| |
| |||||||
Log-Analyse und Auswertung: Trojaner auf der Festplatte?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
27.04.2011, 19:48
| #1 |
| |  Trojaner auf der Festplatte? Hallo, ich habe den Verdacht auf einen Trojaner, den mein Virenscanner F-Secure nicht gefunden hat. Daraufhin habe ich vor einigen Tagen OTL laufen lassen und die angezeigten Dateien gelöscht. Mittlerweile weiss ich, dass das nicht richtig war. F-Secur hat mir auch Hilfe in Form der Software EasyClean geschickt. Die hat dann nichts (mehr?) gefunden Jetzt packe ich es richtig an. Habe OTL laufen lassen und folgende Datei erhalten. Eine weitere Datei wurde nicht erstellt. Nun hoffe ich auf eure Hilfe. Grüße sendet HooBooOTL Logfile: Code:
ATTFilter OTL logfile created on: 27.04.2011 20:30:03 - Run 3 OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\tv10\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 991,00 Mb Total Physical Memory | 437,00 Mb Available Physical Memory | 44,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 65,00% Paging File free Paging file location(s): C:\pagefile.sys 336 672 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 37,53 Gb Total Space | 5,82 Gb Free Space | 15,51% Space Free | Partition Type: NTFS Drive D: | 34,56 Gb Total Space | 34,10 Gb Free Space | 98,68% Space Free | Partition Type: NTFS Drive E: | 2,44 Gb Total Space | 0,44 Gb Free Space | 18,19% Space Free | Partition Type: FAT32 Computer Name: HPPAV | User Name: tv10 | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.04.27 20:03:13 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\tv10\Desktop\OTL.exe PRC - [2011.04.20 06:39:54 | 000,918,184 | ---- | M] (F-Secure Corporation) -- C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe PRC - [2011.04.20 06:39:53 | 000,508,584 | ---- | M] (F-Secure Corporation) -- C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32.exe PRC - [2011.04.15 07:33:53 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe PRC - [2011.04.04 18:27:58 | 000,484,520 | ---- | M] (F-Secure Corporation) -- C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe PRC - [2010.12.20 21:33:06 | 000,063,992 | ---- | M] (F-Secure Corporation) -- C:\Programme\F-Secure Internet Security\ORSP Client\fsorsp.exe PRC - [2010.10.09 09:07:24 | 000,528,040 | ---- | M] (F-Secure Corporation) -- C:\Programme\F-Secure Internet Security\FWES\program\fsdfwd.exe PRC - [2010.10.09 09:07:13 | 000,220,840 | ---- | M] (F-Secure Corporation) -- C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe PRC - [2010.10.09 09:07:10 | 000,200,360 | ---- | M] (F-Secure Corporation) -- C:\Programme\F-Secure Internet Security\Common\FSM32.EXE PRC - [2010.10.09 09:07:10 | 000,188,072 | ---- | M] (F-Secure Corporation) -- C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE PRC - [2010.10.09 09:07:09 | 000,089,768 | ---- | M] (F-Secure Corporation) -- C:\Programme\F-Secure Internet Security\Common\FSHDLL32.EXE PRC - [2010.08.24 11:38:18 | 000,092,008 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe PRC - [2010.08.24 11:38:16 | 000,247,144 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe PRC - [2009.05.06 19:53:50 | 001,220,608 | ---- | M] (MAGIX AG) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2008.01.31 17:29:06 | 000,196,608 | R--- | M] (Brother Industries, Ltd.) -- C:\Programme\Brother\Brmfcmon\BrMfcMon.exe PRC - [2007.01.09 17:16:12 | 000,061,440 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe PRC - [2004.12.08 20:34:38 | 000,054,784 | ---- | M] (Macrovision) -- C:\WINDOWS\system32\drivers\CDAC11BA.EXE PRC - [2004.05.14 15:47:18 | 000,067,072 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\soundman.exe PRC - [2003.08.20 12:56:14 | 000,045,056 | ---- | M] (S3 Graphics, Inc.) -- C:\WINDOWS\system32\VTTimer.exe PRC - [2003.06.20 09:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe ========== Modules (SafeList) ========== MOD - [2011.04.27 20:03:13 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\tv10\Desktop\OTL.exe MOD - [2010.10.09 09:07:46 | 000,331,432 | ---- | M] (F-Secure Corporation) -- c:\Programme\F-Secure Internet Security\HIPS\fshook32.dll MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- -- (HidServ) SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt) SRV - [2010.12.20 21:33:06 | 000,063,992 | ---- | M] (F-Secure Corporation) [On_Demand | Running] -- C:\Programme\F-Secure Internet Security\ORSP Client\fsorsp.exe -- (FSORSPClient) SRV - [2010.10.09 09:07:24 | 000,528,040 | ---- | M] (F-Secure Corporation) [On_Demand | Running] -- C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe -- (FSDFWD) SRV - [2010.10.09 09:07:13 | 000,220,840 | ---- | M] (F-Secure Corporation) [Auto | Running] -- C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe -- (F-Secure Gatekeeper Handler Starter) SRV - [2010.10.09 09:07:10 | 000,188,072 | ---- | M] (F-Secure Corporation) [Auto | Running] -- C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE -- (FSMA) SRV - [2010.08.24 11:38:18 | 000,092,008 | ---- | M] (TomTom) [Auto | Running] -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- (TomTomHOMEService) SRV - [2009.05.06 19:53:50 | 001,220,608 | ---- | M] (MAGIX AG) [Unknown | Running] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe -- (Fabs) SRV - [2008.08.07 12:10:02 | 003,276,800 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance) SRV - [2007.01.09 17:16:12 | 000,061,440 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe -- (MZCCntrl) SRV - [2004.12.08 20:34:38 | 000,054,784 | ---- | M] (Macrovision) [Auto | Running] -- C:\WINDOWS\system32\drivers\CDAC11BA.EXE -- (C-DillaCdaC11BA) SRV - [2003.07.28 21:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2003.06.20 09:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM) ========== Driver Services (SafeList) ========== DRV - [2010.12.15 21:42:02 | 000,042,664 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\Drivers\fsbts.sys -- (fsbts) DRV - [2010.11.30 18:20:18 | 000,130,728 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Programme\F-Secure Internet Security\Anti-Virus\minifilter\fsgk.sys -- (F-Secure Gatekeeper) DRV - [2010.10.09 09:07:47 | 000,071,496 | ---- | M] (F-Secure Corporation) [Kernel | System | Running] -- C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys -- (F-Secure HIPS) DRV - [2010.10.09 09:07:24 | 000,081,800 | ---- | M] (F-Secure Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\fsdfw.sys -- (FSFW) DRV - [2010.10.09 09:07:14 | 000,040,872 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Programme\F-Secure Internet Security\Anti-Virus\win2k\fsfilter.sys -- (F-Secure Filter) DRV - [2010.10.09 09:07:14 | 000,026,280 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\Programme\F-Secure Internet Security\Anti-Virus\win2k\fsrec.sys -- (F-Secure Recognizer) DRV - [2008.04.13 20:53:09 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm) DRV - [2008.04.13 20:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum) DRV - [2006.10.04 09:14:26 | 000,017,280 | ---- | M] (Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MAcNdis5.sys -- (MACNDIS5) DRV - [2004.12.08 20:34:34 | 000,012,464 | ---- | M] (Macrovision Europe Ltd) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\CdaC15BA.SYS -- (CdaC15BA) DRV - [2004.05.14 23:24:10 | 000,622,172 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM) DRV - [2004.02.24 11:08:52 | 000,400,384 | ---- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS -- (ALCXSENS) DRV - [2003.09.19 01:47:00 | 000,010,368 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (Pfc) DRV - [2003.07.02 04:42:00 | 000,027,904 | ---- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\viaagp1.sys -- (viaagp1) DRV - [2001.11.25 13:00:00 | 000,022,688 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\PPSIO.SYS -- (ppsio) DRV - [2001.08.17 15:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401) DRV - [2001.08.17 13:15:22 | 000,455,680 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fus2base.sys -- (fus2base) DRV - [2001.08.17 13:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN) DRV - [2001.08.17 13:11:06 | 000,066,591 | ---- | M] (3Com Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\el90xbc5.sys -- (EL90XBC) DRV - [2001.06.04 07:00:00 | 000,014,112 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\PS2.sys -- (Ps2) DRV - [2000.11.14 00:00:00 | 000,059,520 | ---- | M] (AVM Berlin) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\avmport.sys -- (AVMPORT) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultengine: "engine://C%3A%5CProgramme%5Cmozilla.org%5CMozilla%5Csearchplugins%5Cdegoogle.src" FF - prefs.js..browser.search.defaultenginename: "Google" FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=" FF - prefs.js..browser.search.selectedEngine: "Search" FF - prefs.js..browser.startup.homepage: "hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official" FF - prefs.js..extensions.enabledItems: en-GB@dictionaries.addons.mozilla.org:1.19 FF - prefs.js..extensions.enabledItems: de-DE@dictionaries.addons.mozilla.org:2.0.1 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.04.15 07:34:19 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 4.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.04.15 22:25:28 | 000,000,000 | ---D | M] [2011.02.27 19:15:46 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Mozilla\Extensions [2010.05.29 21:17:22 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2011.02.27 19:15:46 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com [2011.04.15 07:35:14 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Mozilla\Firefox\Profiles\dce65pzo.default\extensions [2010.05.14 13:14:10 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Mozilla\Firefox\Profiles\dce65pzo.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.04.15 07:35:09 | 000,000,000 | ---D | M] (German Dictionary) -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Mozilla\Firefox\Profiles\dce65pzo.default\extensions\de-DE@dictionaries.addons.mozilla.org [2011.04.15 07:35:05 | 000,000,000 | ---D | M] (British English Dictionary) -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Mozilla\Firefox\Profiles\dce65pzo.default\extensions\en-GB@dictionaries.addons.mozilla.org [2008.03.20 21:37:16 | 000,000,276 | ---- | M] () -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Mozilla\Firefox\Profiles\dce65pzo.default\searchplugins\search.xml [2011.04.15 07:38:39 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010.07.02 21:50:54 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.10.30 10:26:16 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2011.04.15 07:38:40 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} File not found (No name found) -- () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\TV10\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\DCE65PZO.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI [2008.12.19 20:26:05 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2011.04.15 07:33:52 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll [2011.02.02 21:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2011.04.15 07:33:57 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2011.04.15 07:33:57 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml [2011.04.15 07:33:57 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2011.04.15 07:33:57 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2011.04.15 07:33:57 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2011.04.15 07:33:57 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found. O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [F-Secure Manager] C:\Programme\F-Secure Internet Security\Common\FSM32.EXE (F-Secure Corporation) O4 - HKLM..\Run: [F-Secure TNB] C:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe (F-Secure Corporation) O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe (HP) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] File not found O4 - HKLM..\Run: [VTTimer] C:\WINDOWS\System32\VTTimer.exe (S3 Graphics, Inc.) O4 - HKCU..\Run: [rundll32.exe] File not found O4 - HKCU..\Run: [TomTomHOME.exe] C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom) O4 - HKCU..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe (Adobe Systems Incorporated) F3 - HKCU WinNT: Load - (C:\TBridge\Flatbed.exe) - File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_24.dll (Sun Microsystems, Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\F-Secure Internet Security\FSPS\program\FSLSP.DLL (F-Secure Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\F-Secure Internet Security\FSPS\program\FSLSP.DLL (F-Secure Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\F-Secure Internet Security\FSPS\program\FSLSP.DLL (F-Secure Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - C:\Programme\F-Secure Internet Security\FSPS\program\FSLSP.DLL (F-Secure Corporation) O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/templates/ieawsdc.cab (Microsoft Office Template and Media Control) O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} hxxp://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab (VerifyGMN Class) O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131266373984 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} file://F:\ols\cd-db\fscax.cab (F-Secure Online Scanner) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01) O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Blue_Sonic_1024x768.BMP O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Blue_Sonic_1024x768.BMP O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2004.10.02 14:15:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - File not found NetSvcs: HidServ - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found MsConfig - Services: "iPodService" MsConfig - StartUpReg: iTunesHelper - hkey= - key= - C:\Programme\iTunes\iTunesHelper.exe (Apple Computer, Inc.) MsConfig - StartUpReg: Load - hkey= - key= - File not found MsConfig - StartUpReg: Skype - hkey= - key= - File not found MsConfig - StartUpReg: UpdateManager - hkey= - key= - C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe (Sonic Solutions) MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 2 MsConfig - State: "startup" - 2 CREATERESTOREPOINT Restore point Set: OTL Restore Point (17465059307421696) ========== Files/Folders - Created Within 30 Days ========== [2011.04.26 15:28:18 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2011.04.26 15:27:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ERUNT [2011.04.26 15:27:43 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT [2011.04.26 15:11:22 | 000,791,393 | ---- | C] (Lars Hederer ) -- C:\Dokumente und Einstellungen\tv10\Desktop\Erunt-setup.exe [2011.04.26 15:11:22 | 000,446,464 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\tv10\Desktop\TFC.exe [2011.04.26 15:10:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\tv10\Desktop\89918-load-exe-larusso-Dateien [2011.04.26 14:50:24 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\tv10\Desktop\OTL.exe [2004.12.08 20:45:29 | 000,047,104 | ---- | C] (Stirling) -- C:\Programme\_ISREG32.DLL [2004.12.08 20:45:28 | 001,967,616 | ---- | C] (JOANNEUM RESEARCH) -- C:\Programme\pcbibexp.exe ========== Files - Modified Within 30 Days ========== [2011.04.27 20:28:40 | 000,000,595 | ---- | M] () -- C:\Dokumente und Einstellungen\tv10\Desktop\NTREGOPT.lnk [2011.04.27 20:28:40 | 000,000,576 | ---- | M] () -- C:\Dokumente und Einstellungen\tv10\Desktop\ERUNT.lnk [2011.04.27 20:24:04 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.04.27 20:24:02 | 1039,716,352 | -HS- | M] () -- C:\hiberfil.sys [2011.04.27 20:03:14 | 000,301,568 | ---- | M] () -- C:\Dokumente und Einstellungen\tv10\Desktop\g2m3e4r.exe [2011.04.27 20:03:13 | 000,791,393 | ---- | M] (Lars Hederer ) -- C:\Dokumente und Einstellungen\tv10\Desktop\Erunt-setup.exe [2011.04.27 20:03:13 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\tv10\Desktop\OTL.exe [2011.04.27 20:03:03 | 000,446,464 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\tv10\Desktop\TFC.exe [2011.04.26 15:10:53 | 000,040,286 | ---- | M] () -- C:\Dokumente und Einstellungen\tv10\Desktop\89918-load-exe-larusso.html [2011.04.26 15:09:13 | 000,377,260 | ---- | M] () -- C:\Dokumente und Einstellungen\tv10\Desktop\Load.exe [2011.04.25 19:54:27 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.04.21 20:56:44 | 000,216,064 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011.04.19 16:31:19 | 007,073,878 | ---- | M] () -- C:\Dokumente und Einstellungen\tv10\Desktop\fsdiag.tar.gz [2011.04.13 22:04:01 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2011.04.13 22:00:13 | 000,468,148 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011.04.13 22:00:13 | 000,450,280 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011.04.13 22:00:13 | 000,089,106 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011.04.13 22:00:13 | 000,075,640 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat ========== Files Created - No Company Name ========== [2011.04.26 15:27:49 | 000,000,595 | ---- | C] () -- C:\Dokumente und Einstellungen\tv10\Desktop\NTREGOPT.lnk [2011.04.26 15:27:49 | 000,000,576 | ---- | C] () -- C:\Dokumente und Einstellungen\tv10\Desktop\ERUNT.lnk [2011.04.26 15:11:22 | 000,301,568 | ---- | C] () -- C:\Dokumente und Einstellungen\tv10\Desktop\g2m3e4r.exe [2011.04.26 15:10:48 | 000,040,286 | ---- | C] () -- C:\Dokumente und Einstellungen\tv10\Desktop\89918-load-exe-larusso.html [2011.04.26 15:09:12 | 000,377,260 | ---- | C] () -- C:\Dokumente und Einstellungen\tv10\Desktop\Load.exe [2011.04.19 16:48:21 | 1039,716,352 | -HS- | C] () -- C:\hiberfil.sys [2011.04.19 16:31:19 | 007,073,878 | ---- | C] () -- C:\Dokumente und Einstellungen\tv10\Desktop\fsdiag.tar.gz [2011.04.15 07:34:25 | 000,000,706 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox [2011.04.13 21:47:12 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK [2010.05.18 21:35:55 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\sysprs7.dll [2010.05.18 21:35:55 | 000,000,205 | ---- | C] () -- C:\WINDOWS\System32\lsprst7.dll [2009.10.25 22:45:27 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll [2009.07.08 20:19:18 | 000,000,036 | ---- | C] () -- C:\WINDOWS\rasqervy.dll [2009.07.08 20:19:03 | 000,000,008 | ---- | C] () -- C:\WINDOWS\sdfinacs.dll [2009.07.08 20:19:00 | 000,000,005 | ---- | C] () -- C:\WINDOWS\sdfixwcs.dll [2009.07.07 20:13:28 | 000,077,824 | ---- | C] () -- C:\WINDOWS\msacm32.drv [2009.07.07 20:13:28 | 000,000,104 | ---- | C] () -- C:\WINDOWS\wuasirvy.dll [2009.05.06 20:54:24 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2009.05.06 20:54:24 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI [2009.05.06 20:53:09 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf08b.dat [2009.05.06 20:47:19 | 000,031,707 | ---- | C] () -- C:\WINDOWS\maxlink.ini [2009.02.20 22:00:20 | 000,042,664 | ---- | C] () -- C:\WINDOWS\System32\drivers\fsbts.sys [2006.12.12 18:30:29 | 000,520,192 | ---- | C] () -- C:\WINDOWS\System32\DivXsm.exe [2006.12.12 18:30:26 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll [2006.12.12 18:24:42 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll [2006.11.16 16:42:19 | 000,112,557 | ---- | C] () -- C:\WINDOWS\hpgins15.dat [2006.11.16 16:42:18 | 000,000,282 | ---- | C] () -- C:\WINDOWS\hpgmdl15.dat [2006.11.16 13:39:28 | 000,000,000 | ---- | C] () -- C:\WINDOWS\TBridge.INI [2006.11.14 20:56:29 | 000,022,688 | ---- | C] () -- C:\WINDOWS\System32\drivers\PPSIO.SYS [2006.11.14 19:04:18 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2006.11.12 14:25:46 | 000,019,456 | ---- | C] () -- C:\WINDOWS\System32\xrxscnui.dll [2006.10.29 22:00:38 | 000,000,062 | ---- | C] () -- C:\WINDOWS\UF.ini [2006.10.26 15:15:22 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll [2006.03.21 22:40:54 | 000,003,359 | ---- | C] () -- C:\WINDOWS\tm.ini [2006.01.07 20:32:16 | 000,000,035 | ---- | C] () -- C:\WINDOWS\A4W.INI [2006.01.04 23:05:33 | 000,002,884 | ---- | C] () -- C:\WINDOWS\CARDIRIS.INI [2006.01.04 23:05:12 | 000,000,037 | ---- | C] () -- C:\WINDOWS\progman.ini [2006.01.04 23:05:05 | 000,000,030 | ---- | C] () -- C:\WINDOWS\readiris.ini [2006.01.01 20:27:28 | 000,010,547 | ---- | C] () -- C:\WINDOWS\mozver.dat [2005.11.02 23:12:30 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll [2005.02.20 13:22:32 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\TXTUSER.EXE [2005.01.10 19:02:55 | 000,000,512 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2005.01.04 01:30:13 | 000,000,335 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2005.01.03 19:33:04 | 000,004,096 | ---- | C] () -- C:\WINDOWS\d3dx.dat [2005.01.03 18:23:01 | 000,000,152 | ---- | C] () -- C:\WINDOWS\ChssBase.ini [2004.12.10 21:03:28 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OpPrintServer.INI [2004.12.08 20:45:36 | 000,000,894 | ---- | C] () -- C:\Programme\pcbibexp.INI [2004.12.08 20:45:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI [2004.12.08 20:45:29 | 000,000,168 | ---- | C] () -- C:\Programme\_DEISREG.ISR [2004.12.08 20:45:28 | 000,009,728 | ---- | C] () -- C:\Programme\pcbexpdl.dll [2004.12.08 20:45:23 | 000,108,032 | ---- | C] () -- C:\Programme\bibex.dll [2004.12.08 20:45:23 | 000,004,153 | ---- | C] () -- C:\Programme\DeIsL1.isu [2004.12.08 20:35:04 | 000,000,335 | ---- | C] () -- C:\WINDOWS\ldoce.dat [2004.12.05 11:50:09 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\tv10\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2004.12.02 22:24:10 | 000,000,235 | ---- | C] () -- C:\WINDOWS\Envoy.ini [2004.12.02 22:24:09 | 000,000,016 | ---- | C] () -- C:\WINDOWS\EVYPATHS.BIN [2004.12.02 21:35:47 | 000,002,167 | ---- | C] () -- C:\WINDOWS\LITERAT.INI [2004.11.25 21:54:59 | 000,130,048 | ---- | C] () -- C:\Dokumente und Einstellungen\tv10\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2004.10.04 21:07:42 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll [2004.10.04 21:02:58 | 000,000,327 | ---- | C] () -- C:\WINDOWS\wininit.ini [2004.10.03 16:03:04 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2004.10.02 16:18:45 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2004.10.02 16:18:45 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2004.10.02 16:18:45 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2004.10.02 16:18:45 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2004.10.02 16:18:45 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2004.10.02 16:18:45 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2004.10.02 15:08:05 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2004.10.02 15:07:20 | 000,216,064 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2004.10.02 14:26:04 | 000,249,921 | ---- | C] () -- C:\WINDOWS\System32\PythonCOM15.dll [2004.10.02 14:26:04 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\PyWinTypes15.dll [2004.10.02 14:25:45 | 000,016,896 | ---- | C] () -- C:\WINDOWS\System32\bcbmm.dll [2004.10.02 14:23:46 | 000,000,871 | ---- | C] () -- C:\WINDOWS\orun32.ini [2004.10.02 14:19:41 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.exe [2004.10.02 14:19:41 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll [2004.10.02 14:18:06 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2004.10.02 14:13:34 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2004.10.02 14:12:31 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini [2004.10.02 13:37:21 | 000,001,978 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2004.10.02 13:37:08 | 000,468,148 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2004.10.02 13:37:08 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2004.10.02 13:37:08 | 000,089,106 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2004.10.02 13:37:08 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2004.10.02 13:36:54 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2004.10.02 13:36:53 | 000,450,280 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2004.10.02 13:36:53 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2004.10.02 13:36:53 | 000,075,640 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2004.10.02 13:36:53 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2004.10.02 13:36:51 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2004.10.02 13:36:51 | 000,004,484 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2004.10.02 13:36:49 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2004.10.02 13:36:44 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2004.10.02 13:36:44 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2004.10.02 13:36:39 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2004.10.02 13:36:33 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2004.06.28 22:58:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini [2001.09.18 13:00:00 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\bmpproc.dll [2001.09.18 13:00:00 | 000,032,528 | ---- | C] () -- C:\WINDOWS\amcap.exe ========== LOP Check ========== [2009.10.25 22:46:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ALDI Sued Foto Service [2009.10.25 22:48:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aldi Sued Fotoservice [2010.02.15 20:45:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular [2009.02.20 21:48:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\F-Secure [2010.10.09 09:04:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fssg [2009.10.25 22:48:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX [2010.05.18 21:40:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel [2010.06.29 21:32:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft [2008.05.05 21:28:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online [2011.02.27 19:16:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom [2009.11.02 22:07:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\ASCOMP Software [2010.05.25 20:38:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\concept design [2010.10.30 09:55:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\elsterformular [2006.03.26 20:52:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\F-Secure [2010.11.04 22:19:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Geogrid [2004.10.02 16:25:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\InterVideo [2006.02.18 16:20:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\ispnews [2004.10.28 10:37:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Leadertech [2011.01.15 20:07:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\MAGIX [2006.01.08 11:22:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\MSNInstaller [2010.09.05 15:00:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Scendix Software [2010.09.05 15:00:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Softland [2008.05.05 21:29:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\T-Online [2004.11.27 18:28:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Template [2011.02.27 19:15:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\TomTom [2006.11.12 14:25:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\tv10\Anwendungsdaten\Xerox ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2010.11.07 18:46:08 | 000,000,000 | ---D | M] -- C:\cbdata [2011.04.26 19:39:59 | 000,000,000 | -H-D | M] -- C:\Config.Msi [2011.04.26 19:58:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2010.11.07 18:46:08 | 000,000,000 | ---D | M] -- C:\hp [2010.11.07 18:46:08 | 000,000,000 | ---D | M] -- C:\i386 [2010.11.07 18:46:08 | 000,000,000 | ---D | M] -- C:\LITERAT [2011.02.27 19:09:12 | 000,000,000 | ---D | M] -- C:\Program Files [2011.04.26 19:47:41 | 000,000,000 | R--D | M] -- C:\Programme [2011.04.07 06:48:33 | 000,000,000 | -H-D | M] -- C:\Recycle.Bin [2010.11.07 18:46:09 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2004.10.28 10:34:50 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2010.11.07 18:46:09 | 000,000,000 | ---D | M] -- C:\temp [2011.04.26 15:28:18 | 000,000,000 | ---D | M] -- C:\WINDOWS < %PROGRAMFILES%\*.exe > [2004.05.13 19:08:48 | 001,967,616 | ---- | M] (JOANNEUM RESEARCH) -- C:\Programme\pcbibexp.exe Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < MD5 for: EXPLORER.EXE > [2004.08.04 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe [2007.06.13 15:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe [2007.06.13 15:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe < MD5 for: USERINIT.EXE > [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe [2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: WINLOGON.EXE > [2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-04-13 20:05:11 < End of report > |
|
28.04.2011, 05:48
| #2 |
| | Trojaner auf der Festplatte? Und hier kommt der Gmer.txt. Eine Extra.txt wurde nicht angelegt,
__________________GMER Logfile: Code:
ATTFilter GMER 1.0.15.15570 - GMER - Rootkit Detector and Remover
Rootkit scan 2011-04-28 06:49:48
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST380011A rev.8.01
Running: g2m3e4r.exe; Driver: C:\DOKUME~1\tv10\LOKALE~1\Temp\ugtdipow.sys
---- System - GMER 1.0.15 ----
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwCreateProcess [0xF76E1E5C]
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwCreateProcessEx [0xF76E1E76]
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwCreateThread [0xF76E1014]
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwLoadDriver [0xF76E1340]
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwMapViewOfSection [0xF76E0D3C]
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwOpenSection [0xF76E1776]
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwRenameKey [0xF76E2A0E]
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSetSystemInformation [0xF76E15C8]
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSuspendProcess [0xF76E0BBE]
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSuspendThread [0xF76E1048]
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSystemDebugControl [0xF76E11C8]
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwTerminateProcess [0xF76E0B1A]
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwTerminateThread [0xF76E0C76]
SSDT \??\C:\Programme\F-Secure Internet Security\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwWriteVirtualMemory [0xF76E110E]
Code fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation) IoCreateDevice
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!_abnormal_termination + 440 804E2AAC 12 Bytes [BE, 0B, 6E, F7, 48, 10, 6E, ...] {MOV ESI, 0x48f76e0b; ADC [ESI-0x9], CH; ENTER 0x6e11, 0xf7}
PAGE ntoskrnl.exe!IoCreateDevice 805A058F 5 Bytes JMP F7319116 fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
init C:\WINDOWS\system32\drivers\ALCXSENS.SYS entry point in "init" section [0xF6B2A900]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\alg.exe[564] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00AE000C
.text C:\WINDOWS\System32\alg.exe[564] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 00AE100C
.text C:\WINDOWS\System32\alg.exe[564] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00AE200C
.text C:\WINDOWS\System32\alg.exe[564] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 00AE300C
.text C:\WINDOWS\System32\alg.exe[564] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 00AE400C
.text C:\WINDOWS\System32\alg.exe[564] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 00AEA00C
.text C:\WINDOWS\System32\alg.exe[564] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 00AE700C
.text C:\WINDOWS\System32\alg.exe[564] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 00AE500C
.text C:\WINDOWS\System32\alg.exe[564] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 00AE600C
.text C:\WINDOWS\System32\alg.exe[564] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 00AE800C
.text C:\WINDOWS\System32\alg.exe[564] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 00AE900C
.text C:\WINDOWS\system32\winlogon.exe[700] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 0119000C
.text C:\WINDOWS\system32\winlogon.exe[700] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 0119100C
.text C:\WINDOWS\system32\winlogon.exe[700] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0119200C
.text C:\WINDOWS\system32\winlogon.exe[700] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 0119300C
.text C:\WINDOWS\system32\winlogon.exe[700] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 0119700C
.text C:\WINDOWS\system32\winlogon.exe[700] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 0119500C
.text C:\WINDOWS\system32\winlogon.exe[700] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 0119600C
.text C:\WINDOWS\system32\winlogon.exe[700] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 0119800C
.text C:\WINDOWS\system32\winlogon.exe[700] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 0119400C
.text C:\WINDOWS\system32\winlogon.exe[700] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 0119A00C
.text C:\WINDOWS\system32\winlogon.exe[700] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 0119900C
.text C:\WINDOWS\system32\lsass.exe[756] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00B4000C
.text C:\WINDOWS\system32\lsass.exe[756] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 00B4100C
.text C:\WINDOWS\system32\lsass.exe[756] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00B4200C
.text C:\WINDOWS\system32\lsass.exe[756] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 00B4300C
.text C:\WINDOWS\system32\lsass.exe[756] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 00B4700C
.text C:\WINDOWS\system32\lsass.exe[756] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 00B4500C
.text C:\WINDOWS\system32\lsass.exe[756] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 00B4600C
.text C:\WINDOWS\system32\lsass.exe[756] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 00B4800C
.text C:\WINDOWS\system32\lsass.exe[756] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 00B4400C
.text C:\WINDOWS\system32\lsass.exe[756] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 00B4A00C
.text C:\WINDOWS\system32\lsass.exe[756] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 00B4900C
.text C:\WINDOWS\system32\drivers\CDAC11BA.EXE[1400] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 01F9000C
.text C:\WINDOWS\system32\drivers\CDAC11BA.EXE[1400] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 01F9100C
.text C:\WINDOWS\system32\drivers\CDAC11BA.EXE[1400] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 01F9200C
.text C:\WINDOWS\system32\drivers\CDAC11BA.EXE[1400] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 01F9300C
.text C:\WINDOWS\system32\drivers\CDAC11BA.EXE[1400] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 01F9400C
.text C:\WINDOWS\system32\drivers\CDAC11BA.EXE[1400] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 01F9900C
.text C:\WINDOWS\system32\drivers\CDAC11BA.EXE[1400] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 01F9700C
.text C:\WINDOWS\system32\drivers\CDAC11BA.EXE[1400] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 01F9500C
.text C:\WINDOWS\system32\drivers\CDAC11BA.EXE[1400] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 01F9600C
.text C:\WINDOWS\system32\drivers\CDAC11BA.EXE[1400] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 01F9800C
.text C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe[1448] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00EF000C
.text C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe[1448] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 00EF100C
.text C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe[1448] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00EF200C
.text C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe[1448] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 00EF300C
.text C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe[1448] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 00EF700C
.text C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe[1448] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 00EF500C
.text C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe[1448] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 00EF600C
.text C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe[1448] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 00EF800C
.text C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe[1448] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 00EF400C
.text C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe[1448] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 00EFA00C
.text C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe[1448] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 00EF900C
.text C:\Programme\Java\jre6\bin\jqs.exe[1500] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 0317000C
.text C:\Programme\Java\jre6\bin\jqs.exe[1500] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 0317100C
.text C:\Programme\Java\jre6\bin\jqs.exe[1500] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0317200C
.text C:\Programme\Java\jre6\bin\jqs.exe[1500] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 0317300C
.text C:\Programme\Java\jre6\bin\jqs.exe[1500] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 0317700C
.text C:\Programme\Java\jre6\bin\jqs.exe[1500] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 0317500C
.text C:\Programme\Java\jre6\bin\jqs.exe[1500] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 0317600C
.text C:\Programme\Java\jre6\bin\jqs.exe[1500] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 0317800C
.text C:\Programme\Java\jre6\bin\jqs.exe[1500] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 0317900C
.text C:\Programme\Java\jre6\bin\jqs.exe[1500] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 0317400C
.text C:\Programme\Java\jre6\bin\jqs.exe[1500] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 0317A00C
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe[1528] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 008F000C
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe[1528] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 008F100C
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe[1528] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 008F200C
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe[1528] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 008F300C
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe[1528] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 008F700C
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe[1528] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 008F500C
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe[1528] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 008F600C
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe[1528] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 008F800C
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe[1528] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 008F900C
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe[1528] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 008F400C
.text C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe[1528] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 008FA00C
.text C:\WINDOWS\Explorer.EXE[2744] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00B5000C
.text C:\WINDOWS\Explorer.EXE[2744] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 00B5100C
.text C:\WINDOWS\Explorer.EXE[2744] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00B5200C
.text C:\WINDOWS\Explorer.EXE[2744] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 00B5300C
.text C:\WINDOWS\Explorer.EXE[2744] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 00B5700C
.text C:\WINDOWS\Explorer.EXE[2744] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 00B5500C
.text C:\WINDOWS\Explorer.EXE[2744] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 00B5600C
.text C:\WINDOWS\Explorer.EXE[2744] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 00B5800C
.text C:\WINDOWS\Explorer.EXE[2744] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 00B5400C
.text C:\WINDOWS\Explorer.EXE[2744] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 00B5A00C
.text C:\WINDOWS\Explorer.EXE[2744] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 00B5900C
.text C:\WINDOWS\system32\VTTimer.exe[2952] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 0086000C
.text C:\WINDOWS\system32\VTTimer.exe[2952] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 0086100C
.text C:\WINDOWS\system32\VTTimer.exe[2952] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0086200C
.text C:\WINDOWS\system32\VTTimer.exe[2952] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 0086300C
.text C:\WINDOWS\system32\VTTimer.exe[2952] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 0086400C
.text C:\WINDOWS\system32\VTTimer.exe[2952] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 0086900C
.text C:\WINDOWS\system32\VTTimer.exe[2952] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 0086700C
.text C:\WINDOWS\system32\VTTimer.exe[2952] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 0086500C
.text C:\WINDOWS\system32\VTTimer.exe[2952] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 0086600C
.text C:\WINDOWS\system32\VTTimer.exe[2952] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 0086800C
.text C:\WINDOWS\system32\VTTimer.exe[2952] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 0086A00C
.text C:\WINDOWS\SOUNDMAN.EXE[2968] ntdll.dll!NtCreateProcess 7C91D14E 3 Bytes JMP 0092000C
.text C:\WINDOWS\SOUNDMAN.EXE[2968] ntdll.dll!NtCreateProcess + 4 7C91D152 1 Byte [84]
.text C:\WINDOWS\SOUNDMAN.EXE[2968] ntdll.dll!NtCreateProcessEx 7C91D15E 3 Bytes JMP 0092100C
.text C:\WINDOWS\SOUNDMAN.EXE[2968] ntdll.dll!NtCreateProcessEx + 4 7C91D162 1 Byte [84]
.text C:\WINDOWS\SOUNDMAN.EXE[2968] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0092200C
.text C:\WINDOWS\SOUNDMAN.EXE[2968] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 0092300C
.text C:\WINDOWS\SOUNDMAN.EXE[2968] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 0092400C
.text C:\WINDOWS\SOUNDMAN.EXE[2968] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 0092900C
.text C:\WINDOWS\SOUNDMAN.EXE[2968] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 0092700C
.text C:\WINDOWS\SOUNDMAN.EXE[2968] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 0092500C
.text C:\WINDOWS\SOUNDMAN.EXE[2968] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 0092600C
.text C:\WINDOWS\SOUNDMAN.EXE[2968] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 0092800C
.text C:\WINDOWS\SOUNDMAN.EXE[2968] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 0092A00C
.text C:\Programme\HP\HP Software Update\HPWuSchd2.exe[3064] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 0089000C
.text C:\Programme\HP\HP Software Update\HPWuSchd2.exe[3064] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 0089100C
.text C:\Programme\HP\HP Software Update\HPWuSchd2.exe[3064] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0089200C
.text C:\Programme\HP\HP Software Update\HPWuSchd2.exe[3064] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 0089300C
.text C:\Programme\HP\HP Software Update\HPWuSchd2.exe[3064] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 0089400C
.text C:\Programme\HP\HP Software Update\HPWuSchd2.exe[3064] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 0089900C
.text C:\Programme\HP\HP Software Update\HPWuSchd2.exe[3064] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 0089700C
.text C:\Programme\HP\HP Software Update\HPWuSchd2.exe[3064] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 0089500C
.text C:\Programme\HP\HP Software Update\HPWuSchd2.exe[3064] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 0089600C
.text C:\Programme\HP\HP Software Update\HPWuSchd2.exe[3064] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 0089800C
.text C:\Programme\HP\HP Software Update\HPWuSchd2.exe[3064] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 0089A00C
.text C:\Programme\F-Secure Internet Security\Common\FSM32.EXE[3096] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 0093000C
.text C:\Programme\F-Secure Internet Security\Common\FSM32.EXE[3096] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 0093100C
.text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[3160] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 008C000C
.text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[3160] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 008C100C
.text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[3160] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 008C200C
.text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[3160] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 008C300C
.text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[3160] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 008C400C
.text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[3160] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 008C900C
.text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[3160] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 008C700C
.text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[3160] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 008C500C
.text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[3160] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 008C600C
.text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[3160] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 008C800C
.text C:\Programme\ScanSoft\PaperPort\pptd40nt.exe[3160] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 008CA00C
.text C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe[3276] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 00A3000C
.text C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe[3276] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 00A3100C
.text C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe[3276] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00A3200C
.text C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe[3276] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 00A3300C
.text C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe[3276] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 00A3700C
.text C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe[3276] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 00A3500C
.text C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe[3276] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 00A3600C
.text C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe[3276] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 00A3800C
.text C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe[3276] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 00A3400C
.text C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe[3276] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 00A3A00C
.text C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe[3276] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 00A3900C
.text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[3368] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 003C000C
.text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[3368] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 003C100C
.text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[3368] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 003C200C
.text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[3368] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 003C300C
.text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[3368] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 003C400C
.text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[3368] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 003CA00C
.text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[3368] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 003C700C
.text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[3368] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 003C500C
.text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[3368] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 003C600C
.text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[3368] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 003C800C
.text C:\Programme\Brother\ControlCenter3\brccMCtl.exe[3368] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 003C900C
.text C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe[3392] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 003E000C
.text C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe[3392] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 003E100C
.text C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe[3392] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 003E200C
.text C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe[3392] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 003E300C
.text C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe[3392] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 003E400C
.text C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe[3392] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 003EA00C
.text C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe[3392] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 003E700C
.text C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe[3392] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 003E500C
.text C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe[3392] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 003E600C
.text C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe[3392] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 003E800C
.text C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe[3392] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 003E900C
.text C:\Programme\Brother\Brmfcmon\BrMfcmon.exe[3396] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 003A000C
.text C:\Programme\Brother\Brmfcmon\BrMfcmon.exe[3396] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 003A100C
.text C:\Programme\Brother\Brmfcmon\BrMfcmon.exe[3396] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 003A200C
.text C:\Programme\Brother\Brmfcmon\BrMfcmon.exe[3396] kernel32.dll!TerminateThread 7C81CB3B 5 Bytes JMP 003A300C
.text C:\Programme\Brother\Brmfcmon\BrMfcmon.exe[3396] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 003A400C
.text C:\Programme\Brother\Brmfcmon\BrMfcmon.exe[3396] USER32.dll!DdeConnect 7E3A81C3 5 Bytes JMP 003A900C
.text C:\Programme\Brother\Brmfcmon\BrMfcmon.exe[3396] ADVAPI32.dll!CloseServiceHandle 77DB6CE5 5 Bytes JMP 003A700C
.text C:\Programme\Brother\Brmfcmon\BrMfcmon.exe[3396] ADVAPI32.dll!OpenServiceW 77DB6FFD 5 Bytes JMP 003A500C
.text C:\Programme\Brother\Brmfcmon\BrMfcmon.exe[3396] ADVAPI32.dll!ControlService 77DC4A09 5 Bytes JMP 003A600C
.text C:\Programme\Brother\Brmfcmon\BrMfcmon.exe[3396] ADVAPI32.dll!CreateServiceW 77E073A9 5 Bytes JMP 003A800C
.text C:\Programme\Brother\Brmfcmon\BrMfcmon.exe[3396] ole32.dll!CoCreateInstanceEx 774CF154 5 Bytes JMP 003AA00C
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\Tcp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\Udp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\RawIp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\IPMULTICAST fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs EF1B9400
---- EOF - GMER 1.0.15 ----
|
|
28.04.2011, 09:34
| #3 |
| /// Malware-holic   | Trojaner auf der Festplatte? bitte erstelle und poste ein combofix log.
__________________http://www.bleepingcomputer.com/comb...x-benutzt-wird
__________________ |
|
28.04.2011, 18:44
| #4 |
| | Trojaner auf der Festplatte? Hier kommt der file: Combofix Logfile: Code:
ATTFilter ComboFix 11-04-25.01 - tv10 28.04.2011 19:34:31.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.991.657 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\tv10\Desktop\ComboFix.exe
AV: F-Secure Anti-Virus 2011 10.50 *Disabled/Updated* {E7512ED5-4245-4B4D-AF3A-382D3F313F15}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\***\WINDOWS
c:\dokumente und einstellungen\***\WINDOWS
c:\dokumente und einstellungen\***\WINDOWS
c:\dokumente und einstellungen\***\WINDOWS
c:\dokumente und einstellungen\***\WINDOWS
c:\dokumente und einstellungen\***\Favoriten\Online Security Test.url
c:\dokumente und einstellungen\***\WINDOWS
C:\Recycle.Bin
c:\recycle.bin\config.bin
c:\windows\msacm32.drv
c:\windows\system32\config\systemprofile\WINDOWS
c:\windows\system32\Thumbs.db
c:\windows\wuasirvy.dll
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-03-28 bis 2011-04-28 ))))))))))))))))))))))))))))))
.
.
2011-04-26 13:27 . 2011-04-27 18:28 -------- d-----w- c:\programme\ERUNT
2011-04-15 05:33 . 2011-04-15 05:33 781272 ----a-w- c:\programme\Mozilla Firefox\mozsqlite3.dll
2011-04-15 05:33 . 2011-04-15 05:33 1874904 ----a-w- c:\programme\Mozilla Firefox\mozjs.dll
2011-04-15 05:33 . 2011-04-15 05:33 728024 ----a-w- c:\programme\Mozilla Firefox\libGLESv2.dll
2011-04-15 05:33 . 2011-04-15 05:33 1893336 ----a-w- c:\programme\Mozilla Firefox\d3dx9_42.dll
2011-04-15 05:33 . 2011-04-15 05:33 15832 ----a-w- c:\programme\Mozilla Firefox\mozalloc.dll
2011-04-15 05:33 . 2011-04-15 05:33 142296 ----a-w- c:\programme\Mozilla Firefox\libEGL.dll
2011-04-15 05:33 . 2011-04-15 05:33 142296 ----a-w- c:\programme\Mozilla Firefox\components\browsercomps.dll
2011-04-15 05:33 . 2011-04-15 05:33 1975768 ----a-w- c:\programme\Mozilla Firefox\D3DCompiler_42.dll
2011-04-12 08:13 . 2011-04-15 13:30 -------- d-----w- c:\dokumente und einstellungen\Horst & Ira\dfxrgmij
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-07 05:33 . 2004-10-02 12:13 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-10-02 11:36 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-10-02 11:37 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-22 23:05 . 2004-10-02 11:37 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 23:05 . 2004-10-02 11:36 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 23:05 . 2004-10-02 11:36 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-02-22 11:41 . 2004-10-02 11:36 385024 ----a-w- c:\windows\system32\html.iec
2011-02-17 13:18 . 2004-10-02 11:36 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2004-10-02 11:36 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2004-10-02 11:36 290432 ----a-w- c:\windows\system32\atmfd.dll
2011-02-11 14:44 . 2004-10-02 12:12 236032 ----a-w- c:\windows\system32\fxscover.exe
2011-02-09 13:53 . 2004-10-02 11:36 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2004-10-02 11:36 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-08 13:33 . 2004-10-02 11:36 978944 ------w- c:\windows\system32\mfc42.dll
2011-02-08 13:33 . 2004-10-02 11:36 974848 ----a-w- c:\windows\system32\mfc42u.dll
2011-02-02 19:40 . 2010-07-02 19:50 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-02-02 17:19 . 2007-04-30 14:12 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-02-02 07:58 . 2004-10-02 12:12 2067456 ----a-w- c:\windows\system32\mstscax.dll
2004-05-13 17:08 . 2004-12-08 18:45 1967616 ----a-w- c:\programme\pcbibexp.exe
2002-11-26 13:33 . 2004-12-08 18:45 108032 ----a-w- c:\programme\bibex.dll
1999-07-13 20:09 . 2004-12-08 18:45 9728 ----a-w- c:\programme\pcbexpdl.dll
1998-07-31 15:00 . 2004-12-08 18:45 47104 ----a-w- c:\programme\_ISREG32.DLL
2011-04-15 05:33 . 2011-04-15 05:33 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"TomTomHOME.exe"="c:\programme\TomTom HOME 2\TomTomHOMERunner.exe" [2010-08-24 247144]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2003-08-20 45056]
"SoundMan"="SOUNDMAN.EXE" [2004-05-14 67072]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2004-10-03 98304]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-29 196608]
"F-Secure Manager"="c:\programme\F-Secure Internet Security\Common\FSM32.EXE" [2010-10-09 200360]
"F-Secure TNB"="c:\programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" [2010-10-09 1654440]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"PaperPort PTD"="c:\programme\ScanSoft\PaperPort\pptd40nt.exe" [2007-10-11 29984]
"IndexSearch"="c:\programme\ScanSoft\PaperPort\IndexSearch.exe" [2007-10-11 46368]
"PPort11reminder"="c:\programme\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-08-31 328992]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2008-02-19 1089536]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-12-21 86016]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Gast\Startmen\Programme\Autostart\
SmartSurfer.lnk - c:\programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe [N/A]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2004-05-06 18:30 286720 ----a-w- c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
2003-08-18 23:01 110592 ----a-w- c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPodService"=3 (0x3)
.
R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [20.02.2009 22:00 42664]
R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [20.02.2009 21:49 81800]
R1 F-Secure HIPS;F-Secure HIPS Driver;c:\programme\F-Secure Internet Security\HIPS\drivers\fshs.sys [20.02.2009 21:48 71496]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [05.11.2004 22:02 59520]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [06.05.2009 19:53 1220608]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [05.05.2008 21:28 61440]
R2 ppsio;PrmxPPDev;c:\windows\system32\drivers\PPSIO.SYS [14.11.2006 20:56 22688]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [24.08.2010 11:38 92008]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmwan.sys [05.11.2004 21:40 37568]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programme\F-Secure Internet Security\Anti-Virus\minifilter\fsgk.sys [20.02.2009 21:47 130728]
R3 FSORSPClient;F-Secure ORSP Client;c:\programme\F-Secure Internet Security\ORSP Client\fsorsp.exe [20.02.2009 21:48 63992]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 12:10 3276800]
S3 fus2base;AVM ISDN-Controller FRITZ!Card USB v2.0;c:\windows\system32\drivers\fus2base.sys [05.11.2004 21:40 455680]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [05.05.2008 21:28 17280]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS --> c:\windows\system32\DRIVERS\NETFRITZ.SYS [?]
S4 F-Secure Filter;F-Secure File System Filter;c:\programme\F-Secure Internet Security\Anti-Virus\win2k\fsfilter.sys [20.02.2009 21:47 40872]
S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\programme\F-Secure Internet Security\Anti-Virus\win2k\fsrec.sys [20.02.2009 21:47 26280]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.web.de/
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
LSP: c:\programme\F-Secure Internet Security\FSPS\program\FSLSP.DLL
FF - ProfilePath - c:\dokumente und einstellungen\tv10\Anwendungsdaten\Mozilla\Firefox\Profiles\dce65pzo.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://de.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-rundll32.exe - (no file)
HKLM-Run-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe
MSConfigStartUp-Skype - c:\programme\Skype\Phone\Skype.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2011-04-28 19:40
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-436140500-1972612578-3081664584-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(708)
c:\programme\f-secure internet security\hips\fshook32.dll
.
- - - - - - - > 'lsass.exe'(764)
c:\programme\F-Secure Internet Security\FSPS\program\FSLSP.DLL
c:\programme\f-secure internet security\hips\fshook32.dll
.
Zeit der Fertigstellung: 2011-04-28 19:42:43
ComboFix-quarantined-files.txt 2011-04-28 17:42
.
Vor Suchlauf: 6.266.310.656 Bytes frei
Nach Suchlauf: 6.301.929.472 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 4E10CEAE605DAFC6D0C7EA78B5E5F268
|
|
29.04.2011, 09:47
| #5 |
| /// Malware-holic | Trojaner auf der Festplatte? machst du onlinebanking einkäufe oder sonst was wichtiges mit diesem gerät?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
01.05.2011, 12:42
| #6 |
| | Trojaner auf der Festplatte? Ja, mache ich |
|
01.05.2011, 14:08
| #7 |
| /// Malware-holic | Trojaner auf der Festplatte? ok. 1. onlinebanking sperren: notfallnummer 116 116 grund: spyeye trojan + eine art des tr.bankers. 2. da wir nicht für eine säuberung des systems garantieren können ist nun folgendes zu tun: - daten sichern: bilder, texte musik, alles aus vertrauenswürdigen legalen quellen. - pc neu aufsetzen, heißt formatieren, windows neu instalieren. - pc absichern, dafür kannst du tipps bekommen. - passwörter endern, alle passwörter die du hast endern.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
01.05.2011, 16:42
| #8 |
| | Trojaner auf der Festplatte? - Onlinebanking war bereits gesperrt und mache ich jetzt von einem anderen Rechner aus. - Wenn ich meine Bilder etc. z.B. auf einen Stick übertrage: Wie kann ich sicherstellen, dass dabei nur die Bilder und keine Schad-SW mit auf den Stick kommen? - Konntest Du aus den Informationen, die OTL und Co. ermittelt haben, irgendetwas entnehmen dass darauf hindeutet, dass ich einen Trojaner o.ä. auf dem Rechner habe? |
|
01.05.2011, 16:59
| #9 |
| /// Malware-holic | Trojaner auf der Festplatte? ja, den trojan spyeye konnte ich ermitteln. wir prüfen deinen stick natürlich wenn der neue pc abgesichert ist, um sicher zu gehen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
01.05.2011, 22:06
| #10 |
| | Trojaner auf der Festplatte? Danke für die Hilfe und die Informationen. Ich komme frühestens kommendes Wochenende dazu, den PC neu zu formatieren. Solange herrscht von meiner Seite aus "Funkstille". |
|
02.05.2011, 10:27
| #11 |
| /// Malware-holic | Trojaner auf der Festplatte? ok, falls ich das thema nächste woche übersehe, kurze pm an mich
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
30.10.2011, 11:04
| #12 |
| | Trojaner auf der Festplatte? Hallo, da ich eine Alternative habe um sicher zu arbeiten, hat es länger gedauert. Ich habe nun alle Daten auf eine externe Festplatte ausgelagert und das Laufwerk c: neu formatiert. Das hatte den weiteren Vorteil, dass ich kräftig entmüllt habe und viele überflüssige Programme, die sich im Lauf der Zeit so angesammelt habe, eliminiert wurden. Aus der Partition C: wurde nun F:. D: und E: blieben erhalten. Könnten wir alle Laufwerke (D:, E:, F: und Extern) auf Trojaner und Viren prüfen? Mit meinem Virenscanner F-Secure 2011 habe ich bereits geprüft und der hat nichts gefunden. Aber das ja nichts zu sagen, wie ich mittlerweile lernen musste. Grüße sendet Horst |
|
30.10.2011, 11:40
| #13 |
| /// Malware-holic | Trojaner auf der Festplatte? erst mal muss das system ja vernünftig abgesichert werden. upgrade auch mal auf f-secure 2012, denke das ist die neueste version! sind die andern partitionen reine datenpartitionen oder waren da auch instalationen zu finden? - servicepack3: Detail Seite Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler - internet explorer 8, auch wenn du nen andern browser nutzt, muss er aktuell sein. Detail Seite Windows Internet Explorer 8 für Windows XP - automatische updates so konfigurieren, das sie automatisch geladen/instaliert werden: Konfigurieren und Verwenden des Features "Automatische Updates" in Windows besuche jetzt windows update, instaliere so lange wichtige bzw optionale updates, bis es nichts mehr zu hohlen gibt. http://www.trojaner-board.de/96344-a...-rechners.html hier den abschnitt xp durchlesen und abarbeiten, windows dienste nicht, der link geht im moment nicht. Browserwahl: Da wir häufig mit dem Browser arbeiten, ist diese Wahl natürlich ebenfalls wichtig, die wichtigen Vertreter befinden sich in dem Verlinktem Thema. In punkto Sicherheit, geschwindigkeit und Komfort ist der Opera weit vorne, Sandboxie Die devinition einer Sandbox ist hier nachzulesen: Sandbox Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen. Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen. Download Link: http://www.trojaner-board.de/71542-a...sandboxie.html Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen. Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate. Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten. Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten. Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar. Weiter mit: - Autorun deaktivieren, - Update checker instalieren. Backup Programm: in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an: Anleitung: Backup mit Windows 7-Bordmitteln - NETZWELT Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar. Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist. Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern die card reader sind billig, die banken zahlen da mit zu. bitte surfe jetzt nur noch im standard nutzer konto, nicht als admin! und dort nur in der sandbox. wenn du die kostenlose version nutzt, musst du dazu auf "sandboxed webbrowser" klicken
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Trojaner auf der Festplatte? |
| 0x00000001, adobe, askbar, bho, einstellungen, error, explorer, festplatte, firefox, format, helper, home, location, logfile, microsoft, mozilla, nicht gefunden, object, oldtimer, pdf, plug-in, realtek, registry, rundll, scan, security, software, trojaner, trojaner auf der festplatte, winlogon, winlogon.exe |
Linear-Darstellung
