Seit heute öffnen sich Java und Internetexplorer ständig
 

Hallo,

ich vermute stark, dass ich einen Virus habe und würde gerne mein logfile von HJT überprüfenlassen. AntiVir und den Windows Defender habe ich bereits durchlaufen lassen, ohne Meldungen.

Ohne Vorwahnung öffnet sich Java (hat es sonst nie) und kurz danach mein Internetexplorer, obwohl ich Firefox verwende. Beim Internetexplorer wird dann meist etwas mit Winamp Toolbar geöffnet, es öffnen sich mehrere Tabs mir Werbung.
Vor kurzem hat sich kein Fenster geöffnet aber plötzlich kaum ein "toller Soundeffekt" der für irgendeine Internetseite geworben hat. Nur der Sound, sonst wurde nichts geöffnet. Meine Dinge im Internet konnte ich trotzdem weiter erldedigen.
Das ganze passiert so alle 10 Minuten. Zudem sind noch andere Veränderungen da. Wenn ich gerade z.B. Tippe, kann ich ganz plötzlich nicht mehr weiterschreiben und muss erst wieder auf das Feld hier klicken. Und mein PC ist ziemlich laut, weil er scheinbar etwas läd oder sowas? Ständig kommt diese Sanduhr bei der Maus. Vorher war das jedenfalls nicht so.

Ich vermute dass der Virus bei Java oder Winamp sitzt, zumindest werden die Programme immer gestartet. Wenn sich der Internetexplorer von allein öffnet, steht zuerst ein Pfad mit C:\\ irgendwas... winamptoolbar und dann wird die seite umgeleitet auf irgendeine werbeseite (spiele im internet usw., spam halt).



Vor ca. einer Woche hat Avir was gefunden, hier ist der Bericht:

In der Datei
'C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\TfsStore\Tfs_DAV\JtreZBOBA0.exeZxH8c8b9afdV03f01635002Re3ef9a47108Tc1cd967dQ000002fe901801 F0020000aJ0d000601l0007325'
wurde ein Virus oder unerwünschtes Programm 'JAVA/Agent.AM' [virus] gefunden.
Ausgeführte Aktion: Datei löschen

Wie ihr seht, hab ich das Ding dann "löschen lassen" und es war erstmal Ruhe, bis heute. Ich denke auch, dass das heute etwas neues ist, da es so plötzlich kam. Da jetzt plötzlich Java ins Bild springt, hat das vllt. was mit dem Virus da zutun?!


Ich hab auch schon ordentlich gegooglet und gesehen, dass das Problem wohl öfter auftritt, aber auf eine konkrete Lösung für mich bin ich noch nicht gestoßen. Dazu muss ich sagen, dass ich auch echt GAR KEINE Ahnung von sowas habe.


Hier mein Logfile:
HiJackthis Logfile:
--- --- ---


Bitte, bitte helft mir und erklärt mir in "einfachen Worten" was ich machen muss. Hoffentlich hab ich nichts schlimmes! Und mich würde interessieren welche Daten genau verseucht sein könnten.


Liebe Grüße

die Ratlose

sorry, wer keine updates aufspielt, zb keine servicepacks für vista, der muss sich nicht wundern.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

Hallo Markus,

vielen Dank für die schnelle Rückmeldung. Stimmt, es kann sein, dass ich Windows lang nicht mehr geupdated hab, aber fürher hat sich das immer von allein geöffnet, dann irgendwann nicht mehr.

Also, hier sind die beiden text dateien:OTL Logfile:
--- --- ---
\AppData\Roaming\mozilla\Firefox\Profiles\6dso8f44.default\extensions
[2009.09.02 18:10:42 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\****\AppData\Roaming\mozilla\Firefox\Profiles\6dso8f44.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.08.10 17:57:30 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2009.10.21 14:34:02 | 000,000,000 | ---D | M] (Timezone Definitions for Mozilla Calendar) -- C:\PROGRAM FILES\CELTX\EXTENSIONS\CALENDAR-TIMEZONES@MOZILLA.ORG
[2009.10.21 14:34:07 | 000,000,000 | ---D | M] (DOM Inspector) -- C:\PROGRAM FILES\CELTX\EXTENSIONS\INSPECTOR@MOZILLA.ORG
[2010.10.23 23:17:36 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.10.23 23:17:37 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.10.23 23:17:37 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.10.23 23:17:37 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.10.23 23:17:37 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2006.09.18 22:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Windows Live Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O3 - HKU\S-1-5-21-3869982166-262787630-1379435648-1000\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O3 - HKU\S-1-5-21-3869982166-262787630-1379435648-1000\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Google Quick Search Box] C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe (Google Inc.)
O4 - HKLM..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [LanguageShortcut] C:\Program Files\CyberLink\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [LogitechQuickCamRibbon] C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe ()
O4 - HKLM..\Run: [MobileConnect] C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe (Vodafone)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [PMBVolumeWatcher] C:\Programme\Sony\PMB\PMBVolumeWatcher.exe (Sony Corporation)
O4 - HKLM..\Run: [PPort11reminder] C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ()
O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe ()
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-21-3869982166-262787630-1379435648-1000..\Run: [CE8SIIFGSU] C:\Users\****\AppData\Local\Temp\Dtz.exe (ComponentOne LLC)
O4 - HKU\S-1-5-21-3869982166-262787630-1379435648-1000..\Run: [Metropolis] C:\Users\****\AppData\Local\Temp\sshnas21.dll (ComponentOne LLC)
O4 - HKU\S-1-5-21-3869982166-262787630-1379435648-1000..\Run: [MsnMsgr] File not found
O4 - HKU\S-1-5-21-3869982166-262787630-1379435648-1000..\Run: [NtWqIVLZEWZU] C:\Users\****\AppData\Local\Temp\Dt2.exe (ComponentOne LLC)
O4 - HKU\S-1-5-21-3869982166-262787630-1379435648-1000..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
O4 - Startup: C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Google Sidewiki... - C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll (Google Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation)
O18 - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation)
O18 - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\****\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\****AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O29 - HKLM SecurityProviders - (credssp.dll) - credssp.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{013178b3-d141-11df-80ee-d674e93674ff}\Shell\AutoRun\command - "" = F:\Menu.exe
O33 - MountPoints2\{2773a431-cd4c-11df-ac73-e31ebb114986}\Shell - "" = AutoRun
O33 - MountPoints2\{2773a431-cd4c-11df-ac73-e31ebb114986}\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{943b5201-e0c9-11de-bcaa-d5e4a2d41962}\Shell\AutoRun\command - "" = F:\Toshiba\more4youa.exe
O33 - MountPoints2\{e7ac9bbe-101b-11e0-b5c4-c036580da66b}\Shell\AutoRun\command - "" = H:\PMBP_Win.exe
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\setup_vmc_lite.exe /checkApplicationPresence
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: FastUserSwitchingCompatibility - File not found
NetSvcs: Ias - File not found
NetSvcs: Nla - File not found
NetSvcs: Ntmssvc - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: SRService - File not found
NetSvcs: WmdmPmSp - File not found
NetSvcs: LogonHours - File not found
NetSvcs: PCAudit - File not found
NetSvcs: helpsvc - File not found
NetSvcs: uploadmgr - File not found


SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: HelpSvc - Service
SafeBootMin: NTDS - File not found
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: sacsvr - Service
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: WinDefend - C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices

SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: HelpSvc - Service
SafeBootNet: Messenger - Service
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: NTDS - File not found
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: rdsessmgr - Service
SafeBootNet: sacsvr - Service
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: WinDefend - C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} -
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\System32\Microsoft
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} -
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - C:\Windows\System32\Microsoft
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

Drivers32: aux - wdmaud.drv (Microsoft Corporation)
Drivers32: midi - wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - midimap.dll (Microsoft Corporation)
Drivers32: mixer - wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.imaadpcm - imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - msg711.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - msgsm32.acm (Microsoft Corporation)
Drivers32: MSVideo - vfwwdm32.dll (Microsoft Corporation)
Drivers32: MSVideo8 - VfWWDM32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - iccvid.dll (Radius Inc.)
Drivers32: vidc.DIVX - DivX.dll (DivX, Inc.)
Drivers32: VIDC.I420 - lvcodec2.dll (Logitech Inc.)
Drivers32: VIDC.IYUV - iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.mrle - msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - msvidc32.dll (Microsoft Corporation)
Drivers32: VIDC.UYVY - msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YUY2 - msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yv12 - DivX.dll (DivX, Inc.)
Drivers32: VIDC.YVU9 - tsbyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVYU - msyuv.dll (Microsoft Corporation)
Drivers32: wave - wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - msacm32.drv (Microsoft Corporation)

CREATERESTOREPOINT
Restore point Set: OTL Restore Point

========== Files/Folders - Created Within 30 Days ==========

[2011.01.11 22:54:37 | 000,000,000 | ---D | C] -- C:\Users\Isabel\Desktop\Kabel BW
[2009.12.26 15:14:37 | 000,047,360 | ---- | C] (VSO Software) -- C:\Users\****\AppData\Roaming\pcouffin.sys

========== Files - Modified Within 30 Days ==========

[2011.02.06 18:04:04 | 000,000,242 | -H-- | M] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011.02.06 18:04:03 | 000,000,290 | -H-- | M] () -- C:\Windows\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2011.02.06 17:58:43 | 000,000,290 | -H-- | M] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011.02.06 17:45:15 | 000,003,552 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2011.02.06 17:45:14 | 000,003,552 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2011.02.06 17:45:10 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011.02.06 17:45:05 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.02.06 17:45:02 | 2012,536,832 | -HS- | M] () -- C:\hiberfil.sys
[2011.02.06 03:58:03 | 000,000,836 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2011.02.06 03:11:11 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011.02.04 22:11:22 | 000,641,344 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.02.04 22:11:22 | 000,610,142 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.02.04 22:11:22 | 000,116,706 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.02.04 22:11:22 | 000,103,924 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.02.04 21:03:43 | 000,069,120 | ---- | M] () -- C:\Users\****\Desktop\Queen Mary v5-korri.doc
[2011.01.31 09:04:13 | 000,023,040 | ---- | M] () -- C:\Users\****\Documents\ATT00022.dat
[2011.01.31 08:32:34 | 000,058,880 | ---- | M] () -- C:\Users\****\Desktop\Expose alles für nichts 23.1.11.doc
[2011.01.24 23:15:14 | 000,051,200 | ---- | M] () -- C:\Users\****\Desktop\Queen Mary v3-korr.doc
[2011.01.23 18:36:54 | 000,012,288 | ---- | M] () -- C:\Users\****\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.01.17 20:31:58 | 000,039,936 | ---- | M] () -- C:\Users\****\Desktop\queen mary korrkt..doc
[2011.01.17 20:09:25 | 000,010,917 | ---- | M] () -- C:\Users\****\Desktop\[Studenten-list] Konzeptwettbewerb_„Hochqualifizierte Ausländer in Deutschland“_Briefing_ 25_01_2011_12_15 Uhr.eml
[2011.01.17 00:21:23 | 000,026,294 | ---- | M] () -- C:\Users\****\Desktop\queen mary korrkt..odt
[2011.01.12 16:03:11 | 000,087,310 | ---- | M] () -- C:\Users\****\Desktop\Lebenslauf ****.pdf

========== Files Created - No Company Name ==========

[2011.02.05 22:59:43 | 000,000,290 | -H-- | C] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011.02.05 22:59:41 | 000,000,290 | -H-- | C] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011.02.05 22:59:37 | 000,000,290 | -H-- | C] () -- C:\Windows\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2011.02.04 20:18:36 | 000,069,120 | ---- | C] () -- C:\Users\****\Desktop\Queen Mary v5-korri.doc
[2011.01.31 08:50:54 | 000,023,040 | ---- | C] () -- C:\Users\****\Documents\ATT00022.dat
[2011.01.31 08:32:33 | 000,058,880 | ---- | C] () -- C:\Users\****\Desktop\Expose alles für nichts 23.1.11.doc
[2011.01.24 22:27:23 | 000,051,200 | ---- | C] () -- C:\Users\****\Desktop\Queen Mary v3-korr.doc
[2011.01.17 20:31:54 | 000,039,936 | ---- | C] () -- C:\Users\****\Desktop\queen mary korrkt..doc
[2011.01.17 20:09:24 | 000,010,917 | ---- | C] () -- C:\Users\****\Desktop\[Studenten-list] Konzeptwettbewerb_„Hochqualifizierte Ausländer in Deutschland“_Briefing_ 25_01_2011_12_15 Uhr.eml
[2011.01.16 23:01:00 | 000,026,294 | ---- | C] () -- C:\Users\****\Desktop\queen mary korrkt..odt
[2011.01.12 19:30:10 | 2012,536,832 | -HS- | C] () -- C:\hiberfil.sys
[2011.01.12 16:00:05 | 000,087,310 | ---- | C] () -- C:\Users\****\Desktop\Lebenslauf ****.pdf
[2010.09.02 11:52:21 | 000,000,680 | ---- | C] () -- C:\Users\****\AppData\Local\d3d9caps.dat
[2010.03.05 17:00:18 | 000,012,288 | ---- | C] () -- C:\Users\****\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.23 14:56:40 | 000,000,058 | ---- | C] () -- C:\Users\****\AppData\Local\DonationCoder_ScreenshotCaptor_InstallInfo.dat
[2010.02.19 13:05:15 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\QSwitch.txt
[2010.02.19 13:05:15 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\DSwitch.txt
[2010.02.19 13:05:15 | 000,000,000 | ---- | C] () -- C:\Users\****\AppData\Local\AtStart.txt
[2009.12.26 15:15:41 | 000,001,041 | ---- | C] () -- C:\Users\****\AppData\Roaming\vso_ts_preview.xml
[2009.12.26 15:15:14 | 000,000,033 | ---- | C] () -- C:\Users\****\AppData\Roaming\pcouffin.log
[2009.12.26 15:14:37 | 000,087,608 | ---- | C] () -- C:\Users\****\AppData\Roaming\inst.exe
[2009.12.26 15:14:37 | 000,007,887 | ---- | C] () -- C:\Users\****\AppData\Roaming\pcouffin.cat
[2009.12.26 15:14:37 | 000,001,144 | ---- | C] () -- C:\Users\****\AppData\Roaming\pcouffin.inf
[2009.12.13 17:53:47 | 000,000,279 | ---- | C] () -- C:\Windows\Brpfx04a.ini
[2009.12.13 17:53:47 | 000,000,093 | ---- | C] () -- C:\Windows\brpcfx.ini
[2009.12.13 17:47:46 | 000,031,664 | ---- | C] () -- C:\Windows\maxlink.ini
[2009.10.21 14:46:26 | 000,000,021 | -H-- | C] () -- C:\ProgramData\.24554863501262644635642126105
[2009.10.07 01:46:36 | 000,025,752 | ---- | C] () -- C:\Windows\System32\drivers\LVPr2Mon.sys
[2009.10.07 01:23:08 | 000,013,584 | ---- | C] () -- C:\Windows\System32\drivers\iKeyLFT2.dll
[2009.08.10 19:47:25 | 000,000,466 | ---- | C] () -- C:\Windows\BRWMARK.INI
[2009.08.10 19:47:25 | 000,000,027 | ---- | C] () -- C:\Windows\BRPP2KA.INI
[2009.08.10 17:47:47 | 000,006,656 | ---- | C] () -- C:\Windows\System32\bcmwlrc.dll
[2009.04.30 22:39:36 | 000,082,289 | ---- | C] () -- C:\Windows\System32\lvcoinst.ini
[2009.04.09 12:44:42 | 000,108,066 | R--- | C] () -- C:\ProgramData\DeviceManager.xml.rc4
[2007.12.18 09:51:26 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll
[2006.11.02 08:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006.03.09 08:58:00 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll

========== LOP Check ==========

[2009.08.19 13:15:44 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Amazon
[2010.02.23 14:56:40 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\DonationCoder
[2009.10.21 14:48:49 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Final Draft
[2009.10.21 14:34:39 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Greyfirst
[2010.01.25 16:56:49 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\gtk-2.0
[2009.08.10 17:18:17 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Hewlett Packard
[2009.12.12 17:19:38 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\InfraRecorder
[2010.02.16 18:46:51 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Leadertech
[2009.08.10 18:03:46 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\OpenOffice.org
[2009.12.13 22:12:05 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\ScanSoft
[2010.10.01 12:18:20 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Vodafone
[2010.01.25 17:25:59 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Vso
[2011.02.06 03:58:04 | 000,032,620 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
[2011.02.06 17:58:43 | 000,000,290 | -H-- | M] () -- C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2011.02.06 18:04:03 | 000,000,290 | -H-- | M] () -- C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2011.02.06 18:04:13 | 000,000,290 | -H-- | M] () -- C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job

========== Purity Check ==========



========== Custom Scans ==========


< %ALLUSERSPROFILE%\Application Data\*. >

< %ALLUSERSPROFILE%\Application Data\*.exe /s >

< %APPDATA%\*. >
[2009.08.15 17:44:14 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Adobe
[2010.01.26 12:20:13 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Ahead
[2009.08.19 13:15:44 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Amazon
[2010.05.02 20:37:27 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Apple Computer
[2009.08.10 17:33:52 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\ATI
[2009.08.10 19:52:44 | 000,000,000 | R--D | M] -- C:\Users\****\AppData\Roaming\Brother
[2009.12.26 15:09:15 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\CyberLink
[2010.06.29 17:27:07 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\DivX
[2010.02.23 14:56:40 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\DonationCoder
[2010.11.17 21:41:46 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\dvdcss
[2009.10.21 14:48:49 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Final Draft
[2010.10.01 12:53:52 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\FLEXnet
[2009.08.10 17:24:52 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Google
[2009.10.21 14:34:39 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Greyfirst
[2010.01.25 16:56:49 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\gtk-2.0
[2009.08.10 17:18:17 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Hewlett Packard
[2009.08.10 17:17:11 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Identities
[2009.12.12 17:19:38 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\InfraRecorder
[2009.08.10 17:19:21 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\InstallShield****\AppData\Roaming\Leadertech
[2009.08.15 17:44:14 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Macromedia
[2010.10.01 12:48:35 | 000,000,000 | --SD | M] -- C:\Users\****\AppData\Roaming\Microsoft
[2009.08.10 18:28:13 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Mozilla
[2009.08.10 18:03:46 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\OpenOffice.org
[2009.12.13 22:12:05 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\ScanSoft
[2011.02.06 17:46:23 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Skype
[2010.12.29 18:54:39 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Sony Corporation
[2011.01.18 21:32:44 | 000,000,000 | ---D | M] -- C:\Users\Isabel\AppData\Roaming\vlc
[2010.10.01 12:18:20 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Vodafone
[2010.01.25 17:25:59 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Vso
[2011.02.06 01:57:12 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\Winamp
[2009.11.27 11:36:14 | 000,000,000 | ---D | M] -- C:\Users\****\AppData\Roaming\WinRAR

< %APPDATA%\*.exe /s >
[2010.01.25 17:25:58 | 000,087,608 | ---- | M] () -- C:\Users\****\AppData\Roaming\inst.exe
[2009.10.21 14:46:20 | 000,027,648 | R--- | M] () -- C:\Users\****\AppData\Roaming\Microsoft\Installer\{78D62D17-D970-42DA-B8CF-5E5576293B33}\Icon78D62D171.exe
[2009.10.21 14:46:20 | 000,051,712 | R--- | M] () -- C:\Users\****\AppData\Roaming\Microsoft\Installer\{78D62D17-D970-42DA-B8CF-5E5576293B33}\Icon78D62D172.exe
[2009.10.21 14:46:19 | 000,051,712 | R--- | M] () -- C:\Users\****\AppData\Roaming\Microsoft\Installer\{78D62D17-D970-42DA-B8CF-5E5576293B33}\Icon78D62D173.exe
[2009.10.21 14:46:19 | 000,051,712 | R--- | M] () -- C:\Users\****\AppData\Roaming\Microsoft\Installer\{78D62D17-D970-42DA-B8CF-5E5576293B33}\Icon78D62D174.exe

< %SYSTEMDRIVE%\*.exe >


< MD5 for: AGP440.SYS >
[2008.01.19 08:42:25 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\SoftwareDistribution\Download\c91af43e301542f65a88d59517636d32\x86_machine.inf_31bf3856ad364e35_6.0.6001.18000_none_ba12ed3bbeb0d97a\AGP440 .sys
[2006.11.02 10:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\drivers\AGP440.sys
[2006.11.02 10:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\AGP440.sys

< MD5 for: ATAPI.SYS >
[2008.01.19 08:41:30 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\SoftwareDistribution\Download\c91af43e301542f65a88d59517636d32\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sy s
[2006.11.02 10:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=4F4FCB8B6EA06784FB6D475B7EC7300F -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
[2009.08.11 22:13:19 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=B35CFCEF838382AB6490B321C87EDF17 -- C:\Windows\System32\drivers\atapi.sys
[2009.08.11 22:13:19 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=B35CFCEF838382AB6490B321C87EDF17 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys
[2009.08.11 22:13:19 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=B35CFCEF838382AB6490B321C87EDF17 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys
[2009.08.11 22:13:18 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=E03E8C99D15D0381E02743C36AFC7C6F -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys

< MD5 for: CNGAUDIT.DLL >
[2006.11.02 10:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\System32\cngaudit.dll
[2006.11.02 10:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.0.6000.16386_none_e62d292932a96ce6\cngaudit.dll

< MD5 for: EXPLORER.EXE >
[2009.08.13 18:54:55 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=37440D09DEAE0B672A04DCCF7ABF06BE -- C:\Windows\explorer.exe
[2009.08.13 18:54:55 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=37440D09DEAE0B672A04DCCF7ABF06BE -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe
[2009.08.13 18:54:54 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_5177ca9879e978e8\explorer.exe
[2009.08.13 18:54:54 | 002,927,616 | ---- | M] (Microsoft Corporation) MD5=50BA5850147410CDE89C523AD3BC606E -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe
[2009.08.11 22:40:17 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=6D06CD98D954FE87FB2DB8108793B399 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16549_none_4fac29707cae347a\explorer.exe
[2009.08.11 22:40:17 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=BD06F0BF753BC704B653C3A50F89D362 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20668_none_501f261995dcf2cf\explorer.exe
[2009.08.13 18:54:54 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=E7156B0B74762D9DE0E66BDCDE06E5FB -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_5033cb5995cd990b\explorer.exe
[2006.11.02 10:45:07 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=FD8C53FB002217F6F888BCF6F5D7084D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16386_none_4f7de5167cd15deb\explorer.exe
[2008.01.19 08:33:10 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=FFA764631CB70A30065C12EF8E174F9F -- C:\Windows\SoftwareDistribution\Download\c91af43e301542f65a88d59517636d32\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe

< MD5 for: IASTORV.SYS >
[2008.01.19 08:42:51 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\SoftwareDistribution\Download\c91af43e301542f65a88d59517636d32\x86_iastorv.inf_31bf3856ad364e35_6.0.6001.18000_none_af11527887c7fa8f\iaStor V.sys
[2006.11.02 10:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\drivers\iaStorV.sys
[2006.11.02 10:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_37cdafa4\iaStorV.sys

< MD5 for: NETLOGON.DLL >
[2006.11.02 10:46:11 | 000,559,616 | ---- | M] (Microsoft Corporation) MD5=889A2C9F2AACCD8F64EF50AC0B3D553B -- C:\Windows\System32\netlogon.dll
[2006.11.02 10:46:11 | 000,559,616 | ---- | M] (Microsoft Corporation) MD5=889A2C9F2AACCD8F64EF50AC0B3D553B -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6000.16386_none_fb80f5473b0ed783\netlogon.dll
[2008.01.19 08:35:36 | 000,592,384 | ---- | M] (Microsoft Corporation) MD5=A8EFC0B6E75B789F7FD3BA5025D4E37F -- C:\Windows\SoftwareDistribution\Download\c91af43e301542f65a88d59517636d32\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6001.18000_none_fdb7b74337f9e857\netlogon.dll

< MD5 for: NVSTOR.SYS >
[2006.11.02 10:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\drivers\nvstor.sys
[2006.11.02 10:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_733654ff\nvstor.sys
[2008.01.19 08:42:09 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\SoftwareDistribution\Download\c91af43e301542f65a88d59517636d32\x86_nvraid.inf_31bf3856ad364e35_6.0.6001.18000_none_39dac327befea467\nvstor. sys

< MD5 for: SCECLI.DLL >
[2008.01.19 08:36:19 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=28B84EB538F7E8A0FE8B9299D591E0B9 -- C:\Windows\SoftwareDistribution\Download\c91af43e301542f65a88d59517636d32\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6001.18000_none_380de25bd91b6f12\scecli.dll
[2006.11.02 10:46:12 | 000,176,640 | ---- | M] (Microsoft Corporation) MD5=80E2839D05CA5970A86D7BE2A08BFF61 -- C:\Windows\System32\scecli.dll
[2006.11.02 10:46:12 | 000,176,640 | ---- | M] (Microsoft Corporation) MD5=80E2839D05CA5970A86D7BE2A08BFF61 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6000.16386_none_35d7205fdc305e3e\scecli.dll

< MD5 for: USER32.DLL >
[2009.08.11 21:06:25 | 000,633,856 | ---- | M] (Microsoft Corporation) MD5=9D9F061EDA75425FC67F0365E3467C86 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6000.20537_none_cbc258dc896598f1\user32.dll
[2008.01.19 08:36:46 | 000,627,200 | ---- | M] (Microsoft Corporation) MD5=B974D9F06DC7D1908E825DC201681269 -- C:\Windows\SoftwareDistribution\Download\c91af43e301542f65a88d59517636d32\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6001.18000_none_cd386c416d5c7f32\user32.dll
[2006.11.02 10:46:13 | 000,633,856 | ---- | M] (Microsoft Corporation) MD5=E698A5437B89A285ACA3FF022356810A -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6000.16386_none_cb01aa4570716e5e\user32.dll
[2009.08.11 21:06:24 | 000,633,856 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\user32.dll
[2009.08.11 21:06:24 | 000,633,856 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6000.16438_none_cb39bc5b7047127e\user32.dll

< MD5 for: USERINIT.EXE >
[2008.01.19 08:33:33 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\SoftwareDistribution\Download\c91af43e301542f65a88d59517636d32\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe
[2006.11.02 10:45:50 | 000,024,576 | ---- | M] (Microsoft Corporation) MD5=22027835939F86C3E47AD8E3FBDE3D11 -- C:\Windows\System32\userinit.exe
[2006.11.02 10:45:50 | 000,024,576 | ---- | M] (Microsoft Corporation) MD5=22027835939F86C3E47AD8E3FBDE3D11 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6000.16386_none_d9f1f819d4c4e737\userinit.exe

< MD5 for: WINLOGON.EXE >
[2006.11.02 10:45:57 | 000,308,224 | ---- | M] (Microsoft Corporation) MD5=9F75392B9128A91ABAFB044EA350BAAD -- C:\Windows\System32\winlogon.exe
[2006.11.02 10:45:57 | 000,308,224 | ---- | M] (Microsoft Corporation) MD5=9F75392B9128A91ABAFB044EA350BAAD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6000.16386_none_6d8c3f1ad8066b21\winlogon.exe
[2008.01.19 08:33:37 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\SoftwareDistribution\Download\c91af43e301542f65a88d59517636d32\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe

< MD5 for: WS2IFSL.SYS >
[2006.11.02 09:58:26 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=84620AECDCFD2A7A14E6263927D8C0ED -- C:\Windows\System32\drivers\ws2ifsl.sys
[2006.11.02 09:58:26 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=84620AECDCFD2A7A14E6263927D8C0ED -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6000.16386_none_4d4fded8cae2956d\ws2ifsl.sys
[2008.01.19 06:56:49 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=E3A3CB253C0EC2494D4A61F5E43A389C -- C:\Windows\SoftwareDistribution\Download\c91af43e301542f65a88d59517636d32\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6001.18000_none_4f86a0d4c7cda641\ws2ifsl.sys

< %systemroot%\system32\drivers\*.sys /lockedfiles >

< %systemroot%\System32\config\*.sav >
[2006.11.02 11:34:05 | 000,008,192 | ---- | M] () -- C:\Windows\System32\config\COMPONENTS.SAV
[2006.11.02 11:34:05 | 000,020,480 | ---- | M] () -- C:\Windows\System32\config\DEFAULT.SAV
[2006.11.02 11:34:05 | 000,008,192 | ---- | M] () -- C:\Windows\System32\config\SECURITY.SAV
[2006.11.02 11:34:08 | 010,133,504 | ---- | M] () -- C:\Windows\System32\config\SOFTWARE.SAV
[2006.11.02 11:34:08 | 001,826,816 | ---- | M] () -- C:\Windows\System32\config\SYSTEM.SAV

< %systemroot%\*. /mp /s >

< %systemroot%\system32\*.dll /lockedfiles >
[2007.12.18 09:51:36 | 000,368,640 | ---- | M] (Advanced Micro Devices, Inc.) Unable to obtain MD5 -- C:\Windows\System32\ATIDEMGX.dll
[2006.11.02 10:47:18 | 000,228,968 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\rsaenh.dll
[2009.08.11 21:55:30 | 000,223,232 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\SLC.dll

========== Alternate Data Streams ==========

@Alternate Data Stream - 614 bytes -> C:\Users\OTL Logfile:
--- --- ---






die Extras Txt. Datei:

OTL Logfile:
--- --- ---




Liebe Grüße

die Ratlose

ersetze in meinem script *** durch nutzernamen, sonst klappts nicht.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
PRC - C:\Users\****\AppData\Local\Temp\Dt2.exe (ComponentOne LLC)
PRC - C:\Users\****\AppData\Local\Temp\Dtz.exe (ComponentOne LLC)
O4 - HKU\S-1-5-21-3869982166-262787630-1379435648-1000..\Run: [MsnMsgr] File not found
[2011.02.06 18:04:04 | 000,000,242 | -H-- | M] () -- C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011.02.06 18:04:03 | 000,000,290 | -H-- | M] () -- C:\Windows\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2011.02.06 17:58:43 | 000,000,290 | -H-- | M] () -- C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
:Files
C:\Users\****\AppData\Local\Temp\Dtz.exe
C:\Users\****\AppData\Local\Temp\sshnas21.dll
C:\Users\****\AppData\Local\Temp\Dt2.exe
C:\Users\****\AppData\Local\Temp\Dt2.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne computer, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

Hallo Markus,

so, habe deine Anleitung 2 mal durchgeführt, weil ich an der 1. Textdatei nach dem "Fix-Prozess" gemerkt habe, dass ich scheinbar meinen Usernamen falsch eingegeben habe. Beim 1. Durchlauf hat das ganze eine Weile gedauert.
Dann habe ich nochmal das gleiche gemacht, mit berichtigtem Namen. Diesmal ging alles viel schneller. Bei beiden malen kam, nachdem der PC neu gestartet ist folgende Fehlermeldung:

"Fehler beim Laden von C:\Users\****\AppData\Local\Temp\sshnas21.dll
Das angegebene Modul wurde nicht gefunden."

Diese Dtz, Dtz2 und Dtz4 Dinger sind mir bei meiner Suche gestern auch schon im Taskmanager unter "laufende Prozesse" aufgefallen. Hab sie gegooglet aber scheinbar sind die unbekannt. Auch Highjackthis.de, kannte diese Daten nicht. Naja Ich kopiere dir beide Textdatein:


Die 1.:


All processes killed
========== OTL ==========
No active process named Dt2.exe was found!
No active process named Dtz.exe was found!
Registry value HKEY_USERS\S-1-5-21-3869982166-262787630-1379435648-1000\Software\Microsoft\Windows\CurrentVersion\Run\\MsnMsgr deleted successfully.
C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job moved successfully.
C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job moved successfully.
C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job moved successfully.
========== FILES ==========
File\Folder C:\Users\****\AppData\Local\Temp\Dtz.exe not found.
File\Folder C:\Users\****\AppData\Local\Temp\sshnas21.dll not found.
File\Folder C:\Users\****\AppData\Local\Temp\Dt2.exe not found.
File\Folder C:\Users\****\AppData\Local\Temp\Dt2.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: ****
->Flash cache emptied: 64655 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: ****
->Temp folder emptied: 14591937837 bytes
->Temporary Internet Files folder emptied: 55559712 bytes
->Java cache emptied: 1 bytes
->FireFox cache emptied: 87624582 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 74010636 bytes
RecycleBin emptied: 27698458 bytes

Total Files Cleaned = 14.150,00 mb


OTL by OldTimer - Version 3.2.20.6 log created on 02062011_190025

Files\Folders moved on Reboot...
C:\Users\****\AppData\Local\Temp\sshnas21.dll moved successfully.
File move failed. C:\Windows\temp\logishrd\LVPrcInj01.dll scheduled to be moved on reboot.

Registry entries deleted on Reboot...






Und hier die 2. Textdatei:


All processes killed
========== OTL ==========
No active process named Dt2.exe was found!
No active process named Dtz.exe was found!
Registry value HKEY_USERS\S-1-5-21-3869982166-262787630-1379435648-1000\Software\Microsoft\Windows\CurrentVersion\Run\\MsnMsgr not found.
File C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job not found.
File C:\Windows\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job not found.
File C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job not found.
========== FILES ==========
File\Folder C:\Users\****\AppData\Local\Temp\Dtz.exe not found.
File\Folder C:\Users\****\AppData\Local\Temp\sshnas21.dll not found.
File\Folder C:\Users\****\AppData\Local\Temp\Dt2.exe not found.
File\Folder C:\Users\****\AppData\Local\Temp\Dt2.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default

User: Default User

User: ****
->Flash cache emptied: 405 bytes

User: Public

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: ****
->Temp folder emptied: 22233482 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 15899250 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 109080 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 37,00 mb


OTL by OldTimer - Version 3.2.20.6 log created on 02062011_191623

Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\logishrd\LVPrcInj01.dll scheduled to be moved on reboot.

Registry entries deleted on Reboot...



Edit: Dieses MovedFiles.rar hab ich jetzt auch hochgeladen.

hatt geklappt
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

So, der Scan ist durchgelaufen und einiges hat er noch gefunden, hier die der log:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5693

Windows 6.0.6000
Internet Explorer 7.0.6000.17037

06.02.2011 20:46:53
mbam-log-2011-02-06 (20-46-53).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 225470
Laufzeit: 45 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\CE8SIIFGSU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\DD1APJEZAI (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CE8SIIFGSU (Trojan.FakeAlert) -> Value: CE8SIIFGSU -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Metropolis (Trojan.FakeAlert) -> Value: Metropolis -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NtWqIVLZEWZU (Trojan.FakeAlert) -> Value: NtWqIVLZEWZU -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\_OTL\movedfiles\02062011_190025\C_Users\Isabel\AppData\Local\Temp\sshnas21.dll (Trojan.Agent) -> Quarantined and deleted successfully.





Die Werbung und das komische Lachen sind bis jetzt noch nicht wieder aufgetreten, ich hoffe das bleibt so. War / ist mein Notebook denn sehr verseucht gewesen? Ich dachte immer durch Avira ist er gut geschützt und das date ich ja auch immer ab. Wie kann man denn manuel Windows uptdaten und auf den neusten Stand bringen, damit ich nicht so viele Sicherheitslücken habe?

UND

Ist jetzt alles wieder gut?



Vielen vielen Dank auf jeden Fall schonmal für deine Hilfe. Ich hatte schon totale Panik, dass ich jetzt alles komplett neu aufsetzen muss!

Microsoft Windows Update
hier unter optionale updates mit dem servicepack 1 anfangen, dann 2 und dann wichtige updates aufspielen.

Wenn ich auf deinen Update Link über Firefox klicke, kommt nur ein Screenshot, der mir erklärt wie ich über die Systemsteuerung updaten kann. Da hab ich auch eine Liste gesehen und fast jeden Tag wird upgadetet, also warum meintest du am Anfang, dass Windows bei mir nicht auf dem neusten Stand ist? Ich hab allerdings auch nur "wichtige" Updates in der Liste, keine Optionalen. Wie finde ich die? Unter Windows Update "Rufen Sie Updates für weitere Windowsprodukte ab"? Wenn ich da drauf klicke, öffnet sich der Internet Explorer (dem stehe ich jetzt skeptisch gegenüber ;-)). Ist das okay so, oder bringt der mir mit einer Aktivität nur neue Trojaner ins Haus?

Und noch eine Frage: Ist mein System jetzt wieder in Ordnung? War der Befall gefährlich und wie sieht's mit Onlinebanking aus?

Und ich benötige oft Externe Festplatten, die ich auch in letzter Zeit mal angeschlossen hab, könnten die jetzt auch infiziert sein?

öffne mal meinen link über den internet explorer, dort sollte es dann optionale updates geben. und da sollten die servicepacks sein.

Alles klar. Also erstmal vielen, vielen, vielen Dank für deine Hilfe!!!

Mich wundert nur gerade etwas, dass du nicht auf meine Frage wie sicher mein System denn jetzt wieder ist oder ob es eventuell doch schaden genommen hat, antwortest. Dürft ihr das hier nicht, weil man ohne das System neu aufzusetzen nie sicher sagen kann, ob alles weg ist?

naja noch ist es nicht sicher. dir fehlen 2 servicepacks. sieht aber soweit gut aus, sorry hatte vergessen zu beantworten.

Hallo Markus,

Wichtig:

habe die Servicepacks nun installiert und beim täglichen Scan hat Avira jetzt folgende Meldung gemacht:

Beim Suchlauf wurde(n) folgende Funde gemacht:


Objekt: MovedFiles.rar; TR/Renos.AL.1

Dann soll man eine durchführende Aktion ausfählen, zur Auswahl "Reaprieren" oder "Abbrechen".

Der Movedfiles ordner ist ja von dem anti-maleware programm.. also fehlermeldung von avira, weil in der textdatei der name von dem sshnas21.dll' noch steht oder wie kann man das deuten? Oder ist dieses Viech immer noch da? w
Wo soll ich drauf klicken? Abbrechen oder reparieren?

LG

Die Ratlose

Ich habe jetzt erstmal auf "Abbrechen gedrückt". Habe mir den betroffenen Ordner angeguckt, der ist leer, 0 Bytes. Also Fehlalarm, weil noch der alte Pfad aufgeführt ist?!

Hier ist der Avira Report:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 8. Februar 2011 19:54

Es wird nach 2461137 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (Service Pack 1) [6.0.6001]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : ISABEL-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 16:24:26
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 16:24:26
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 15:04:21
VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 15:04:21
VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 15:04:21
VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 15:04:21
VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 15:04:21
VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 15:04:22
VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 15:04:22
VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 15:04:22
VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 15:04:22
VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 15:04:22
VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 15:04:23
VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 15:04:23
VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 22:14:30
VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 13:03:28
VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 13:03:29
VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 13:03:30
VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 14:13:35
VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 22:35:53
VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 22:35:56
VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 16:27:14
VBASE021.VDF : 7.11.1.65 140800 Bytes 10.01.2011 18:21:38
VBASE022.VDF : 7.11.1.87 225280 Bytes 11.01.2011 20:07:32
VBASE023.VDF : 7.11.1.124 125440 Bytes 14.01.2011 14:26:25
VBASE024.VDF : 7.11.1.155 132096 Bytes 17.01.2011 18:49:34
VBASE025.VDF : 7.11.1.189 451072 Bytes 20.01.2011 18:50:25
VBASE026.VDF : 7.11.1.230 138752 Bytes 24.01.2011 17:32:10
VBASE027.VDF : 7.11.2.12 164352 Bytes 27.01.2011 18:31:43
VBASE028.VDF : 7.11.2.43 178176 Bytes 01.02.2011 19:14:33
VBASE029.VDF : 7.11.2.78 206336 Bytes 04.02.2011 19:14:28
VBASE030.VDF : 7.11.2.79 2048 Bytes 04.02.2011 19:14:28
VBASE031.VDF : 7.11.2.92 66560 Bytes 07.02.2011 19:14:31
Engineversion : 8.2.4.162
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 21:13:37
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 31.01.2011 07:25:21
AESCN.DLL : 8.1.7.2 127349 Bytes 13.12.2010 15:04:08
AESBX.DLL : 8.1.3.2 254324 Bytes 13.12.2010 15:04:10
AERDL.DLL : 8.1.9.2 635252 Bytes 21.09.2010 15:56:04
AEPACK.DLL : 8.2.4.9 512374 Bytes 31.01.2011 07:25:20
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 31.01.2011 07:25:20
AEHEUR.DLL : 8.1.2.73 3207541 Bytes 04.02.2011 19:14:30
AEHELP.DLL : 8.1.16.1 246134 Bytes 04.02.2011 19:14:28
AEGEN.DLL : 8.1.5.2 397683 Bytes 20.01.2011 18:50:35
AEEMU.DLL : 8.1.3.0 393589 Bytes 13.12.2010 15:03:57
AECORE.DLL : 8.1.19.2 196983 Bytes 20.01.2011 18:50:31
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 18:44:28
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 12.09.2009 14:34:35
AVREP.DLL : 8.0.0.7 159784 Bytes 20.02.2010 12:06:25
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 11.08.2009 20:11:26
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 16:24:25

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\alldiscs.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 8. Februar 2011 19:54

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'COCIManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CCC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Com4QLBEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqwmiex.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolCtrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MobileConnect.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LWS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MOM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pptd40nt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBHGui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QLBCTRL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleQuickSearchBox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VMCService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMBDeviceInfoProvider.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InCDsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AEADISRV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlanext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '75' Prozesse mit '75' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '45' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Program Files\OpenOffice.org 3\Basis\program\python-core-2.6.1\lib\test\testtar.tar
[WARNUNG] Interner Fehler!
[WARNUNG] Interner Fehler!
C:\_OTL\MovedFiles.rar
[0] Archivtyp: RAR
--> MovedFiles\02062011_190025\C_Users\****\AppData\Local\Temp\sshnas21.dll
[FUND] Ist das Trojanische Pferd TR/Renos.AL.1
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\_OTL\MovedFiles.rar
[WARNUNG] Die Datei wurde ignoriert.


Ende des Suchlaufs: Mittwoch, 9. Februar 2011 01:05
Benötigte Zeit: 1:11:39 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

21151 Verzeichnisse wurden überprüft
262349 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
262346 Dateien ohne Befall
8431 Archive wurden durchsucht
4 Warnungen
2 Hinweise

moved files löschen wir später, warum ist servicepack 2 noch nicht drauf?