINDOWS\System32\Thomas_KBD.ini
[2008.10.22 15:07:48 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2008.10.06 19:00:33 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2008.10.06 19:00:17 | 000,316,594 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008.10.06 19:00:17 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008.10.06 19:00:17 | 000,048,156 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008.10.06 19:00:17 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008.10.06 19:00:03 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008.10.06 19:00:00 | 000,311,604 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008.10.06 19:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008.10.06 19:00:00 | 000,039,992 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008.10.06 19:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008.10.06 18:59:59 | 000,004,486 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008.10.06 18:59:58 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008.10.06 18:59:55 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2008.10.06 18:59:49 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008.10.06 18:59:49 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008.10.06 18:59:46 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008.10.06 18:59:37 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008.10.06 14:46:14 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.10.06 14:45:13 | 000,148,400 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008.10.06 14:15:06 | 000,307,200 | ---- | C] () -- C:\WINDOWS\SetDisplayResolution.exe
[2008.10.06 14:08:14 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\MagicKBD.INI
[2008.10.06 14:08:14 | 000,001,520 | ---- | C] () -- C:\WINDOWS\System32\Besitzer_KBD.ini
[2008.10.06 14:08:11 | 000,003,425 | ---- | C] () -- C:\WINDOWS\System32\KBDR.INI
[2008.10.06 14:08:11 | 000,002,741 | ---- | C] () -- C:\WINDOWS\System32\KBDD.INI
[2008.10.06 14:08:11 | 000,002,699 | ---- | C] () -- C:\WINDOWS\System32\KBDO.INI
[2008.10.06 14:08:11 | 000,002,699 | ---- | C] () -- C:\WINDOWS\System32\KBDC.INI
[2008.10.06 14:08:11 | 000,002,606 | ---- | C] () -- C:\WINDOWS\System32\KBDB.INI
[2008.10.06 14:08:11 | 000,002,236 | ---- | C] () -- C:\WINDOWS\System32\KBDQ.INI
[2008.10.06 14:08:11 | 000,001,956 | ---- | C] () -- C:\WINDOWS\System32\KBDE.INI
[2008.10.06 14:08:11 | 000,001,885 | ---- | C] () -- C:\WINDOWS\System32\KBDP.INI
[2008.10.06 14:08:11 | 000,001,857 | ---- | C] () -- C:\WINDOWS\System32\KBDUU.INI
[2008.10.06 14:08:11 | 000,001,835 | ---- | C] () -- C:\WINDOWS\System32\KBDG.INI
[2008.10.06 14:08:11 | 000,001,835 | ---- | C] () -- C:\WINDOWS\System32\KBDA.INI
[2008.10.06 14:08:11 | 000,001,834 | ---- | C] () -- C:\WINDOWS\System32\KBDU.INI
[2008.10.06 14:08:11 | 000,001,819 | ---- | C] () -- C:\WINDOWS\System32\KBDN.INI
[2008.10.06 14:08:11 | 000,001,699 | ---- | C] () -- C:\WINDOWS\System32\KBDT.INI
[2008.10.06 14:08:11 | 000,001,697 | ---- | C] () -- C:\WINDOWS\System32\KBDV.INI
[2008.10.06 14:08:11 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\KBDS.INI
[2008.10.06 14:08:11 | 000,001,476 | ---- | C] () -- C:\WINDOWS\System32\KBDF.INI
[2008.10.06 14:05:32 | 000,000,135 | R--- | C] () -- C:\WINDOWS\System32\lngEng.ini
[2008.10.06 14:05:32 | 000,000,117 | ---- | C] () -- C:\WINDOWS\System32\lngKor.ini
[2008.10.06 14:01:35 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
[2008.10.06 13:58:50 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\drivers\Marker.exe
[2008.10.06 13:58:49 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS
[2008.10.06 13:56:55 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008.10.06 13:51:52 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.09.19 23:57:34 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.09.19 23:54:18 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2008.02.04 19:23:10 | 000,693,792 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.DLL
[2007.02.26 16:49:12 | 006,139,774 | ---- | C] () -- C:\WINDOWS\System32\imagine digital freedom.dat
[2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI

< End of report >

--- --- ---

cosinus · 08.04.2011, 05:22

McAfee solltest du mal schnell deinstallieren, das verträgt sich nicht mit AntiVir.
Mach danach einen Windows-Neustart und direkt danach gehts mit dem OTL-Fix weiter:

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
[2011.04.04 22:01:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Ypzeta
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.10.06 13:54:20 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{8292c4f0-15a8-11df-bbc2-00038a000015}\Shell\AutoRun\command - "" = E:\Menu.exe
O2 - BHO: (no name) - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Programme\PicLensIE\cooliris.dll (Cooliris Inc.)
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: []  File not found
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

07.04.2011, 14:28	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	TAN-Abfrage beim Online-Banking: Java/Edoer.af + Openstream.L + TR/Kazy.17993.1 + HTML/Expkit.Gen2 Ohne Internetzugang können wir die Maschine weder vernünftig bereinigen noch analysieren... __________________ Logfiles bitte immer in CODE-Tags posten

TAN-Abfrage beim Online-Banking: Java/Edoer.af + Openstream.L + TR/Kazy.17993.1 + HTML/Expkit.Gen2

Plagegeister aller Art und deren Bekämpfung: TAN-Abfrage beim Online-Banking: Java/Edoer.af + Openstream.L + TR/Kazy.17993.1 + HTML/Expkit.Gen2