Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Kazy.mekml.1

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.04.2011, 17:23   #1
Klumpas
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1



Hi

Habe mir schon ein paar Beiträge über diesen Virus durchgelesen und kann jetzt behaupten das ich ihn auch habe !! Würde mich echt sehr freuen wenn wir das schnell hin bekommen weil es mein Arbeitscomputer ist ! Danke schon mal für die Mühe und frohe osternOTL Logfile:
Code:
ATTFilter
OTL logfile created on: 21.04.2011 17:07:01 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Klumps1\Eigene Dateien
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.015,00 Mb Total Physical Memory | 428,00 Mb Available Physical Memory | 42,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 335,34 Gb Total Space | 285,98 Gb Free Space | 85,28% Space Free | Partition Type: NTFS
 
Computer Name: KLUMPS | User Name: Klumps1 | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.04.21 17:06:05 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klumps1\Eigene Dateien\OTL.exe
PRC - [2011.04.21 16:57:58 | 000,487,424 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe
PRC - [2011.04.21 13:21:27 | 000,569,344 | -H-- | M] (WinTrust) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe
PRC - [2011.03.17 09:14:01 | 000,269,480 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.11.15 09:24:37 | 000,135,336 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.11.15 09:24:36 | 000,281,768 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.09.21 20:37:40 | 000,932,288 | -H-- | M] (Adobe Systems Incorporated) -- C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
PRC - [2010.01.14 21:10:53 | 000,076,968 | -H-- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2008.01.31 15:01:38 | 000,159,744 | RH-- | M] (Brother Industries, Ltd.) -- C:\Programme\Brother\Brmfcmon\BrMfcMon.exe
PRC - [2006.02.28 14:00:00 | 001,035,264 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.04.21 17:06:05 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klumps1\Eigene Dateien\OTL.exe
MOD - [2006.02.28 14:00:00 | 001,050,624 | -H-- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.03.30 22:20:16 | 003,229,784 | -H-- | M] () [Auto | Running] -- c:\Programme\Gemeinsame Dateien\Akamai\netsession_win_a35e6b9.dll -- (Akamai)
SRV - [2011.03.17 09:14:01 | 000,269,480 | -H-- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.15 09:24:37 | 000,135,336 | -H-- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.02.19 14:37:14 | 000,517,096 | -H-- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)
SRV - [2006.10.26 19:49:34 | 000,441,136 | -H-- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006.10.26 14:03:08 | 000,145,184 | -H-- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.03.17 09:14:01 | 000,137,656 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010.11.24 09:53:33 | 000,061,960 | -H-- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.12.25 18:26:30 | 006,039,584 | -H-- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009.11.18 07:17:00 | 001,395,800 | -H-- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 07:16:00 | 001,691,480 | -H-- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2009.05.11 11:49:19 | 000,011,608 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.11 09:12:49 | 000,028,520 | -H-- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2007.10.17 20:12:00 | 000,030,720 | -H-- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\l251x86.sys -- (AtcL002)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.04.07 13:20:56 | 000,000,000 | -H-D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.16\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.03.28 12:03:39 | 000,000,000 | -H-D | M]
 
[2010.06.15 18:34:43 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\Mozilla\Extensions
[2011.04.20 14:12:14 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\Mozilla\Firefox\Profiles\21a6n5rk.default\extensions
[2011.03.07 09:19:18 | 000,000,000 | -H-D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\Mozilla\Firefox\Profiles\21a6n5rk.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.04.20 14:12:14 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.06.18 07:46:58 | 000,001,392 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.06.18 07:46:58 | 000,002,344 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.06.18 07:46:58 | 000,006,805 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.06.18 07:46:58 | 000,001,178 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.06.18 07:46:58 | 000,001,105 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | -H-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeCS5ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [SwitchBoard] C:\Programme\Gemeinsame Dateien\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated)
O4 - HKCU..\Run: [MRtPNAFMRSnT] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe (WinTrust)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 157
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.07.10 09:42:28 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.04.21 17:07:58 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Klumps1\Recent
[2011.04.21 17:05:59 | 000,580,608 | -H-- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klumps1\Eigene Dateien\OTL.exe
[2011.04.21 16:53:32 | 000,580,608 | -H-- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klumps1\Desktop\OTL.exe
[2011.04.21 16:30:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\NtmsData
[2011.04.21 16:25:05 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Klumps1\Startmenü\Programme\Windows Recovery
[2011.04.21 13:31:27 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\Avira
[2011.04.21 13:21:28 | 000,569,344 | -H-- | C] (WinTrust) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe
[2011.04.11 19:06:13 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\elsterformular
[2011.04.11 19:05:52 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\ElsterFormular
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.04.21 17:06:05 | 000,580,608 | -H-- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klumps1\Eigene Dateien\OTL.exe
[2011.04.21 17:02:06 | 000,000,260 | -H-- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2011.04.21 16:58:06 | 000,000,120 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852r
[2011.04.21 16:58:06 | 000,000,104 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852
[2011.04.21 16:57:58 | 000,487,424 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe
[2011.04.21 16:57:53 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2011.04.21 16:57:51 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.04.21 16:56:54 | 003,145,728 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\NTUSER.DAT
[2011.04.21 16:56:54 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Klumps1\ntuser.ini
[2011.04.21 16:56:36 | 006,402,438 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2011.04.21 16:53:34 | 000,580,608 | -H-- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Klumps1\Desktop\OTL.exe
[2011.04.21 16:36:03 | 000,000,336 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852
[2011.04.21 16:29:32 | 000,448,800 | -H-- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.04.21 16:29:32 | 000,432,492 | -H-- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.04.21 16:29:32 | 000,080,108 | -H-- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.04.21 16:29:32 | 000,067,448 | -H-- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.04.21 16:29:31 | 001,042,054 | -H-- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2011.04.21 16:25:07 | 000,000,873 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\Windows Recovery.lnk
[2011.04.21 16:25:07 | 000,000,120 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428r
[2011.04.21 16:25:07 | 000,000,104 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428
[2011.04.21 16:25:02 | 000,068,920 | -H-- | M] () -- C:\WINDOWS\System32\GDIPFONTCACHEV1.DAT
[2011.04.21 16:25:01 | 000,000,336 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\16965428
[2011.04.21 13:21:27 | 000,569,344 | -H-- | M] (WinTrust) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe
[2011.04.20 22:48:15 | 003,567,536 | -H-- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.04.20 14:12:51 | 006,576,037 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\VR-Netze_GB2010_19042011.pdf
[2011.04.17 16:47:18 | 000,013,646 | -H-- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.04.14 16:03:59 | 000,068,920 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2011.04.14 09:43:21 | 000,461,069 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\re73414042011_00001.pdf
[2011.04.14 09:40:58 | 000,460,410 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\re73414042011_00000.pdf
[2011.04.11 19:13:01 | 000,018,780 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\UStVA2011__I._Quartal_Brigitte_Klumps.elfo
[2011.04.11 19:05:53 | 000,000,711 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\ElsterFormular.lnk
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.04.21 16:58:06 | 000,000,120 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852r
[2011.04.21 16:58:06 | 000,000,104 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852
[2011.04.21 16:57:58 | 000,487,424 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe
[2011.04.21 16:36:03 | 000,000,336 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852
[2011.04.21 16:25:07 | 000,000,873 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\Windows Recovery.lnk
[2011.04.21 16:25:07 | 000,000,120 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428r
[2011.04.21 16:25:06 | 000,000,104 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428
[2011.04.21 16:25:02 | 000,068,920 | -H-- | C] () -- C:\WINDOWS\System32\GDIPFONTCACHEV1.DAT
[2011.04.21 16:25:01 | 000,000,336 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\16965428
[2011.04.20 14:12:50 | 006,576,037 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\VR-Netze_GB2010_19042011.pdf
[2011.04.14 09:43:20 | 000,461,069 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\re73414042011_00001.pdf
[2011.04.14 09:40:58 | 000,460,410 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\re73414042011_00000.pdf
[2011.04.11 19:12:50 | 000,018,780 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\UStVA2011__I._Quartal_Brigitte_Klumps.elfo
[2011.04.11 19:05:53 | 000,000,711 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\ElsterFormular.lnk
[2011.01.26 19:32:41 | 000,116,224 | -H-- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2010.11.04 10:44:39 | 000,000,116 | -H-- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010.06.16 09:57:02 | 000,000,722 | -H-- | C] () -- C:\WINDOWS\Brpfx04a.ini
[2010.06.16 09:57:02 | 000,000,093 | -H-- | C] () -- C:\WINDOWS\brpcfx.ini
[2010.06.16 09:55:33 | 000,000,099 | -H-- | C] () -- C:\WINDOWS\Brfaxrx.ini
[2010.06.16 09:55:33 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\brdfxspd.dat
[2010.06.16 09:55:32 | 000,106,496 | -H-- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2010.06.16 09:53:12 | 000,031,664 | -H-- | C] () -- C:\WINDOWS\maxlink.ini
[2010.06.16 09:49:57 | 000,000,416 | -H-- | C] () -- C:\WINDOWS\BRWMARK.INI
[2010.06.16 09:49:57 | 000,000,065 | -H-- | C] () -- C:\WINDOWS\System32\BD7320.DAT
[2010.06.16 09:49:48 | 000,000,114 | -H-- | C] () -- C:\WINDOWS\System32\BRLMW03A.INI
[2010.06.15 18:42:36 | 000,111,104 | -H-- | C] () -- C:\WINDOWS\System32\uha.exe
[2010.06.15 18:41:55 | 000,147,456 | -H-- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
[2010.06.15 18:18:29 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\nsreg.dat
[2010.06.15 15:24:34 | 000,147,456 | -H-- | C] () -- C:\WINDOWS\System32\igfxCoIn_v1587.dll
[2010.06.15 14:26:03 | 006,402,438 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.06.15 12:22:01 | 001,042,054 | -H-- | C] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.06.15 12:22:00 | 000,004,161 | -H-- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.06.15 12:20:41 | 003,567,536 | -H-- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.06.15 11:50:54 | 000,068,920 | -H-- | C] () -- C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.06.15 11:42:03 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.06.15 11:39:22 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\control.ini
[2010.06.15 11:38:22 | 000,000,488 | RH-- | C] () -- C:\WINDOWS\System32\logonui.exe.manifest
[2010.06.15 11:38:15 | 000,000,749 | RH-- | C] () -- C:\WINDOWS\System32\cdplayer.exe.manifest
[2010.06.15 11:36:25 | 000,021,740 | -H-- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.06.15 11:36:17 | 000,000,037 | -H-- | C] () -- C:\WINDOWS\vbaddin.ini
[2010.06.15 11:36:17 | 000,000,036 | -H-- | C] () -- C:\WINDOWS\vb.ini
[2010.06.15 11:35:40 | 000,027,055 | -H-- | C] () -- C:\WINDOWS\System32\tslabels.ini
[2010.06.15 11:35:38 | 000,003,999 | -H-- | C] () -- C:\WINDOWS\System32\msdtcprf.ini
[2006.02.28 14:00:00 | 013,107,200 | -H-- | C] () -- C:\WINDOWS\System32\oembios.bin
[2006.02.28 14:00:00 | 001,015,477 | -H-- | C] () -- C:\WINDOWS\System32\esentprf.ini
[2006.02.28 14:00:00 | 000,733,696 | -H-- | C] () -- C:\WINDOWS\System32\qedwipes.dll
[2006.02.28 14:00:00 | 000,673,088 | -H-- | C] () -- C:\WINDOWS\System32\mlang.dat
[2006.02.28 14:00:00 | 000,448,800 | -H-- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2006.02.28 14:00:00 | 000,432,492 | -H-- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2006.02.28 14:00:00 | 000,272,128 | -H-- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2006.02.28 14:00:00 | 000,270,848 | -H-- | C] () -- C:\WINDOWS\System32\sbe.dll
[2006.02.28 14:00:00 | 000,269,480 | -H-- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2006.02.28 14:00:00 | 000,253,440 | -H-- | C] () -- C:\WINDOWS\System32\compatUI.dll
[2006.02.28 14:00:00 | 000,218,003 | -H-- | C] () -- C:\WINDOWS\System32\dssec.dat
[2006.02.28 14:00:00 | 000,199,168 | -H-- | C] () -- C:\WINDOWS\System32\ir32_32.dll
[2006.02.28 14:00:00 | 000,186,368 | -H-- | C] () -- C:\WINDOWS\System32\encdec.dll
[2006.02.28 14:00:00 | 000,094,282 | -H-- | C] () -- C:\WINDOWS\System32\msencode.dll
[2006.02.28 14:00:00 | 000,080,108 | -H-- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2006.02.28 14:00:00 | 000,071,022 | -H-- | C] () -- C:\WINDOWS\System32\edit.com
[2006.02.28 14:00:00 | 000,070,656 | -H-- | C] () -- C:\WINDOWS\System32\amstream.dll
[2006.02.28 14:00:00 | 000,067,448 | -H-- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2006.02.28 14:00:00 | 000,054,128 | -H-- | C] () -- C:\WINDOWS\System32\dosx.exe
[2006.02.28 14:00:00 | 000,053,478 | -H-- | C] () -- C:\WINDOWS\System32\tcpmon.ini
[2006.02.28 14:00:00 | 000,052,777 | -H-- | C] () -- C:\WINDOWS\System32\command.com
[2006.02.28 14:00:00 | 000,046,258 | -H-- | C] () -- C:\WINDOWS\System32\mib.bin
[2006.02.28 14:00:00 | 000,042,809 | -H-- | C] () -- C:\WINDOWS\System32\key01.sys
[2006.02.28 14:00:00 | 000,042,537 | -H-- | C] () -- C:\WINDOWS\System32\keyboard.sys
[2006.02.28 14:00:00 | 000,039,546 | -H-- | C] () -- C:\WINDOWS\System32\mem.exe
[2006.02.28 14:00:00 | 000,035,648 | -H-- | C] () -- C:\WINDOWS\System32\ntio411.sys
[2006.02.28 14:00:00 | 000,035,424 | -H-- | C] () -- C:\WINDOWS\System32\ntio412.sys
[2006.02.28 14:00:00 | 000,034,560 | -H-- | C] () -- C:\WINDOWS\System32\ntio804.sys
[2006.02.28 14:00:00 | 000,034,560 | -H-- | C] () -- C:\WINDOWS\System32\ntio404.sys
[2006.02.28 14:00:00 | 000,034,478 | -H-- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2006.02.28 14:00:00 | 000,034,032 | -H-- | C] () -- C:\WINDOWS\System32\ntio.sys
[2006.02.28 14:00:00 | 000,029,370 | -H-- | C] () -- C:\WINDOWS\System32\ntdos411.sys
[2006.02.28 14:00:00 | 000,029,274 | -H-- | C] () -- C:\WINDOWS\System32\ntdos412.sys
[2006.02.28 14:00:00 | 000,029,146 | -H-- | C] () -- C:\WINDOWS\System32\ntdos804.sys
[2006.02.28 14:00:00 | 000,029,146 | -H-- | C] () -- C:\WINDOWS\System32\ntdos404.sys
[2006.02.28 14:00:00 | 000,028,626 | -H-- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2006.02.28 14:00:00 | 000,027,914 | -H-- | C] () -- C:\WINDOWS\System32\ntdos.sys
[2006.02.28 14:00:00 | 000,027,440 | -H-- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2006.02.28 14:00:00 | 000,027,097 | -H-- | C] () -- C:\WINDOWS\System32\country.sys
[2006.02.28 14:00:00 | 000,021,542 | -H-- | C] () -- C:\WINDOWS\System32\mqperf.ini
[2006.02.28 14:00:00 | 000,021,210 | -H-- | C] () -- C:\WINDOWS\System32\debug.exe
[2006.02.28 14:00:00 | 000,019,726 | -H-- | C] () -- C:\WINDOWS\System32\graphics.com
[2006.02.28 14:00:00 | 000,017,241 | -H-- | C] () -- C:\WINDOWS\System32\rsvp.ini
[2006.02.28 14:00:00 | 000,015,360 | -H-- | C] () -- C:\WINDOWS\System32\tsd32.dll
[2006.02.28 14:00:00 | 000,014,816 | -H-- | C] () -- C:\WINDOWS\System32\kb16.com
[2006.02.28 14:00:00 | 000,014,336 | -H-- | C] () -- C:\WINDOWS\System32\msdmo.dll
[2006.02.28 14:00:00 | 000,014,060 | -H-- | C] () -- C:\WINDOWS\System32\pschdprf.ini
[2006.02.28 14:00:00 | 000,013,312 | -H-- | C] () -- C:\WINDOWS\System32\win87em.dll
[2006.02.28 14:00:00 | 000,013,026 | -H-- | C] () -- C:\WINDOWS\System32\edlin.exe
[2006.02.28 14:00:00 | 000,012,610 | -H-- | C] () -- C:\WINDOWS\System32\append.exe
[2006.02.28 14:00:00 | 000,011,903 | -H-- | C] () -- C:\WINDOWS\System32\setver.exe
[2006.02.28 14:00:00 | 000,010,240 | -H-- | C] () -- C:\WINDOWS\System32\scriptpw.dll
[2006.02.28 14:00:00 | 000,009,032 | -H-- | C] () -- C:\WINDOWS\System32\ansi.sys
[2006.02.28 14:00:00 | 000,008,584 | -H-- | C] () -- C:\WINDOWS\System32\exe2bin.exe
[2006.02.28 14:00:00 | 000,007,084 | -H-- | C] () -- C:\WINDOWS\System32\nlsfunc.exe
[2006.02.28 14:00:00 | 000,006,287 | -H-- | C] () -- C:\WINDOWS\System32\rasctrs.ini
[2006.02.28 14:00:00 | 000,004,992 | -H-- | C] () -- C:\WINDOWS\System32\himem.sys
[2006.02.28 14:00:00 | 000,004,569 | -H-- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.02.28 14:00:00 | 000,004,461 | -H-- | C] () -- C:\WINDOWS\System32\oembios.dat
[2006.02.28 14:00:00 | 000,004,438 | -H-- | C] () -- C:\WINDOWS\System32\perfci.ini
[2006.02.28 14:00:00 | 000,004,233 | -H-- | C] () -- C:\WINDOWS\System32\perfwci.ini
[2006.02.28 14:00:00 | 000,003,358 | -H-- | C] () -- C:\WINDOWS\System32\redir.exe
[2006.02.28 14:00:00 | 000,003,262 | -H-- | C] () -- C:\WINDOWS\System32\nw16.exe
[2006.02.28 14:00:00 | 000,002,656 | -H-- | C] () -- C:\WINDOWS\System32\netware.drv
[2006.02.28 14:00:00 | 000,001,788 | -H-- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2006.02.28 14:00:00 | 000,001,783 | -H-- | C] () -- C:\WINDOWS\System32\perffilt.ini
[2006.02.28 14:00:00 | 000,001,405 | -H-- | C] () -- C:\WINDOWS\msdfmap.ini
[2006.02.28 14:00:00 | 000,001,273 | -H-- | C] () -- C:\WINDOWS\System32\loadfix.com
[2006.02.28 14:00:00 | 000,001,157 | -H-- | C] () -- C:\WINDOWS\System32\vwipxspx.exe
[2006.02.28 14:00:00 | 000,000,882 | -H-- | C] () -- C:\WINDOWS\System32\share.exe
[2006.02.28 14:00:00 | 000,000,882 | -H-- | C] () -- C:\WINDOWS\System32\fastopen.exe
[2006.02.28 14:00:00 | 000,000,817 | -H-- | C] () -- C:\WINDOWS\System32\mscdexnt.exe
[2006.02.28 14:00:00 | 000,000,741 | -H-- | C] () -- C:\WINDOWS\System32\noise.dat
[2006.02.28 14:00:00 | 000,000,552 | -H-- | C] () -- C:\WINDOWS\win.ini
[2006.02.28 14:00:00 | 000,000,369 | -H-- | C] () -- C:\WINDOWS\System32\prodspec.ini
[2006.02.28 14:00:00 | 000,000,231 | -H-- | C] () -- C:\WINDOWS\system.ini
[2001.08.18 06:54:50 | 000,057,856 | -H-- | C] () -- C:\WINDOWS\System32\dvdplay.exe
[2001.08.18 06:54:08 | 000,157,696 | -H-- | C] () -- C:\WINDOWS\System32\paqsp.dll
 
========== LOP Check ==========
 
[2011.04.11 19:06:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\elsterformular
[2010.11.01 20:26:13 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe
[2010.06.16 09:53:11 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ScanSoft
[2010.06.15 21:21:01 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online
[2011.04.11 19:06:27 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\elsterformular
[2010.06.16 14:41:57 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\PC-FAX TX
[2010.06.15 21:26:13 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Klumps1\Anwendungsdaten\T-Online
[2011.04.21 17:02:06 | 000,000,260 | -H-- | M] () -- C:\WINDOWS\Tasks\WGASetup.job
 
========== Purity Check ==========
 
 
 
< End of report >
         
--- --- ---
OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 21.04.2011 17:07:01 - Run 1
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\Klumps1\Eigene Dateien
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.015,00 Mb Total Physical Memory | 428,00 Mb Available Physical Memory | 42,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 335,34 Gb Total Space | 285,98 Gb Free Space | 85,28% Space Free | Partition Type: NTFS
 
Computer Name: KLUMPS | User Name: Klumps1 | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [Bridge] -- C:\Programme\Adobe\Adobe Bridge CS5\Bridge.exe "%L" (Adobe Systems, Inc.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1038:TCP" = 1038:TCP:*:Enabled:Akamai NetSession Interface
"5000:UDP" = 5000:UDP:*:Enabled:Akamai NetSession Interface
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}" = Microsoft_VC90_ATL_x86
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{0A755762-EED8-47AB-A446-505766F93D43}" = Atheros Communications Inc.(R) L2 Fast Ethernet Driver
"{0D2DBE8A-43D0-7830-7AE7-CA6C99A832E7}" = Adobe Community Help
"{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}" = Microsoft_VC80_ATL_x86
"{15FEDA5F-141C-4127-8D7E-B962D1742728}" = Adobe Photoshop CS5
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2BC2781A-F7F6-452E-95EB-018A522F1B2C}" = PaperPort Image Printer
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{46E1B1F2-A279-4356-9B17-029F9CC72EAE}" = Brother MFL-Pro Suite
"{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}" = Microsoft_VC90_MFC_x86
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7A8FF745-BBC5-482B-88E4-18D3178249A9}" = ScanSoft PaperPort 11
"{8E9DB7EF-5DD3-499E-BA2A-A1F3153A4DF8}" = Adobe Flash Player 9 ActiveX
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A2BCA9F1-566C-4805-97D1-7FDC93386723}" = Adobe AIR
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A78FE97A-C0C8-49CE-89D0-EDD524A17392}" = PDF Settings CS5
"{AC76BA86-7AD7-1031-7B44-A92000000001}" = Adobe Reader 9.2 - Deutsch
"{BF1EC9C0-9C10-11DF-BBC7-005056C00008}" = Google Earth
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{DE3A9DC5-9A5D-6485-9662-347162C7E4CA}" = Adobe Media Player
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Akamai" = Akamai NetSession Interface
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"com.adobe.amp.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Media Player
"ElsterFormular für Unternehmer 12.1.1.6214u" = ElsterFormular für Unternehmer
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Fahren Lernen_is1" = Fahren Lernen 1.0
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"WIC" = Windows Imaging Component
 
========== Last 10 Event Log Errors ==========
 
Error reading Event Logs: The Event Service is not operating properly or the Event Logs are corrupt!
 
< End of report >
         
--- --- ---

Alt 21.04.2011, 17:42   #2
markusg
/// Malware-holic
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1



• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKCU..\Run: [MRtPNAFMRSnT] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe (WinTrust)
[2011.04.21 16:58:06 | 000,000,120 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852r
[2011.04.21 16:58:06 | 000,000,104 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852
[2011.04.21 16:57:58 | 000,487,424 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe
[2011.04.21 16:25:07 | 000,000,873 | -H-- | M] () -- C:\Dokumente und Einstellungen\Klumps1\Desktop\Windows Recovery.lnk
[2011.04.21 16:25:07 | 000,000,120 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428r
[2011.04.21 16:25:07 | 000,000,104 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428
[2011.04.21 16:25:01 | 000,000,336 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\16965428
[2011.04.21 13:21:27 | 000,569,344 | -H-- | M] (WinTrust) -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe
:Files
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.e
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe
C:\Dokumente und Einstellungen\Klumps1\Startmenü\Programme\Windows Recovery
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
das archiv nach anleitung hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
__________________

__________________

Alt 21.04.2011, 19:28   #3
Klumpas
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1



All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\MRtPNAFMRSnT deleted successfully.
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe moved successfully.
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852r moved successfully.
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~15916852 moved successfully.
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe moved successfully.
C:\Dokumente und Einstellungen\Klumps1\Desktop\Windows Recovery.lnk moved successfully.
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428r moved successfully.
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\~16965428 moved successfully.
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\16965428 moved successfully.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.exe not found.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MRtPNAFMRSnT.e not found.
File\Folder C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\15916852.exe not found.
C:\Dokumente und Einstellungen\Klumps1\Startmenü\Programme\Windows Recovery folder moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: Administrator
->Flash cache emptied: 233362 bytes

User: All Users

User: All Users.WINDOWS

User: Default User

User: Default User.WINDOWS
->Flash cache emptied: 41620 bytes

User: Klumps1
->Flash cache emptied: 13715 bytes

User: LocalService

User: LocalService.NT-AUTORITÄT

User: NetworkService

User: NetworkService.NT-AUTORITÄT

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 2078363759 bytes
->Temporary Internet Files folder emptied: 90611072 bytes
->Java cache emptied: 39572733 bytes
->FireFox cache emptied: 35874971 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: All Users.WINDOWS

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: Klumps1
->Temp folder emptied: 276681733 bytes
->Temporary Internet Files folder emptied: 105442658 bytes
->FireFox cache emptied: 110067709 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes

User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2129337 bytes
%systemroot%\System32 .tmp files removed: 1046753 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 115667998 bytes
RecycleBin emptied: 527758835 bytes

Total Files Cleaned = 3.227,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04212011_192259

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9Q7KXUJ\CAE9CFK7.html%23post643953&fu=0&ifi=1&dtd=31 moved successfully.
C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9Q7KXUJ\CAM7K16L.de%2Fsearch%3Fhl%3Dde%26source%3Dhp%26q%3Dotl%26meta%3D%26aq%3Df%26aqi%3D%26aql%3D%26oq%3D&fu=0&ifi=1&dtd=16 moved successfully.
C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9Q7KXUJ\s=UA-358053-5&u_tz=120&u_his=0&u_java=1&u_h=900&u_w=1440&u_ah=866&u_aw=1440&u_cd=32&u_nplug=0&u_nmime=0&biw=1131&bih=516&eid=33895132&fu=0&ifi=1&dtd=281 moved successfully.
C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\9LQF49YN\NGHourCount[2].htm moved successfully.
C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8X23CX2F\54791-anleitung-uploadchannel-trojaner-board[1].html moved successfully.
C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8X23CX2F\85104-otl-otlogfile-oldtimer[1].html moved successfully.
C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HQ3C5UF\CAYNC7V8.de%2Fsearch%3Fhl%3Dde%26source%3Dhp%26q%3Dotl%26meta%3D%26aq%3Df%26aqi%3D%26aql%3D%26oq%3D&fu=0&ifi=2&dtd=31 moved successfully.
C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HQ3C5UF\content&site=freemail&category=mail&special=top&adsize=468x60&content=webde&pageview=ng_outer&adsize=728x90&pageview=logged in&pageview=no_tprof&[1].htm moved successfully.
C:\Dokumente und Einstellungen\Klumps1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HQ3C5UF\s=UA-358053-5&u_tz=120&u_his=0&u_java=1&u_h=900&u_w=1440&u_ah=866&u_aw=1440&u_cd=32&u_nplug=0&u_nmime=0&biw=1131&bih=516&eid=33895132&fu=0&ifi=2&dtd=250 moved successfully.
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_614.dat not found!

Registry entries deleted on Reboot...
__________________

Alt 21.04.2011, 20:48   #4
markusg
/// Malware-holic
 
TR/Kazy.mekml.1 - Standard

TR/Kazy.mekml.1



ich warte auf den upload.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu TR/Kazy.mekml.1
0x00000001, akamai, antivir, avgntflt.sys, avira, bho, desktop, disabletaskmgr, einstellungen, error, excel, firefox, flash player, format, google, google earth, helper, homepage, location, logfile, microsoft office word, mozilla, oldtimer, realtek, registry, rundll, saver, scan, searchplugins, security, senden, shell32.dll, shortcut, software, udp, virus



Ähnliche Themen: TR/Kazy.mekml.1


  1. TR/Kazy.mekml.1 ; 'TR/FakeSysdef.A.621 ; 'TR/Kazy.22847'..
    Log-Analyse und Auswertung - 15.05.2011 (33)
  2. TR/Kazy.mekml.1 - was tun?
    Plagegeister aller Art und deren Bekämpfung - 12.05.2011 (5)
  3. TR/Kazy.mekml.1
    Log-Analyse und Auswertung - 06.05.2011 (1)
  4. Tr/kazy.mekml.1
    Log-Analyse und Auswertung - 03.05.2011 (13)
  5. TR/Kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 02.05.2011 (2)
  6. TR/Kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 01.05.2011 (37)
  7. TR/Kazy.mekml.1 - OTL Fix?
    Log-Analyse und Auswertung - 01.05.2011 (17)
  8. TR/Kazy.mekml.1 ... SOS
    Plagegeister aller Art und deren Bekämpfung - 30.04.2011 (34)
  9. TR/kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 29.04.2011 (10)
  10. TR/kazy.mekml.1
    Mülltonne - 26.04.2011 (0)
  11. TR/Kazy.mekml.1
    Log-Analyse und Auswertung - 26.04.2011 (1)
  12. Osterei: TR/Kazy.mekml.1 und TR/Kazy.20364
    Log-Analyse und Auswertung - 25.04.2011 (1)
  13. tr/kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 23.04.2011 (9)
  14. kazy.mekml.1
    Log-Analyse und Auswertung - 23.04.2011 (3)
  15. TR/Kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 22.04.2011 (6)
  16. TR/kazy.mekml.1
    Log-Analyse und Auswertung - 20.04.2011 (16)
  17. TR/Kazy.mekml.1
    Plagegeister aller Art und deren Bekämpfung - 19.04.2011 (4)

Zum Thema TR/Kazy.mekml.1 - Hi Habe mir schon ein paar Beiträge über diesen Virus durchgelesen und kann jetzt behaupten das ich ihn auch habe !! Würde mich echt sehr freuen wenn wir das schnell - TR/Kazy.mekml.1...
Archiv
Du betrachtest: TR/Kazy.mekml.1 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.