Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Banker.Bancos.orq verhindert das Öffnen von Programmen (https://www.trojaner-board.de/86554-tr-banker-bancos-orq-verhindert-offnen-programmen.html)

Ela9 29.05.2010 11:11

TR/Banker.Bancos.orq verhindert das Öffnen von Programmen
 
Hallo an alle!

Bei mir hat sich der Trojaner TR/Banker.Bancos.orq in den Windows Systemdateien (Windows XP) festgesetzt und verhindert das Öffnen von Programmen sowie den ZUgriuff aufs Internet.

Ich kann momentan leider auch kein Logfile von Hijackthis erstellen, weil ich das Programm nicht öffnen kann. Aber ich habe dafür einen Scan mit Antivir durchgeführt


Ich wäre füre Hilfe sehr dankbar, weil ich momentan fast nichts mit dem PC machen kann und ichd en Trojaner unbedingt loswerden will!


GLG,

Ela


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 29. Mai 2010 10:17

Es wird nach 2170719 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : FSC111216083001

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 12:27:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 12:27:27
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 12:27:28
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:28:02
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 19:04:26
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 17:23:32
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 09:07:09
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 09:07:10
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 09:07:10
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 09:07:10
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 09:07:10
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 09:07:10
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 09:07:10
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 09:07:10
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 09:07:10
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 09:44:27
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 09:44:32
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 09:44:35
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 16:19:19
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 16:19:23
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 20:54:18
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 07:21:50
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 07:22:03
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 08:10:35
VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 09:29:13
VBASE024.VDF : 7.10.7.119 177664 Bytes 17.05.2010 20:51:13
VBASE025.VDF : 7.10.7.139 129024 Bytes 19.05.2010 20:51:14
VBASE026.VDF : 7.10.7.157 145920 Bytes 21.05.2010 09:53:04
VBASE027.VDF : 7.10.7.173 147456 Bytes 25.05.2010 15:16:09
VBASE028.VDF : 7.10.7.189 120320 Bytes 27.05.2010 08:15:16
VBASE029.VDF : 7.10.7.190 2048 Bytes 27.05.2010 08:15:16
VBASE030.VDF : 7.10.7.191 2048 Bytes 27.05.2010 08:15:16
VBASE031.VDF : 7.10.7.195 65536 Bytes 28.05.2010 08:15:16
Engineversion : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 12:17:37
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 13.05.2010 09:29:12
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 09:29:10
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 12:17:37
AERDL.DLL : 8.1.4.6 541043 Bytes 16.04.2010 09:07:25
AEPACK.DLL : 8.2.1.1 426358 Bytes 20.03.2010 10:20:06
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 13.05.2010 09:29:09
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 06.05.2010 07:21:56
AEHELP.DLL : 8.1.11.3 242039 Bytes 02.04.2010 17:27:05
AEGEN.DLL : 8.1.3.9 377203 Bytes 13.05.2010 09:29:09
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 12:17:35
AECORE.DLL : 8.1.15.3 192886 Bytes 13.05.2010 09:29:08
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 12:17:35
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 13:13:31
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 17:31:56
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 28.04.2009 12:28:16
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 12:23:37
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 12:27:26

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Samstag, 29. Mai 2010 10:17

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\sdra64.exe
[INFO] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Banker.Bancos.orq
[INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c72d08e.qua erstellt ( QUARANTÄNE )
c:\windows\system32\lowsec\local.ds
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c63d099.qua erstellt ( QUARANTÄNE )
c:\windows\system32\lowsec\user.ds
[INFO] Die Datei ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c65d09d.qua erstellt ( QUARANTÄNE )
c:\windows\system32\lowsec
[INFO] Das Verzeichnis ist nicht sichtbar.
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4c77d099.qua erstellt ( QUARANTÄNE )
Es wurden '51813' Objekte überprüft, '4' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'neytdy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WirelessSelector.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZQKPICK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OnlineFestplatte.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TouchPad_HotKey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:

Die Registry wurde durchsucht ( '66' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Ela\Desktop\vlc-0.9.9-win32.exe
[0] Archivtyp: NSIS
--> ProgramFilesDir/libvlccore.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.


Ende des Suchlaufs: Samstag, 29. Mai 2010 11:04
Benötigte Zeit: 47:38 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

8034 Verzeichnisse wurden überprüft
274569 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
274566 Dateien ohne Befall
7554 Archive wurden durchsucht
4 Warnungen
6 Hinweise
51813 Objekte wurden beim Rootkitscan durchsucht
4 Versteckte Objekte wurden gefunden

MalwareHero 29.05.2010 11:39

Zitat:

Zitat von Ela9 (Beitrag 529083)
Hallo an alle!

Bei mir hat sich der Trojaner TR/Banker.Bancos.orq in den Windows Systemdateien (Windows XP) festgesetzt und verhindert das Öffnen von Programmen sowie den ZUgriuff aufs Internet.

Versuch du mal zuerst dat: Gehe in Internetoptionen und da auf Verbindungen und da auf Lan-einstellungen und dann abkreuzen Proxy und ANkreuzen automatische suche der Verbindungen, dann uf ok klicken. Geht das internet jetzt?

Versuche sonst du mal in den abgesicherten Modus mit Netzwerkverbindung zu booten und dir da dann den Hijackthis runterzuladen und Malwarebytes und zu installieren..
Abgesicherter Modus ? Wikipedia

lg.

Ela9 29.05.2010 14:56

@MalwareHero

Hab Windows im abgesicherten Modus gestartet und Malwarebytes runtergeladen und einen Systemscan durchgeführt. Hab auch versucht HijackThis runterzuladen, aber es ist immer ine Windowsmeldung gekommen, dass der ystemadministrator das nicht zulässt. Hab Hijackthis schon vorher am PC installiert gehabt und möglicherweise ist das Programm infiziert. soll ich stattdessen ein anderes Programm runterladen?

Glg,

Ela
Malwarebytes Logfile:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4153

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

29.05.2010 14:13:43
mbam-log-2010-05-29 (14-13-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 182235
Laufzeit: 29 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> No action taken.

Ela9 29.05.2010 15:04

@MalwareHero

Ich hab jetzt Windows im abgesicherten Modus gestartet und Malwarebytes heruntergeladen. das Logfile findest du weiter unten. Allerdings konnte ich Hijackthis von PonyFile.de nicht herunterladen. Es ist immer ine Meldung gekommen, dass der Systemadministrator das nicht erlaubt (das Installieren vermute ich). Soll ich stattdessen ein anderes Programm herunterladen?

Glg,

Ela


Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4153

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

29.05.2010 14:13:43
mbam-log-2010-05-29 (14-13-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 182235
Laufzeit: 29 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> No action taken.

MalwareHero 29.05.2010 15:19

Zitat:

Zitat von Ela9 (Beitrag 529114)
@MalwareHero

Ich hab jetzt Windows im abgesicherten Modus gestartet und Malwarebytes heruntergeladen. das Logfile findest du weiter unten.

Bitte die Fünde von Malwarebyte löschen lassen! Ankreuzen und entferne Auswahl.

Poste ein OTL Log.
http://www.trojaner-board.de/85104-o...-oldtimer.html

Ela9 29.05.2010 16:01

@MalwareHero

Soll ich wirklich alle Dateien, die Malwarebytes gefunden hat löschen. Nachdem der Suchlauf beendet ist, kommt nämlicvh eine ganze Liste von Programmen und die sind alle bereits angekreuzt. Es sind auch Windows Systemdateien darunter. Ich will nur sicher sein, dass ich alle diese bereits markierten Programme löschen kann, denn wenn ich etwas Falsches lösche geht womöglich gar nix mehr.

lg,

Ela

MalwareHero 29.05.2010 16:06

Zitat:

Zitat von Ela9 (Beitrag 529127)
Soll ich wirklich alle Dateien, die Malwarebytes gefunden hat löschen. Nachdem der Suchlauf beendet ist, kommt nämlicvh eine ganze Liste von Programmen und die sind alle bereits angekreuzt.

Ja! Alle fünde von malwarebytes löschen! Anleitung:
Will man die Malware direkt entfernen, (ja, das wollen wir!) achtet man darauf, dass die Häkchen gesetzt sind und wählt 'Entferne Auswahl'.

Das sind alles Malware Dateien und die müssen wir löschen, sonst kommen wir nicht weiter! Wenn du nicht willst dann geht es für dich hier weiter:
http://www.trojaner-board.de/51262-a...sicherung.html
du hast nämlich ein backdoor auf dem system.

MalwareHero 29.05.2010 16:14

Zitat:

Zitat von Ela9 (Beitrag 529127)
Es sind auch Windows Systemdateien darunter.

nee, das sind malware dateien die sich im windows system 32 ordner reininstalliert haben, die haben aber da nix zu suchen und gehören nicht zum system oder zu den betriebssystem dateien, kene angst haben...

Ela9 29.05.2010 16:43

Okay.... Ich hab jetzt die Dateien gelöscht die Malwarebytes gefunden hat (auch aus der Quarantäne) und neu gestartet. dann hab ich einen Quickscan gemacht und das Programm hat nichts Böses mehr gefunden. dann hab ich es jetzt doch geschafft HijackThis runterzuladen und ein Logfile zu erstellen (siehe unten).

Ich glaub Firefox ist irgendwie infoziert, da er sich nicht öffnen lässt. ES kommt eine Meldung, dass er mal abgestürzt ist, aber er geht nicht neustarten.

lg,
Ela

HiJackthis Logfile:
Code:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:37:28, on 29.05.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\aon\Onlinefestplatte\OnlineFestplatte.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\FSC\Wireless Utility\WirelessSelector.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\programme\winamp toolbar\WinampTbServer.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria TA AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Internet Explorer Plugin - {6A79CF97-91F1-40BC-8CAB-44184B496B6D} - zcoyd71.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [TouchPadHotKey] C:\Programme\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OnlineFestplatte] C:\Programme\aon\Onlinefestplatte\OnlineFestplatte.exe /tray
O4 - HKCU\..\Run: [{1DE304C8-D94A-63F7-C37C-575497E51F16}] "C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Edci\saycz.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: WirelessSelector.lnk = ?
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\Office\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Office\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\Office\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - hxxp://support.f-secure.com/ols/fscax.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 8249 bytes

--- --- ---

MalwareHero 29.05.2010 17:23

Zitat:

Zitat von Ela9 (Beitrag 529138)
Okay.... Ich hab jetzt die Dateien gelöscht die Malwarebytes gefunden hat (auch aus der Quarantäne) und neu gestartet. dann hab ich einen Quickscan gemacht und das Programm hat nichts Böses mehr gefunden. dann hab ich es jetzt doch geschafft HijackThis runterzuladen und ein Logfile zu erstellen (siehe unten).

--- --- ---

sehr gut. Bitte OTL log hier reinstellen.
http://www.trojaner-board.de/85104-o...-oldtimer.html

Ela9 29.05.2010 22:05

Hier nun die 2 OTL logs:

OTL Logfile:
Code:

OTL logfile created on: 29.05.2010 22:58:17 - Run 1
OTL by OldTimer - Version 3.2.5.1    Folder = C:\Dokumente und Einstellungen\Ela\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
765,00 Mb Total Physical Memory | 341,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 1152 2304 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 44,83 Gb Free Space | 60,16% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: FSC111216083001
Current User Name: Ela
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Ela\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, S.L.)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Winamp\winampa.exe ()
PRC - c:\Programme\Winamp Toolbar\winampTbServer.exe (AOL LLC.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\aon\OnlineFestplatte\OnlineFestplatte.exe (Telekom Austria TA AG)
PRC - C:\Programme\FSC\Wireless Utility\WirelessSelector.exe (ITE Tech Inc.)
PRC - C:\Programme\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe ()
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Ela\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\netdixco.dll ()
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (amdagp) -- C:\WINDOWS\system32\DRIVERS\amdagp.sys (Advanced Micro Devices, Inc.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (SiSkp) -- C:\WINDOWS\system32\drivers\srvkp.sys (Silicon Integrated Systems Corporation)
DRV - (SiS315) -- C:\WINDOWS\system32\drivers\sisgrp.sys (Silicon Integrated Systems Corporation)
DRV - (zntport) -- C:\WINDOWS\system32\drivers\zntport.sys (Zeal SoftStudio)
DRV - (AR5211) -- C:\WINDOWS\system32\drivers\ar5211.sys (Atheros Communications, Inc.)
DRV - (SiSGbeXP) -- C:\WINDOWS\system32\drivers\SiSGbeXP.sys (Silicon Integrated Systems Corp.)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (iaStor) -- C:\WINDOWS\system32\DRIVERS\iaStor.sys (Intel Corporation)
DRV - (S3SavageNB) -- C:\WINDOWS\system32\drivers\s3gnbm.sys (S3 Graphics, Inc.)
DRV - (CmdIde) -- C:\WINDOWS\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.)
DRV - (Sparrow) -- C:\WINDOWS\system32\DRIVERS\sparrow.sys (Adaptec, Inc.)
DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic)
DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic)
DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic)
DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.)
DRV - (ultra) -- C:\WINDOWS\system32\DRIVERS\ultra.sys (Promise Technology, Inc.)
DRV - (ql12160) -- C:\WINDOWS\system32\DRIVERS\ql12160.sys (QLogic Corporation)
DRV - (ql1080) -- C:\WINDOWS\system32\DRIVERS\ql1080.sys (QLogic Corporation)
DRV - (ql1280) -- C:\WINDOWS\system32\DRIVERS\ql1280.sys (QLogic Corporation)
DRV - (dac2w2k) -- C:\WINDOWS\system32\DRIVERS\dac2w2k.sys (Mylex Corporation)
DRV - (mraid35x) -- C:\WINDOWS\system32\DRIVERS\mraid35x.sys (American Megatrends Inc.)
DRV - (asc) -- C:\WINDOWS\system32\DRIVERS\asc.sys (Advanced System Products, Inc.)
DRV - (asc3550) -- C:\WINDOWS\system32\DRIVERS\asc3550.sys (Advanced System Products, Inc.)
DRV - (AliIde) -- C:\WINDOWS\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKCU\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = :
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.defaulturl: "hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q="
FF - prefs.js..browser.search.selectedEngine: "GoogIe"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.at"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {0b38152b-1b20-484d-a11f-5e04a9b0661f}:5.5.1.1
FF - prefs.js..keyword.URL: "hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=ItZjQiVs&q="
 
 
FF - HKLM\software\mozilla\Firefox\extensions\\{3112ca9c-de6d-4884-a869-9855de68056c}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c} [2009.07.12 12:53:49 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.03.31 15:30:40 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.03.31 15:30:39 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.17\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.02.09 10:47:35 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.17\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.02.09 10:47:35 | 000,000,000 | ---D | M]
 
[2008.09.27 13:17:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Extensions
[2010.05.29 13:45:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Firefox\Profiles\gsz7ahuy.default\extensions
[2008.10.21 11:59:40 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Firefox\Profiles\gsz7ahuy.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
[2010.04.28 20:33:14 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Firefox\Profiles\gsz7ahuy.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010.05.23 19:28:07 | 000,000,961 | ---- | M] () -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Firefox\Profiles\gsz7ahuy.default\searchplugins\icqplugin-1.xml
[2008.07.10 13:58:44 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Firefox\Profiles\gsz7ahuy.default\searchplugins\icqplugin.xml
[2008.10.21 11:59:50 | 000,001,196 | ---- | M] () -- C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Mozilla\Firefox\Profiles\gsz7ahuy.default\searchplugins\winamp-search.xml
[2010.05.29 13:45:55 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.01.20 18:14:04 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.20 18:14:04 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.05.28 14:13:04 | 000,001,532 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\google-com.xml
[2010.01.20 18:14:04 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.20 18:14:04 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.20 18:14:04 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.05.29 10:14:41 | 000,007,036 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: 127.0.0.1 99.189.54
O1 - Hosts: 127.0.0.1 99.189.52
O1 - Hosts: 127.0.0.1 99.14.103
O1 - Hosts: 127.0.0.1 98.223.73
O1 - Hosts: 127.0.0.1 97.80.137
O1 - Hosts: 127.0.0.1 95.134.16
O1 - Hosts: 127.0.0.1 95.133.8.
O1 - Hosts: 127.0.0.1 95.133.23
O1 - Hosts: 127.0.0.1 95.133.23
O1 - Hosts: 127.0.0.1 95.133.14
O1 - Hosts: 127.0.0.1 95.133.11
O1 - Hosts: 127.0.0.1 95.105.17
O1 - Hosts: 127.0.0.1 94.53.2.1
O1 - Hosts: 127.0.0.1 94.23.201
O1 - Hosts: 127.0.0.1 94.179.55
O1 - Hosts: 127.0.0.1 94.179.48
O1 - Hosts: 127.0.0.1 94.179.19
O1 - Hosts: 127.0.0.1 94.179.11
O1 - Hosts: 127.0.0.1 94.178.65
O1 - Hosts: 127.0.0.1 93.39.197
O1 - Hosts: 127.0.0.1 93.186.17
O1 - Hosts: 127.0.0.1 93.136.83
O1 - Hosts: 127.0.0.1 93.112.91
O1 - Hosts: 127.0.0.1 92.86.197
O1 - Hosts: 272 more lines...
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O2 - BHO: (Internet Explorer Plugin) - {6A79CF97-91F1-40BC-8CAB-44184B496B6D} -  File not found
O3 - HKLM\..\Toolbar: (Easy-WebPrint) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll ()
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll (AOL LLC.)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE (CANON INC.)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [SiSPower] C:\WINDOWS\System32\SiSPower.dll (Silicon Integrated Systems Corporation)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [TouchPadHotKey] C:\Programme\FSC\TouchPad HotKey Utility\TouchPad_HotKey.exe ()
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe ()
O4 - HKCU..\Run: [{1DE304C8-D94A-63F7-C37C-575497E51F16}] C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Edci\saycz.exe ()
O4 - HKCU..\Run: [OnlineFestplatte] C:\Programme\aon\Onlinefestplatte\OnlineFestplatte.exe (Telekom Austria TA AG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, S.L.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WirelessSelector.lnk = C:\Programme\FSC\Wireless Utility\WirelessSelector.exe (ITE Tech Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: _NoDriveTypeAutoRun = 95
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html ()
O8 - Extra context menu item: Easy-WebPrint - Drucken - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Easy-WebPrint - Vorschau - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - C:\Programme\Canon\Easy-WebPrint\Resource.dll ()
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} hxxp://support.f-secure.com/ols/fscax.cab (F-Secure Online Scanner 3.3)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.138
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Ela\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Ela\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.07.24 19:03:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.05.29 22:57:21 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Ela\Desktop\OTL.exe
[2010.05.29 13:35:02 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.05.29 22:57:26 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Ela\Desktop\OTL.exe
[2010.05.29 22:49:13 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.05.29 22:48:45 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.05.29 22:48:43 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.05.29 22:48:41 | 802,336,768 | -HS- | M] () -- C:\hiberfil.sys
[2010.05.29 18:01:49 | 003,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\Ela\NTUSER.DAT
[2010.05.29 18:01:49 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Ela\ntuser.ini
[2010.05.29 17:34:12 | 000,001,980 | ---- | M] () -- C:\Dokumente und Einstellungen\Ela\Desktop\HiJackThis.lnk
[2010.05.29 17:29:02 | 004,566,514 | -H-- | M] () -- C:\Dokumente und Einstellungen\Ela\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.05.26 11:50:20 | 000,002,235 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2010.05.12 17:03:05 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.05.11 09:37:10 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.05.29 17:34:12 | 000,001,980 | ---- | C] () -- C:\Dokumente und Einstellungen\Ela\Desktop\HiJackThis.lnk
[2010.05.29 17:17:50 | 802,336,768 | -HS- | C] () -- C:\hiberfil.sys
[2009.03.24 23:12:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2008.11.24 17:18:53 | 000,000,036 | -H-- | C] () -- C:\WINDOWS\System32\swk.ini
[2008.10.25 14:16:31 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.09.27 13:51:10 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL
[2008.01.30 17:29:07 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2007.07.24 20:01:20 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2007.07.24 18:46:43 | 000,001,052 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2007.07.24 18:46:27 | 000,755,200 | ---- | C] () -- C:\WINDOWS\System32\ir50_32.dll
[2007.07.24 18:46:27 | 000,338,432 | ---- | C] () -- C:\WINDOWS\System32\ir41_qcx.dll
[2007.07.24 18:46:27 | 000,200,192 | ---- | C] () -- C:\WINDOWS\System32\ir50_qc.dll
[2007.07.24 18:46:27 | 000,183,808 | ---- | C] () -- C:\WINDOWS\System32\ir50_qcx.dll
[2007.07.24 18:46:27 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\ir41_qc.dll
[2007.07.24 18:45:59 | 000,162,868 | ---- | C] () -- C:\WINDOWS\System32\netdixco.dll
< End of report >

--- --- ---

OTL Logfile:
Code:

OTL Extras logfile created on: 29.05.2010 22:58:17 - Run 1
OTL by OldTimer - Version 3.2.5.1    Folder = C:\Dokumente und Einstellungen\Ela\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
765,00 Mb Total Physical Memory | 341,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 1152 2304 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 44,83 Gb Free Space | 60,16% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: FSC111216083001
Current User Name: Ela
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\Office\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Office\Office12\OUTLOOK.EXE" = C:\Programme\Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\WINDOWS\Temp\Installer.exe" = C:\WINDOWS\Temp\Installer.exe:*:Enabled:Installer -- File not found
"C:\Programme\aon\aonInstaller\Installer.exe" = C:\Programme\aon\aonInstaller\Installer.exe:*:Enabled:Installer -- File not found
"C:\Programme\Trillian\trillian.exe" = C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios)
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)
"C:\Programme\Gemeinsame Dateien\Ahead\Nero Web\SetupX.exe" = C:\Programme\Gemeinsame Dateien\Ahead\Nero Web\SetupX.exe:*:Enabled:Nero ProductSetup -- (Nero AG)
"C:\Programme\Office\Office12\ONENOTE.EXE" = C:\Programme\Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote -- (Microsoft Corporation)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{003CD4FD-DB3E-4D12-9A34-8C00FA8A680F}" = WirelessControl
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1ED31028-6D65-4CFD-AD03-8E484A052FE7}" = aonUpdate
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 13
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8
"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6B7FB3C4-E71B-478D-9E15-5AE97EAD67B8}" = aonFTP
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7CC7C026-F81D-4405-9639-B157B7480D73}" = Generic Wireless LAN Driver
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-0031-0000-0000-0000000FF1CE}" = Microsoft Office Professional Hybrid 2007
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.3 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240B8}" = WinZip 12.1
"{D34D82E0-4600-407B-9478-8506C1DD1031}" = Nero 7 Essentials
"{DB457913-028D-460E-BB4C-D9A6369752CA}" = TouchPad HotKey Utility
"{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F439D7AF-03F3-4F8E-AEC4-571BFE977C61}" = iTunes
"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"aonFTP" = aonFTP
"aonUpdate" = aonUpdate
"Aspell German Dictionary_is1" = Aspell German Dictionary-0.50-2
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon Setup Utility 2.0" = Canon Setup Utility 2.0
"CANONBJ_Deinstall_CNMCP78.DLL" = Canon iP4200
"CCleaner" = CCleaner
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Easy-PhotoPrint" = Canon Utilities Easy-PhotoPrint
"Easy-PrintToolBox" = Canon Utilities Easy-PrintToolBox
"Easy-WebPrint" = Easy-WebPrint
"GNU Aspell_is1" = GNU Aspell 0.50-3
"GTK 2.0" = GTK+ Runtime 2.14.7 rev a (nur entfernen)
"HijackThis" = HijackThis 2.0.2
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InterActual Player" = InterActual Player
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Mozilla Firefox (3.5.9)" = Mozilla Firefox (3.5.9)
"Mozilla Thunderbird (2.0.0.17)" = Mozilla Thunderbird (2.0.0.17)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Pidgin" = Pidgin
"PROHYBRIDR" = 2007 Microsoft Office system
"RealPlayer 6.0" = RealPlayer
"ST6UNST #1" = FreeDVD Codec Installer Version 1.0
"ST6UNST #2" = BlueShot 1.1.0
"SuperDVD Player_is1" = SuperDVD Player 5.0
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Trillian" = Trillian
"VLC media player" = VLC media player 0.9.9
"Winamp" = Winamp
"Winamp Toolbar" = Winamp Toolbar for Internet Explorer
"Winamp Toolbar for Firefox" = Winamp Toolbar for Firefox
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"OnlineFestplatte" = aon Online Festplatte (entfernen)
"uTorrent" = µTorrent
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 14.05.2010 10:21:54 | Computer Name = FSC111216083001 | Source = ESENT | ID = 490
Description = svchost (1096) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 16.05.2010 02:01:56 | Computer Name = FSC111216083001 | Source = ESENT | ID = 490
Description = svchost (1100) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 20.05.2010 16:49:29 | Computer Name = FSC111216083001 | Source = ESENT | ID = 490
Description = svchost (1092) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 29.05.2010 07:39:29 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HiJackThis.msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
Error - 29.05.2010 07:39:43 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HiJackThis.msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
Error - 29.05.2010 07:40:43 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HiJackThis(2).msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
Error - 29.05.2010 07:40:51 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HiJackThis(2).msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
Error - 29.05.2010 07:40:57 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HiJackThis.msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
Error - 29.05.2010 08:15:13 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HiJackThis(3).msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
Error - 29.05.2010 08:15:47 | Computer Name = FSC111216083001 | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Ela\Eigene Dateien\Downloads\HijackThis(4).msi
 ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie für Softwareeinschränkungen
 nicht zugelassen. Das Objekt ist nicht vertrauenswürdig.
 
[ System Events ]
Error - 14.05.2010 08:53:33 | Computer Name = FSC111216083001 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Kompatibilität für schnelle Benutzerumschaltung" ist vom
 Dienst "Terminaldienste" abhängig, der aufgrund folgenden Fehlers nicht gestartet
 wurde:  %%230
 
Error - 14.05.2010 08:53:33 | Computer Name = FSC111216083001 | Source = Service Control Manager | ID = 7031
Description = Der Dienst "DCOM-Server-Prozessstart" wurde unerwartet beendet. Dies
 ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden
 durchgeführt: Starten Sie den Computer neu..
 
Error - 16.05.2010 04:42:10 | Computer Name = FSC111216083001 | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 10.0.0.2 über die  Netzwerkkarte
 mit der Netzwerkadresse 00C0A8FE780C ist verloren gegangen.
 
Error - 29.05.2010 07:35:31 | Computer Name = FSC111216083001 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 29.05.2010 07:36:43 | Computer Name = FSC111216083001 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  avgio  avipbb  Fips  intelppm  ssmdrv
 
Error - 29.05.2010 08:20:15 | Computer Name = FSC111216083001 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 29.05.2010 09:48:37 | Computer Name = FSC111216083001 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 29.05.2010 09:49:48 | Computer Name = FSC111216083001 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  avgio  avipbb  Fips  intelppm  ssmdrv
 
Error - 29.05.2010 11:16:58 | Computer Name = FSC111216083001 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 29.05.2010 11:18:22 | Computer Name = FSC111216083001 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  Pcmcia
 
 
< End of report >

--- --- ---

MalwareHero 30.05.2010 09:51

Zitat:

Zitat von Ela9 (Beitrag 529158)
Hier nun die 2 OTL logs:

du hast die logs 2x gepostet, 1x reicht :-)

OTL Fix:

* Schliesse alle Programme und
starte das Programm OTL.
* Kopiere den Inhalt im Codefenster (siehe unten) in die Textbox.

Code:

Zitat:

:OTL
IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = :
O2 - BHO: (Internet Explorer Plugin) - {6A79CF97-91F1-40BC-8CAB-44184B496B6D} - File not found
O4 - HKCU..\Run: [{1DE304C8-D94A-63F7-C37C-575497E51F16}] C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Edci\saycz.exe ()
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)

:files
C:\WINDOWS\Temp\Installer.exe
C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Edci\saycz.exe

:Commands
[purity]
[resethosts]
[emptytemp]
[EMPTYFLASH]

* Klicke auf den Run Fix Button.
* OTL kann den PC neustarten. Bitte das zulassen.
* Log posten, (wird auf C:\ gespeichert)

.........................................

Aktiviere deinen Firewall!
1. Klicke auf Start und auf Ausführen, geb in das Feld ein Firewall.cpl und klicke auf OK.
2. Klicke auf der Registerkarte Allgemein auf Aktiv (empfohlen).
3. Klicke auf OK.
> gehe auf "Erweitert" und unten bei Standardeinstellungen klicke auf "Wiederherstellen" klicke ok.

VirusTotal Check:
Diese Datei bei Virus Total hochladen und checken lassen:
http://www.virustotal.com/de/ wenn die scanner anschlagen poste das log.

Zitat:

C:\WINDOWS\system32\netdixco.dll
> Rootkit Scan mit RootRepeal
Download:
http://ad13.geekstogo.com/RootRepeal.zip

Entpacken und doppelklick auf rootrepeal.exe. Suche und gehe auf Report unten im Fenster und klicke drauf. Klicke Scan > Kreuze alle Scankästchen an > kreuze alle Festplatten an > klicke ok. Das log öffnet sich nach dem scan, kopiere es hier rein.

Scan mit Norman AntiMalware:

Hier das Tool downloaden:
Norman | Norman Malware Cleaner
(Download now)
Als Administrator ausführen, computer scannen, das log, das während dem scan auf deinem Desktop abkopiert wird, bitte posten.
Geduldig sein, der scan ist gründlich und dauert 1-2 stunden.

- Deinstalliere:
Adobe Reader 8.00
Java.


---------

Ela9 30.05.2010 13:57

@MalwareHero

Hier nun das LOgfile von OTL. Und sorry nochmal, dass ich vorher was 2x gepostet hab. Ich hab das nicht mehr löschen können. Firewall hab ich schon wieder aktiviert, keine Ahnung was da war. Aber ich check noch mal ob sie auch wieder läuft.

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A79CF97-91F1-40BC-8CAB-44184B496B6D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A79CF97-91F1-40BC-8CAB-44184B496B6D}\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{1DE304C8-D94A-63F7-C37C-575497E51F16} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DE304C8-D94A-63F7-C37C-575497E51F16}\ not found.
C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Edci\saycz.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher deleted successfully.
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe moved successfully.
========== FILES ==========
File\Folder C:\WINDOWS\Temp\Installer.exe not found.
File\Folder C:\Dokumente und Einstellungen\Ela\Anwendungsdaten\Edci\saycz.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes

User: Ela
->Temp folder emptied: 12016759 bytes
->Temporary Internet Files folder emptied: 302162922 bytes
->Java cache emptied: 24832332 bytes
->FireFox cache emptied: 83098819 bytes
->Google Chrome cache emptied: 5925850 bytes
->Flash cache emptied: 1959862 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 113558272 bytes

%systemdrive% .tmp files removed: 340160758 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1210816 bytes
RecycleBin emptied: 78391 bytes

Total Files Cleaned = 844,00 mb


[EMPTYFLASH]

User: Administrator

User: All Users

User: Default User

User: Ela
->Flash cache emptied: 0 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.5.1 log created on 05302010_144830

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Ela9 30.05.2010 14:07

C:\WINDOWS\system32\netdixco.dll

Hab diese Datei mit dem VirusTotal Check gescannt und er hat folgendes gefunden:

Datei netdixco.dll empfangen 2010.05.30 13:02:15 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 6/41 (14.64%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.30.00 2010.05.29 -
AntiVir 8.2.1.242 2010.05.28 -
Antiy-AVL 2.0.3.7 2010.05.26 -
Authentium 5.2.0.5 2010.05.29 -
Avast 4.8.1351.0 2010.05.30 Win32:Kheagol-K
Avast5 5.0.332.0 2010.05.30 Win32:Kheagol-K
AVG 9.0.0.787 2010.05.30 -
BitDefender 7.2 2010.05.30 -
CAT-QuickHeal 10.00 2010.05.29 -
ClamAV 0.96.0.3-git 2010.05.30 -
Comodo 4954 2010.05.30 -
DrWeb 5.0.2.03300 2010.05.30 -
eSafe 7.0.17.0 2010.05.27 Suspicious File
eTrust-Vet 35.2.7519 2010.05.29 -
F-Prot 4.6.0.103 2010.05.29 -
F-Secure 9.0.15370.0 2010.05.30 -
Fortinet 4.1.133.0 2010.05.30 -
GData 21 2010.05.30 Win32:Kheagol-K
Ikarus T3.1.1.84.0 2010.05.30 -
Jiangmin 13.0.900 2010.05.29 -
Kaspersky 7.0.0.125 2010.05.30 -
McAfee 5.400.0.1158 2010.05.30 -
McAfee-GW-Edition 2010.1 2010.05.30 -
Microsoft 1.5802 2010.05.30 -
NOD32 5155 2010.05.30 -
Norman 6.04.12 2010.05.30 -
nProtect 2010-05-30.01 2010.05.30 -
Panda 10.0.2.7 2010.05.29 Suspicious file
PCTools 7.0.3.5 2010.05.30 -
Prevx 3.0 2010.05.30 -
Rising 22.49.06.04 2010.05.30 -
Sophos 4.53.0 2010.05.30 -
Sunbelt 6376 2010.05.30 Trojan.Win32.Kheagol.c (v)
Symantec 20101.1.0.89 2010.05.30 -
TheHacker 6.5.2.0.290 2010.05.30 -
TrendMicro 9.120.0.1004 2010.05.30 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.30 -
VBA32 3.12.12.5 2010.05.29 -
ViRobot 2010.5.20.2326 2010.05.28 -
VirusBuster 5.0.27.0 2010.05.29 -
weitere Informationen
File size: 162868 bytes
MD5...: 2ec94d2aaad053c9c52cc8d3c1ee59fa
SHA1..: 08a0ac49dbd94772b7fd8ccf5e06e883f53267f4
SHA256: 46c8ddb46234d20ab27155a9abf9097a13daee6ea6289a777c852d7002a1c5c4
ssdeep: 3072:x4Gmt1koh1dcBILyphXH9M9qLKoFnXyvgItPqFn5kOe6s3s+UyE6N+:iAo7
iBgH1+yvtukes3hUQ+

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x16d2b
timedatestamp.....: 0x4ba970c5 (Wed Mar 24 01:54:13 2010)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x41000 0x26600 8.00 7947b20f105cce9cf220c51725bc7533
.rsrc 0x42000 0x1000 0x1000 7.34 da3052ade37b690764baa683119f99ad
.reloc 0x43000 0x1000 0x200 0.24 d561c7da409fd5b3ef51249bcf03ea76

( 2 imports )
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree
> MSVCRT.dll: __3@YAXPAX@Z

( 1 exports )
wjjuenncg

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 EXE PECompact compressed (v2.x) (48.0%)
Win32 EXE PECompact compressed (generic) (33.8%)
Win32 Executable Generic (6.9%)
Win32 Dynamic Link Library (generic) (6.1%)
Clipper DOS Executable (1.6%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact
packers (Avast): PECompact
packers (F-Prot): PecBundle, PECompact
packers (Avast): PECompact

Ela9 30.05.2010 14:29

Und hier nun das Logfile vom scan mit RootRepeal:

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/05/30 15:19
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xA8DC5000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7AFD000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA7B66000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: c:\dokumente und einstellungen\ela\cookies\ela@trojaner-board[2].txt
Status: Size mismatch (API: 849, Raw: 850)

Path: c:\dokumente und einstellungen\ela\lokale einstellungen\temp\~df801c.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: c:\dokumente und einstellungen\ela\lokale einstellungen\temp\~dfa18.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: c:\dokumente und einstellungen\ela\lokale einstellungen\temp\~dff00e.tmp
Status: Allocation size mismatch (API: 16384, Raw: 0)

Path: c:\dokumente und einstellungen\ela\lokale einstellungen\temp\~dffb78.tmp
Status: Allocation size mismatch (API: 131072, Raw: 16384)

SSDT
-------------------
#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7bc096e

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7bc0964

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7bc0973

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7bc097d

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7bc0982

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7bc0950

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7bc0955

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7bc098c

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7bc0987

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7bc0978

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf7bc095f

==EOF==

MalwareHero 30.05.2010 15:29

Diese Datei:
C:\WINDOWS\system32\netdixco.dll

ist Malware.

Solltest du gerade mit NormanAntiMalware scannen, verschiebe die Datei:
netdixco.dll bis aufs weitere in die Quarantäne von Avira. (öffne die Quarantäne von avira und wähle das symbol: datei hinzufügen, den prozess:
netdixco.dll, evtl. vorher im Taskmanager beenden)

Wenn Norman nicht am scannen sein sollte, führe nochmal OTL aus, wie schon beschrieben, diesmal aber folgenden Text in das Textfeld einfügen:

Zitat:

:OTL
MOD - C:\WINDOWS\system32\netdixco.dll ()
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)

:files
C:\WINDOWS\system32\netdixco.dll ()

:Commands
[emptytemp]
der computer wird restarten,
poste das log und das log von NormanMalwareCleaner.

Ela9 30.05.2010 15:47

Hier nun einmal das zunächst das Logfile von Norman antimalware bevor ich weitermache

Norman Malware Cleaner
Version 1.6.2
Copyright © 1990 - 2009, Norman ASA. Built 2010/05/30 12:36:08

Norman Scanner Engine Version: 6.04.08
Nvcbin.def Version: 6.04.00, Date: 2010/05/30 12:36:08, Variants: 5823430

Scan started: 30/05/2010 15:41:00

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 3
Logged on user: FSC111216083001\Ela


Scanning bootsectors...

Number of sectors found: 0
Number of sectors scanned: 0
Number of sectors not scanned: 0
Number of infections found: 0
Number of infections removed: 0
Total scanning time: 0s


Scanning running processes and process memory...

Number of processes/threads found: 3961
Number of processes/threads scanned: 3961
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 2m 23s


Scanning file system...

Scanning: prescan

Scanning: C:\*.*

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.res/componentstree.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.res/destination.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.res/progressprereq.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.res/setuptype.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.res/startinstallation.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.res/welcome.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.res/wizard.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{783529ED-FB56-4E47-9A20-F9C23D22C2D0}\Setup.res/destination.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{783529ED-FB56-4E47-9A20-F9C23D22C2D0}\Setup.res/maintenance.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{783529ED-FB56-4E47-9A20-F9C23D22C2D0}\Setup.res/progressprereq.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{783529ED-FB56-4E47-9A20-F9C23D22C2D0}\Setup.res/startinstallation.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{783529ED-FB56-4E47-9A20-F9C23D22C2D0}\Setup.res/welcome.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{783529ED-FB56-4E47-9A20-F9C23D22C2D0}\Setup.res/wizard.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C3358ED5-0ADD-4BA0-8F60-B5A7CD34BD14}\setup.res/destination.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C3358ED5-0ADD-4BA0-8F60-B5A7CD34BD14}\setup.res/maintenance.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C3358ED5-0ADD-4BA0-8F60-B5A7CD34BD14}\setup.res/progressprereq.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C3358ED5-0ADD-4BA0-8F60-B5A7CD34BD14}\setup.res/startinstallation.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C3358ED5-0ADD-4BA0-8F60-B5A7CD34BD14}\setup.res/welcome.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{C3358ED5-0ADD-4BA0-8F60-B5A7CD34BD14}\setup.res/wizard.dfm.miaf (Error whilst scanning file: I/O Error (0x00000057))

C:\Programme\AskPBar\bar\1.bin\askpbar.0ll (Infected with W32/WebSearch.IQ)
Deleted file

Scanning: postscan


Running post-scan cleanup routine:

Number of files found: 137046
Number of archives unpacked: 6180
Number of files scanned: 137025
Number of files not scanned: 21
Number of files skipped due to exclude list: 0
Number of infected files found: 1
Number of infected files repaired/deleted: 1
Number of infections removed: 1
Total scanning time: 57m 32s

Ela9 30.05.2010 15:55

Der zweite Scan mit OTL hat folgendes ergeben. Soll ich das Ganze jetzt nochmal mit Norman AntiMalware scannen?

lg,

Ela

All processes killed
========== OTL ==========
Starting removal of ActiveX control {31435657-9980-0010-8000-00AA00389B71}
C:\WINDOWS\Downloaded Program Files\wvc1dmo.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{31435657-9980-0010-8000-00AA00389B71}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found.
========== FILES ==========
File\Folder C:\WINDOWS\system32\netdixco.dll () not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Ela
->Temp folder emptied: 1059677 bytes
->Temporary Internet Files folder emptied: 89236189 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 6470089 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 707179 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 93,00 mb


OTL by OldTimer - Version 3.2.5.1 log created on 05302010_165101

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

MalwareHero 30.05.2010 16:01

Zitat:

Zitat von Ela9 (Beitrag 529244)
Der zweite Scan mit OTL hat folgendes ergeben. Soll ich das Ganze jetzt nochmal mit Norman AntiMalware scannen?

Nein, norman ist fertig. Kontrolliere mal ob diese Datei
Zitat:

C:\WINDOWS\system32\netdixco.dll
entfernt wurde.

Ela9 30.05.2010 16:07

Die Datei ist leider noch vorhanden.

Hab außerdem den Acrobat Reader 8.00 und Java gelöscht.

MalwareHero 30.05.2010 16:11

Zitat:

Zitat von Ela9 (Beitrag 529254)
Die Datei ist leider noch vorhanden.

Verschiebe sie in die Quarantäne von Avira.

Ela9 30.05.2010 16:21

Die Datei ist in Quarantäne. Wie geht's weiter?

lg

MalwareHero 30.05.2010 16:44

Abschliessende Schritte durchführen:

> Systemwiederherstellung deaktivieren Computuer ausschalten 5min. warten Computer anschalten, Systemwiederherstellung aktivieren.
Aktivieren und Deaktivieren der Systemwiederherstellung in Windows XP

> USB Sticks...etc., bei deaktiviertem Autostart (Autostart von CD unterdrücken) mit Malwarebytes + Avira und Online Scanner auf Schädlinge überprüfen.

> Kontrollscans mit Eset Online Scanner: (log posten)
Free ESET Online Antivirus Scanner

> Vollscan mit Malwarebytes (vorher updaten!)

> lösche Norman mit rechtsklick, und OTL

> Installiere die neue Version von Java und Acrobat:
http://www.java.com
/de/download/manual.jsp

Adobe - Adobe Reader herunterladen - Alle Versionen

> Windows Update durchführen.

> Alle Passwörter ändern.

> Windows Sicherheitscenter aktivieren:
1. Diensteverwaltung über Start/Ausführen services.msc öffnen
2. Dienst Sicherheitscenter suchen
3. Eigenschaften des Dienstes öffnen (rechtsklick)
4. Startart auf "Automatisch" setzen.
kontrolliere bevor du ins internet gehst das der Firewall läuft, wenns da probleme gibt, sag bescheid.

Sicher durchs Internet, Malware verhindern:
http://www.trojaner-board.de/74052-s...-internet.html

Sollte das TB team noch anweisungen geben, führe die aus, sonst sind wir durch. :kaffee:

lg.

Ela9 30.05.2010 21:25

Hab den PC jetzt mit ESET gescannt und es ist folgendes herausgekommen:

C:\WINDOWS\system32\imm32.dll (a variant of Win32\Kheagol.D trojan) unable to clean

C:\_OTL\MovedFiles\05302010_144830\C_Dokumente und Einstellungen\Ela\Anwendungsdaten\Edci\saycz.exe (a variant of Win32\Kryptic.EOO trojan) cleaned by deleting - quarantined

Operating Memory a variant of Win32\Kheagol.D trojan

MalwareHero 31.05.2010 10:20

Zitat:

Zitat von Ela9 (Beitrag 529370)
Hab den PC jetzt mit ESET gescannt und es ist folgendes herausgekommen:

C:\WINDOWS\system32\imm32.dll (a variant of Win32\Kheagol.D trojan) unable to clean

das war aber jetzt nicht so gut...

Da es sich hier um eine systemdatei handeln kann, nicht löschen. (in ordneroptionen unter "ansicht" geschützte systemdateien und versteckte datein/ordner anzeigen lassen) check dann mal wieviele der imm32.dll im system32 ordner sind. eine, zwei? Wir versuchen zuerst diesen lösungsversuch:

Lade die Datei:
C:\WINDOWS\system32\imm32.dll
bei VirusTotal - Kostenloser online Viren- und Malwarescanner
hoch und poste das log.

- als administrator gehe auf start > ausführen > schreibe rein cmd
im fenster schreibe rein: sfc /scannow
die systemdateien werden überprüft, sollten probleme gefunden werden, musst du die xp recovery cd ins cd laufwerk legen, die datei wird ersetzt. führe diese prüfung durch, und sag mir was raus kam.

---------

Ela9 31.05.2010 11:50

Hier nun mal das log von VirusTotal:

Datei imm32.dll empfangen 2010.05.31 10:47:21 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 7/41 (17.08%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 5.0.0.26 2010.05.31 -
AhnLab-V3 2010.05.30.00 2010.05.29 Win-Trojan/Patched.Q
AntiVir 8.2.1.242 2010.05.31 -
Antiy-AVL 2.0.3.7 2010.05.31 -
Authentium 5.2.0.5 2010.05.31 -
Avast 4.8.1351.0 2010.05.30 -
Avast5 5.0.332.0 2010.05.30 -
AVG 9.0.0.787 2010.05.31 -
BitDefender 7.2 2010.05.31 -
CAT-QuickHeal 10.00 2010.05.31 -
ClamAV 0.96.0.3-git 2010.05.30 -
Comodo 4959 2010.05.31 -
DrWeb 5.0.2.03300 2010.05.31 -
eSafe 7.0.17.0 2010.05.30 -
eTrust-Vet 35.2.7521 2010.05.31 -
F-Prot 4.6.0.103 2010.05.31 -
F-Secure 9.0.15370.0 2010.05.31 -
Fortinet 4.1.133.0 2010.05.30 -
GData 21 2010.05.31 -
Ikarus T3.1.1.84.0 2010.05.31 -
Jiangmin 13.0.900 2010.05.30 -
Kaspersky 7.0.0.125 2010.05.31 -
McAfee 5.400.0.1158 2010.05.31 -
McAfee-GW-Edition 2010.1 2010.05.31 -
Microsoft 1.5802 2010.05.31 -
NOD32 5157 2010.05.31 -
Norman 6.04.12 2010.05.31 -
nProtect 2010-05-31.01 2010.05.31 -
Panda 10.0.2.7 2010.05.30 -
PCTools 7.0.3.5 2010.05.31 Trojan.Immbesq
Prevx 3.0 2010.05.31 -
Rising 22.50.00.04 2010.05.31 Win32.Loader.es
Sophos 4.53.0 2010.05.31 Troj/Imm32Hck-A
Sunbelt 6380 2010.05.31 -
Symantec 20101.1.0.89 2010.05.31 Trojan.Immbesq!inf
TheHacker 6.5.2.0.290 2010.05.30 -
TrendMicro 9.120.0.1004 2010.05.31 PE_PATCHED.SMA
TrendMicro-HouseCall 9.120.0.1004 2010.05.31 PE_PATCHED.SMA
VBA32 3.12.12.5 2010.05.29 -
ViRobot 2010.5.20.2326 2010.05.28 -
VirusBuster 5.0.27.0 2010.05.30 -
weitere Informationen
File size: 110592 bytes
MD5...: 14109dbe7d22ffb282d865a8c8fb0263
SHA1..: 6a01e369d5d5a4a4743146990ac7369d416e81cb
SHA256: f31ca0772b998843285334ff67cc136553dd26b63329acc1b38ba29976e23bb9
ssdeep: 3072:jZukBy1W6/ZTdFy5dbnd54N7qy3mh2m5sH3I:jZukByJHFy5dgNRmh2m5sH
3

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x12c0
timedatestamp.....: 0x4802bf9c (Mon Apr 14 02:21:16 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14a96 0x14c00 6.58 1e7309c9e8edafbe858756e64fcc300f
.data 0x16000 0x88c 0x200 0.75 79d45776c3fb67789c9781615591364b
.rsrc 0x17000 0x4c18 0x4e00 3.72 5839bf64e5b92d7d0c469a2a4d6a60da
.reloc 0x1c000 0xc6c 0xe00 6.35 f840211253ed3d070f81016595f41100
.vtgpxx 0x1d000 0x1000 0x200 1.64 1151934b8a16d9af68b5868693e888a4

( 6 imports )
> ADVAPI32.dll: CheckTokenMembership, FreeSid, RegCreateKeyW, RegSetValueExW, RegDeleteKeyW, RegEnumKeyW, RegOpenKeyW, RegQueryValueExW, RegCloseKey, AllocateAndInitializeSid
> GDI32.dll: CreateFontIndirectW, GetObjectW, CreateDCW, GetTextExtentPoint32W, SetBkColor, CreateCompatibleBitmap, GetDIBits, CreateDIBitmap, TranslateCharsetInfo, PatBlt, Rectangle, SelectObject, GetStockObject, BitBlt, DeleteObject, DeleteDC, CreateCompatibleDC, GetTextMetricsW, ExtTextOutW
> KERNEL32.dll: IsBadWritePtr, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetModuleFileNameW, lstrcmpiW, CreateThread, Sleep, TlsGetValue, TlsSetValue, TlsAlloc, OpenFileMappingW, GetCurrentProcessId, CreateFileMappingW, MapViewOfFile, UnmapViewOfFile, CloseHandle, GetLastError, lstrlenA, IsDBCSLeadByte, GetProfileIntW, lstrcmpW, SetLastError, lstrcpynW, GlobalAlloc, GlobalLock, GlobalFree, GlobalUnlock, InterlockedDecrement, GetLocaleInfoW, HeapAlloc, LocalSize, LocalReAlloc, LocalFlags, LocalUnlock, LocalLock, GetFullPathNameW, lstrlenW, OpenFile, _lclose, GetThreadLocale, GetSystemDirectoryW, LocalAlloc, GetACP, FreeLibrary, BaseCheckAppcompatCache, GetModuleHandleW, LoadLibraryW, GetProcAddress, MultiByteToWideChar, HeapFree, InterlockedIncrement, GetCurrentThreadId, WideCharToMultiByte, LocalFree, IsDBCSLeadByteEx, GetSystemDefaultLCID
> ntdll.dll: RtlUnwind, RtlIsThreadWithinLoaderCallout, RtlDllShutdownInProgress, RtlUnicodeToMultiByteSize, wcstol, _wcsicmp, wcsncpy, RtlIntegerToUnicodeString, wcscat, RtlUnicodeStringToInteger, wcscpy, RtlDeleteCriticalSection, NtQuerySystemInformation, RtlEnterCriticalSection, RtlLeaveCriticalSection, wcslen, RtlInitializeCriticalSection, NtQueryVirtualMemory
> USER32.dll: SendMessageW, wsprintfW, GetClassInfoW, GetFocus, User32InitializeImmEntryTable, CharUpperW, UnloadKeyboardLayout, LoadBitmapW, ReleaseDC, GetDC, GetClientRect, SetWindowLongW, GetWindowLongW, DrawTextExW, GetWindowRect, GetSystemMetrics, MessageBeep, SetCapture, ScreenToClient, GetCursorPos, SetCursor, LoadCursorW, SendMessageTimeoutW, GetDesktopWindow, IsWindowUnicode, CharNextW, CharNextA, MapWindowPoints, GetForegroundWindow, ClientToScreen, GetKeyboardState, ToUnicode, ToAsciiEx, DestroyWindow, MapVirtualKeyW, CreateWindowExW, ShowWindow, UpdateWindow, MonitorFromWindow, GetMonitorInfoW, SystemParametersInfoW, GetClassInfoExW, LoadIconW, RegisterClassExW, GetParent, GetCapture, DrawEdge, BeginPaint, EndPaint, InvalidateRect, DefWindowProcW, ReleaseCapture, SetWindowPos, GetWindow, LoadKeyboardLayoutW, GetWindowThreadProcessId, GetKeyboardLayoutList, SendMessageA, PostMessageW, PostMessageA, WCSToMBEx, GetKeyboardLayout, IsWindow, keybd_event
> netdixco.dll: wjjuenncg

( 133 exports )
CtfAImmActivate, CtfAImmDeactivate, CtfAImmIsIME, CtfImmCoUninitialize, CtfImmDispatchDefImeMessage, CtfImmEnterCoInitCountSkipMode, CtfImmGenerateMessage, CtfImmGetGuidAtom, CtfImmHideToolbarWnd, CtfImmIsCiceroEnabled, CtfImmIsCiceroStartedInThread, CtfImmIsGuidMapEnable, CtfImmIsTextFrameServiceDisabled, CtfImmLastEnabledWndDestroy, CtfImmLeaveCoInitCountSkipMode, CtfImmRestoreToolbarWnd, CtfImmSetAppCompatFlags, CtfImmSetCiceroStartInThread, CtfImmTIMActivate, GetKeyboardLayoutCP, ImmActivateLayout, ImmAssociateContext, ImmAssociateContextEx, ImmCallImeConsoleIME, ImmConfigureIMEA, ImmConfigureIMEW, ImmCreateContext, ImmCreateIMCC, ImmCreateSoftKeyboard, ImmDestroyContext, ImmDestroyIMCC, ImmDestroySoftKeyboard, ImmDisableIME, ImmDisableIme, ImmDisableTextFrameService, ImmEnumInputContext, ImmEnumRegisterWordA, ImmEnumRegisterWordW, ImmEscapeA, ImmEscapeW, ImmFreeLayout, ImmGenerateMessage, ImmGetAppCompatFlags, ImmGetCandidateListA, ImmGetCandidateListCountA, ImmGetCandidateListCountW, ImmGetCandidateListW, ImmGetCandidateWindow, ImmGetCompositionFontA, ImmGetCompositionFontW, ImmGetCompositionStringA, ImmGetCompositionStringW, ImmGetCompositionWindow, ImmGetContext, ImmGetConversionListA, ImmGetConversionListW, ImmGetConversionStatus, ImmGetDefaultIMEWnd, ImmGetDescriptionA, ImmGetDescriptionW, ImmGetGuideLineA, ImmGetGuideLineW, ImmGetHotKey, ImmGetIMCCLockCount, ImmGetIMCCSize, ImmGetIMCLockCount, ImmGetIMEFileNameA, ImmGetIMEFileNameW, ImmGetImeInfoEx, ImmGetImeMenuItemsA, ImmGetImeMenuItemsW, ImmGetOpenStatus, ImmGetProperty, ImmGetRegisterWordStyleA, ImmGetRegisterWordStyleW, ImmGetStatusWindowPos, ImmGetVirtualKey, ImmIMPGetIMEA, ImmIMPGetIMEW, ImmIMPQueryIMEA, ImmIMPQueryIMEW, ImmIMPSetIMEA, ImmIMPSetIMEW, ImmInstallIMEA, ImmInstallIMEW, ImmIsIME, ImmIsUIMessageA, ImmIsUIMessageW, ImmLoadIME, ImmLoadLayout, ImmLockClientImc, ImmLockIMC, ImmLockIMCC, ImmLockImeDpi, ImmNotifyIME, ImmPenAuxInput, ImmProcessKey, ImmPutImeMenuItemsIntoMappedFile, ImmReSizeIMCC, ImmRegisterClient, ImmRegisterWordA, ImmRegisterWordW, ImmReleaseContext, ImmRequestMessageA, ImmRequestMessageW, ImmSendIMEMessageExA, ImmSendIMEMessageExW, ImmSendMessageToActiveDefImeWndW, ImmSetActiveContext, ImmSetActiveContextConsoleIME, ImmSetCandidateWindow, ImmSetCompositionFontA, ImmSetCompositionFontW, ImmSetCompositionStringA, ImmSetCompositionStringW, ImmSetCompositionWindow, ImmSetConversionStatus, ImmSetHotKey, ImmSetOpenStatus, ImmSetStatusWindowPos, ImmShowSoftKeyboard, ImmSimulateHotKey, ImmSystemHandler, ImmTranslateMessage, ImmUnlockClientImc, ImmUnlockIMC, ImmUnlockIMCC, ImmUnlockImeDpi, ImmUnregisterWordA, ImmUnregisterWordW, ImmWINNLSEnableIME, ImmWINNLSGetEnableStatus, ImmWINNLSGetIMEHotkey

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Windows XP IMM32 API Client DLL
original name: imm32
internal name: imm32
file version.: 5.1.2600.5512 (xpsp.080413-2105)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Ela9 01.06.2010 11:57

- als administrator gehe auf start > ausführen > schreibe rein cmd
im fenster schreibe rein: sfc /scannow
die systemdateien werden überprüft, sollten probleme gefunden werden, musst du die xp recovery cd ins cd laufwerk legen, die datei wird ersetzt. führe diese prüfung durch, und sag mir was raus kam.


Ich hab das jetzt gemacht und es kam keine nachricht, dass etwas nicht stimmt. Wie geht's weiter?

lg,

Ela

MalwareHero 01.06.2010 17:30

Zitat:

Zitat von Ela9 (Beitrag 529760)

Ich hab das jetzt gemacht und es kam keine nachricht, dass etwas nicht stimmt. Wie geht's weiter?

Überprüfe noch mal die Datei:
Zitat:

C:\WINDOWS\system32\imm32.dll
bei Virus Total VirusTotal - Kostenloser online Viren- und Malwarescanner
Sollten die Scanner weiterhin die Datei als infiziert melden, müssen wir den PC gründlich auf noch vorhandene Infektionen scannen, bevor wir mit Hilfe der Recovery Funktion alle Systemdateien wiederherstellen.

Ela9 02.06.2010 10:01

QMalwareHero:

Hab die Widowsdatei noch mal gescannt und er hat nichts gefunden :huepp:

Soll ich noch was machen?
Und was mach ich mit den Viren in der Quarantäne?

Glg,

Ela

Datei imm32.dll empfangen 2010.06.02 08:58:35 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/41 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 5.0.0.26 2010.06.02 -
AhnLab-V3 2010.06.02.00 2010.06.01 -
AntiVir 8.2.1.242 2010.06.01 -
Antiy-AVL 2.0.3.7 2010.06.02 -
Authentium 5.2.0.5 2010.06.02 -
Avast 4.8.1351.0 2010.06.02 -
Avast5 5.0.332.0 2010.06.02 -
AVG 9.0.0.787 2010.06.02 -
BitDefender 7.2 2010.06.02 -
CAT-QuickHeal 10.00 2010.06.02 -
ClamAV 0.96.0.3-git 2010.06.02 -
Comodo 4980 2010.06.01 -
DrWeb 5.0.2.03300 2010.06.02 -
eSafe 7.0.17.0 2010.06.01 -
eTrust-Vet 35.2.7524 2010.06.02 -
F-Prot 4.6.0.103 2010.06.02 -
F-Secure 9.0.15370.0 2010.06.02 -
Fortinet 4.1.133.0 2010.06.01 -
GData 21 2010.06.02 -
Ikarus T3.1.1.84.0 2010.06.02 -
Jiangmin 13.0.900 2010.06.02 -
Kaspersky 7.0.0.125 2010.06.02 -
McAfee 5.400.0.1158 2010.06.02 -
McAfee-GW-Edition 2010.1 2010.06.02 -
Microsoft 1.5802 2010.06.02 -
NOD32 5165 2010.06.02 -
Norman 6.04.12 2010.06.01 -
nProtect 2010-06-02.01 2010.06.02 -
Panda 10.0.2.7 2010.06.01 -
PCTools 7.0.3.5 2010.06.02 -
Prevx 3.0 2010.06.02 -
Rising 22.50.02.04 2010.06.02 -
Sophos 4.53.0 2010.06.02 -
Sunbelt 6389 2010.06.02 -
Symantec 20101.1.0.89 2010.06.02 -
TheHacker 6.5.2.0.291 2010.06.01 -
TrendMicro 9.120.0.1004 2010.06.02 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.02 -
VBA32 3.12.12.5 2010.06.01 -
ViRobot 2010.6.1.2333 2010.06.01 -
VirusBuster 5.0.27.0 2010.06.01 -
weitere Informationen

MalwareHero 02.06.2010 14:47

Zitat:

Zitat von Ela9 (Beitrag 530021)
QMalwareHero:

Hab die Widowsdatei noch mal gescannt und er hat nichts gefunden :huepp:

Soll ich noch was machen?
Und was mach ich mit den Viren in der Quarantäne?

Hallo,

beim Auswertungslog von der Datei imm32.dll fehlt der unterste Teil, (weitere Informationen) bitte noch nachliefern.

> Führe danach einen Online Scan mit Trend-Micro durch und poste das Log.
Trend Micro HouseCall ? Jetzt kostenlosen Online-Scan durchführen! - Trend Micro Deutschland

> Ausserdem einen Komplett Scan mit Dr.Web im abgesicherten Modus. Bitte genau der Anleitung folgen.

> Die Malwaredateien in der Quarantäne kannst du dort belassen oder dort löschen lassen.
In der Quarantäne können die keinen Schaden ausrichten.

> Bitte auch noch das Log von dem Vollscan mit Malwarebytes AntiMalware hier abkopieren. (Vorher unbedingt das Programm updaten)

> Dein Firelwall läuft problemlos?

lg.

-----------------

Ela9 03.06.2010 18:14

@MalwareHero

Hab die Datei noch mal von VirusTotal checken lassen und hier ist (das nun vollständige) Ergebnis:

Datei imm32.dll empfangen 2010.06.03 17:11:42 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email:


Antivirus Version letzte aktualisierung Ergebnis
a-squared 5.0.0.26 2010.06.03 -
AhnLab-V3 2010.06.03.03 2010.06.03 -
AntiVir 8.2.2.4 2010.06.02 -
Antiy-AVL 2.0.3.7 2010.06.02 -
Authentium 5.2.0.5 2010.06.03 -
Avast 4.8.1351.0 2010.06.03 -
Avast5 5.0.332.0 2010.06.03 -
AVG 9.0.0.787 2010.06.03 -
BitDefender 7.2 2010.06.03 -
CAT-QuickHeal 10.00 2010.06.03 -
ClamAV 0.96.0.3-git 2010.06.03 -
Comodo 4980 2010.06.01 -
DrWeb 5.0.2.03300 2010.06.03 -
eSafe 7.0.17.0 2010.06.03 -
eTrust-Vet 35.2.7527 2010.06.03 -
F-Prot 4.6.0.103 2010.06.03 -
F-Secure 9.0.15370.0 2010.06.03 -
Fortinet 4.1.133.0 2010.06.03 -
GData 21 2010.06.03 -
Ikarus T3.1.1.84.0 2010.06.03 -
Jiangmin 13.0.900 2010.06.03 -
Kaspersky 7.0.0.125 2010.06.03 -
McAfee 5.400.0.1158 2010.06.03 -
McAfee-GW-Edition 2010.1 2010.06.03 -
Microsoft 1.5802 2010.06.03 -
NOD32 5170 2010.06.03 -
Norman 6.04.12 2010.06.03 -
nProtect 2010-06-03.01 2010.06.03 -
Panda 10.0.2.7 2010.06.03 -
PCTools 7.0.3.5 2010.06.03 -
Rising 22.50.03.04 2010.06.03 -
Sophos 4.53.0 2010.06.03 -
Sunbelt 6400 2010.06.03 -
Symantec 20101.1.0.89 2010.06.03 -
TheHacker 6.5.2.0.292 2010.06.03 -
TrendMicro 9.120.0.1004 2010.06.03 -
TrendMicro-HouseCall 9.120.0.1004 2010.06.03 -
VBA32 3.12.12.5 2010.06.03 -
ViRobot 2010.6.3.2335 2010.06.03 -
VirusBuster 5.0.27.0 2010.06.03 -
weitere Informationen
File size: 110080 bytes
MD5...: f9954695d246b33a5bf105029a4c6ab6
SHA1..: cefa898d3b55658dadd4169b47286a4e58077814
SHA256: 27364f7519c9073208f96acb208c5074c95235d881e82e9da66c4d8e89fa690b
ssdeep: 3072:GZukBy1W6/ZTdFy5dbnd54N7qy3mh2m5sH3I:GZukByJHFy5dgNRmh2m5sH
3

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x12c0
timedatestamp.....: 0x4802bf9c (Mon Apr 14 02:21:16 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14a96 0x14c00 6.58 1e7309c9e8edafbe858756e64fcc300f
.data 0x16000 0x88c 0x200 0.75 79d45776c3fb67789c9781615591364b
.rsrc 0x17000 0x4c18 0x4e00 3.72 5839bf64e5b92d7d0c469a2a4d6a60da
.reloc 0x1c000 0xc6c 0xe00 6.35 f840211253ed3d070f81016595f41100

( 5 imports )
> ADVAPI32.dll: CheckTokenMembership, FreeSid, RegCreateKeyW, RegSetValueExW, RegDeleteKeyW, RegEnumKeyW, RegOpenKeyW, RegQueryValueExW, RegCloseKey, AllocateAndInitializeSid
> GDI32.dll: CreateFontIndirectW, GetObjectW, CreateDCW, GetTextExtentPoint32W, SetBkColor, CreateCompatibleBitmap, GetDIBits, CreateDIBitmap, TranslateCharsetInfo, PatBlt, Rectangle, SelectObject, GetStockObject, BitBlt, DeleteObject, DeleteDC, CreateCompatibleDC, GetTextMetricsW, ExtTextOutW
> KERNEL32.dll: IsBadWritePtr, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetModuleFileNameW, lstrcmpiW, CreateThread, Sleep, TlsGetValue, TlsSetValue, TlsAlloc, OpenFileMappingW, GetCurrentProcessId, CreateFileMappingW, MapViewOfFile, UnmapViewOfFile, CloseHandle, GetLastError, lstrlenA, IsDBCSLeadByte, GetProfileIntW, lstrcmpW, SetLastError, lstrcpynW, GlobalAlloc, GlobalLock, GlobalFree, GlobalUnlock, InterlockedDecrement, GetLocaleInfoW, HeapAlloc, LocalSize, LocalReAlloc, LocalFlags, LocalUnlock, LocalLock, GetFullPathNameW, lstrlenW, OpenFile, _lclose, GetThreadLocale, GetSystemDirectoryW, LocalAlloc, GetACP, FreeLibrary, BaseCheckAppcompatCache, GetModuleHandleW, LoadLibraryW, GetProcAddress, MultiByteToWideChar, HeapFree, InterlockedIncrement, GetCurrentThreadId, WideCharToMultiByte, LocalFree, IsDBCSLeadByteEx, GetSystemDefaultLCID
> ntdll.dll: RtlUnwind, RtlIsThreadWithinLoaderCallout, RtlDllShutdownInProgress, RtlUnicodeToMultiByteSize, wcstol, _wcsicmp, wcsncpy, RtlIntegerToUnicodeString, wcscat, RtlUnicodeStringToInteger, wcscpy, RtlDeleteCriticalSection, NtQuerySystemInformation, RtlEnterCriticalSection, RtlLeaveCriticalSection, wcslen, RtlInitializeCriticalSection, NtQueryVirtualMemory
> USER32.dll: SendMessageW, wsprintfW, GetClassInfoW, GetFocus, User32InitializeImmEntryTable, CharUpperW, UnloadKeyboardLayout, LoadBitmapW, ReleaseDC, GetDC, GetClientRect, SetWindowLongW, GetWindowLongW, DrawTextExW, GetWindowRect, GetSystemMetrics, MessageBeep, SetCapture, ScreenToClient, GetCursorPos, SetCursor, LoadCursorW, SendMessageTimeoutW, GetDesktopWindow, IsWindowUnicode, CharNextW, CharNextA, MapWindowPoints, GetForegroundWindow, ClientToScreen, GetKeyboardState, ToUnicode, ToAsciiEx, DestroyWindow, MapVirtualKeyW, CreateWindowExW, ShowWindow, UpdateWindow, MonitorFromWindow, GetMonitorInfoW, SystemParametersInfoW, GetClassInfoExW, LoadIconW, RegisterClassExW, GetParent, GetCapture, DrawEdge, BeginPaint, EndPaint, InvalidateRect, DefWindowProcW, ReleaseCapture, SetWindowPos, GetWindow, LoadKeyboardLayoutW, GetWindowThreadProcessId, GetKeyboardLayoutList, SendMessageA, PostMessageW, PostMessageA, WCSToMBEx, GetKeyboardLayout, IsWindow, keybd_event

( 133 exports )
CtfAImmActivate, CtfAImmDeactivate, CtfAImmIsIME, CtfImmCoUninitialize, CtfImmDispatchDefImeMessage, CtfImmEnterCoInitCountSkipMode, CtfImmGenerateMessage, CtfImmGetGuidAtom, CtfImmHideToolbarWnd, CtfImmIsCiceroEnabled, CtfImmIsCiceroStartedInThread, CtfImmIsGuidMapEnable, CtfImmIsTextFrameServiceDisabled, CtfImmLastEnabledWndDestroy, CtfImmLeaveCoInitCountSkipMode, CtfImmRestoreToolbarWnd, CtfImmSetAppCompatFlags, CtfImmSetCiceroStartInThread, CtfImmTIMActivate, GetKeyboardLayoutCP, ImmActivateLayout, ImmAssociateContext, ImmAssociateContextEx, ImmCallImeConsoleIME, ImmConfigureIMEA, ImmConfigureIMEW, ImmCreateContext, ImmCreateIMCC, ImmCreateSoftKeyboard, ImmDestroyContext, ImmDestroyIMCC, ImmDestroySoftKeyboard, ImmDisableIME, ImmDisableIme, ImmDisableTextFrameService, ImmEnumInputContext, ImmEnumRegisterWordA, ImmEnumRegisterWordW, ImmEscapeA, ImmEscapeW, ImmFreeLayout, ImmGenerateMessage, ImmGetAppCompatFlags, ImmGetCandidateListA, ImmGetCandidateListCountA, ImmGetCandidateListCountW, ImmGetCandidateListW, ImmGetCandidateWindow, ImmGetCompositionFontA, ImmGetCompositionFontW, ImmGetCompositionStringA, ImmGetCompositionStringW, ImmGetCompositionWindow, ImmGetContext, ImmGetConversionListA, ImmGetConversionListW, ImmGetConversionStatus, ImmGetDefaultIMEWnd, ImmGetDescriptionA, ImmGetDescriptionW, ImmGetGuideLineA, ImmGetGuideLineW, ImmGetHotKey, ImmGetIMCCLockCount, ImmGetIMCCSize, ImmGetIMCLockCount, ImmGetIMEFileNameA, ImmGetIMEFileNameW, ImmGetImeInfoEx, ImmGetImeMenuItemsA, ImmGetImeMenuItemsW, ImmGetOpenStatus, ImmGetProperty, ImmGetRegisterWordStyleA, ImmGetRegisterWordStyleW, ImmGetStatusWindowPos, ImmGetVirtualKey, ImmIMPGetIMEA, ImmIMPGetIMEW, ImmIMPQueryIMEA, ImmIMPQueryIMEW, ImmIMPSetIMEA, ImmIMPSetIMEW, ImmInstallIMEA, ImmInstallIMEW, ImmIsIME, ImmIsUIMessageA, ImmIsUIMessageW, ImmLoadIME, ImmLoadLayout, ImmLockClientImc, ImmLockIMC, ImmLockIMCC, ImmLockImeDpi, ImmNotifyIME, ImmPenAuxInput, ImmProcessKey, ImmPutImeMenuItemsIntoMappedFile, ImmReSizeIMCC, ImmRegisterClient, ImmRegisterWordA, ImmRegisterWordW, ImmReleaseContext, ImmRequestMessageA, ImmRequestMessageW, ImmSendIMEMessageExA, ImmSendIMEMessageExW, ImmSendMessageToActiveDefImeWndW, ImmSetActiveContext, ImmSetActiveContextConsoleIME, ImmSetCandidateWindow, ImmSetCompositionFontA, ImmSetCompositionFontW, ImmSetCompositionStringA, ImmSetCompositionStringW, ImmSetCompositionWindow, ImmSetConversionStatus, ImmSetHotKey, ImmSetOpenStatus, ImmSetStatusWindowPos, ImmShowSoftKeyboard, ImmSimulateHotKey, ImmSystemHandler, ImmTranslateMessage, ImmUnlockClientImc, ImmUnlockIMC, ImmUnlockIMCC, ImmUnlockImeDpi, ImmUnregisterWordA, ImmUnregisterWordW, ImmWINNLSEnableIME, ImmWINNLSGetEnableStatus, ImmWINNLSGetIMEHotkey

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Windows XP IMM32 API Client DLL
original name: imm32
internal name: imm32
file version.: 5.1.2600.5512 (xpsp.080413-2105)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Ela9 05.06.2010 07:37

@Malwarehero

Hab den PC jetzt gründlich mit Dr.Web gescannt:

4c76829b.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\4c76829b.qua;Wahrscheinlich Trojan.Packed.Based;;
4c76829b.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;

Der Scan mit Trend Micro HouseCall hat keine infizierten Dateien gefunden.

lg,

Ela

Ela9 05.06.2010 09:12

Und jetzt noch mal das log vom upgedateten Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4170

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05.06.2010 09:29:29
mbam-log-2010-06-05 (09-29-29).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 192197
Laufzeit: 50 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

MalwareHero 05.06.2010 10:05

Zitat:

Zitat von Ela9 (Beitrag 530550)
@Malwarehero
Der Scan mit Trend Micro HouseCall hat keine infizierten Dateien gefunden.

Hallo ela,

wenn du den Komplett Scan bei Trend Micro gemacht hast (Kann man vor dem Scan unter Einstellungen anwählen) sieht das ok aus. Dr webs fünde sind von der Avira Quarantäne.

> Firewall funktioniert reibungsfrei?

> Wie läuft der PC?

--------------

Ela9 06.06.2010 09:05

@Malwarehero

Avira hat beim Systemscan noch zwei "Viren" gefunden. Allerdings sieht es so aus als würden diese zum Programm Housecall gehören. Viellciht sind es ja einfach Viren in der Quarantäne.

C:\Dokumente und Einstellungen\Ela\Lokale Einstellungen\Temp\HouseCall\tscdll32.dll

(Enthält Erkennungsmuster des Rootkits RKIT/Agent.10752.K)

C:\Dokumente und Einstellungen\Ela\Lokale Einstellungen\Temp\HCBackup\hcpackage.exe

(Enthält Erkennungsmuster des Rootkits RKIT/Agent.10752.K)


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19