Trojaner-Board - Antivir-Fund: (1) lpl.exe auf USB-Stick = WORM/Autorun.bqls (2) Prozess: ApplicationUpdater.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antivir-Fund: (1) lpl.exe auf USB-Stick = WORM/Autorun.bqls (2) Prozess: ApplicationUpdater.exe (https://www.trojaner-board.de/94132-antivir-fund-1-lpl-exe-usb-stick-worm-autorun-bqls-2-prozess-applicationupdater-exe.html)

Antivir-Fund: (1) lpl.exe auf USB-Stick = WORM/Autorun.bqls (2) Prozess: ApplicationUpdater.exe

Moin,
wie beschrieben habe ich nen Antivir-Fund:
- Datei: "lpl.exe"
auf USB-Stick. Antivir hat dazu folgende Info:
- "WORM/Autorun.bqls"

Die Datei hab ich in Quarantäne gesetzt und dann im abgesichertem Modus über Antivir (aus dem Quarantäne-Ordner) gelöscht.

Fragen:
1) Bin mir jetzt nicht sicher ob das Problem behoben wurde!?

2) Seit längerer (1-2 Wochen) Zeit hab ich nen Prozess laufen "ApplicationUpdater.exe". Der lässt sich (hart) abschalten, nur startet der IMMER und ich weiss nicht wieso!

Hier mein Log-File:

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 5397

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

26.12.2010 18:04:15
mbam-log-2010-12-26 (18-04-15).txt

Scan type: Quick scan
Objects scanned: 151006
Time elapsed: 2 minute(s), 16 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 3
Registry Values Infected: 2
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (Adware.WidgiToolbar) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
d:\programme\pdfforge toolbar\IE\4.1\pdfforgetoolbarie.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

Gemäß Anleitung hab ich sie entfernt. OTL wird gerade runtergeladen und gleich auch gestartet.

Vielen Dank schon mal für's lesen :-)

El Toco

OTL.txt:

Code:

OTL logfile created on: 26.12.2010 18:35:32 - Run 1

OTL by OldTimer - Version 3.2.18.0     Folder = E:\01_Rechner\01_Programme\04_System

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 88,00% Memory free

3,00 Gb Paging File | 3,00 Gb Available in Paging File | 91,00% Paging File free

Paging file location(s): D:\pagefile.sys 384 384 [binary data]

 

%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme

Drive C: | 7,45 Gb Total Space | 2,71 Gb Free Space | 36,36% Space Free | Partition Type: NTFS

Drive D: | 15,63 Gb Total Space | 7,17 Gb Free Space | 45,87% Space Free | Partition Type: NTFS

Drive E: | 580,54 Gb Total Space | 510,93 Gb Free Space | 88,01% Space Free | Partition Type: NTFS

Drive F: | 46,94 Gb Total Space | 41,41 Gb Free Space | 88,22% Space Free | Partition Type: FAT32

Drive G: | 962,10 Mb Total Space | 131,27 Mb Free Space | 13,64% Space Free | Partition Type: FAT32

Drive I: | 20,11 Gb Total Space | 10,61 Gb Free Space | 52,74% Space Free | Partition Type: FAT32

 

Computer Name: SD-8EC44F3A2DD5 | User Name: ZENSIERT | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - E:\01_Rechner\01_Programme\04_System\OTL.exe (OldTimer Tools)

PRC - D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

PRC - D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

PRC - D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

PRC - D:\Programme\Application Updater\ApplicationUpdater.exe (Spigot, Inc.)

PRC - D:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)

PRC - E:\01_Rechner\01_Programme\03_Office\Steuer\AAVUpdateManager\aavus.exe ()

PRC - D:\WINDOWS\explorer.exe (Microsoft Corporation)

PRC - D:\Programme\Brownie\BRSTSWND.EXE (brother)

PRC - E:\01_Rechner\01_Programme\02_Multimedia\shutdown\Service.exe (RichiStudios)

 

 
 ========== Modules (SafeList) ==========

 

MOD - E:\01_Rechner\01_Programme\04_System\OTL.exe (OldTimer Tools)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

SRV - (Application Updater) -- D:\Programme\Application Updater\ApplicationUpdater.exe (Spigot, Inc.)

SRV - (ServiceLayer) -- D:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia)

SRV - (AAV UpdateService) -- E:\01_Rechner\01_Programme\03_Office\Steuer\AAVUpdateManager\aavus.exe ()

SRV - (RSShutdown) -- E:\01_Rechner\01_Programme\02_Multimedia\shutdown\Service.exe (RichiStudios)

SRV - (ose) -- D:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (avipbb) -- D:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgntflt) -- D:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (UsbserFilt) -- D:\WINDOWS\system32\drivers\usbser_lowerfltj.sys (Nokia)

DRV - (upperdev) -- D:\WINDOWS\system32\drivers\usbser_lowerflt.sys (Nokia)

DRV - (nmwcdc) -- D:\WINDOWS\system32\drivers\ccdcmbo.sys (Nokia)

DRV - (nmwcd) -- D:\WINDOWS\system32\drivers\ccdcmb.sys (Nokia)

DRV - (ati2mtag) -- D:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)

DRV - (Si3112r) -- D:\WINDOWS\system32\DRIVERS\SI3112r.sys (Silicon Image, Inc)

DRV - (SiFilter) -- D:\WINDOWS\system32\DRIVERS\SiWinAcc.sys (Silicon Image, Inc.)

DRV - (ssmdrv) -- D:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (avgio) -- D:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)

DRV - (USB28xxOEM) -- D:\WINDOWS\system32\drivers\emOEM.sys (Hauppauge Computer Works, Inc.)

DRV - (USB28xxBGA) -- D:\WINDOWS\system32\drivers\emBDA.sys (eMPIA Technology, Inc.)

DRV - (pccsmcfd) -- D:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)

DRV - (MPE) -- D:\WINDOWS\system32\drivers\MPE.sys (Microsoft Corporation)

DRV - (gameenum) -- D:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)

DRV - (nvnforce) Service for NVIDIA(R) nForce(TM) -- D:\WINDOWS\system32\drivers\nvapu.sys (NVIDIA Corporation)

DRV - (nvax) Service for NVIDIA(R) nForce(TM) -- D:\WINDOWS\system32\drivers\nvax.sys (NVIDIA Corporation)

DRV - (nv_agp) -- D:\WINDOWS\system32\DRIVERS\nv_agp.sys (NVIDIA Corporation)

DRV - (NVENET) -- D:\WINDOWS\system32\drivers\NVENET.sys (NVIDIA Corporation)

DRV - (ha10kx2k) -- D:\WINDOWS\system32\drivers\ha10kx2k.sys (Creative Technology Ltd)

DRV - (emupia) -- D:\WINDOWS\system32\drivers\emupia2k.sys (Creative Technology Ltd)

DRV - (ctsfm2k) -- D:\WINDOWS\system32\drivers\ctsfm2k.sys (Creative Technology Ltd)

DRV - (ctprxy2k) -- D:\WINDOWS\system32\drivers\ctprxy2k.sys (Creative Technology Ltd)

DRV - (ossrv) -- D:\WINDOWS\system32\drivers\ctoss2k.sys (Creative Technology Ltd.)

DRV - (ctaud2k) Creative Audio Driver (WDM) -- D:\WINDOWS\system32\drivers\ctaud2k.sys (Creative Technology Ltd)

DRV - (ctac32k) -- D:\WINDOWS\system32\drivers\ctac32k.sys (Creative Technology Ltd)

DRV - (sfman) Creative-SoundFont-Verwaltungstreiber (WDM) -- D:\WINDOWS\system32\drivers\sfmanm.sys (Creative Technology Ltd.)

DRV - (emu10k1) Creative-Schnittstellen-Verwaltungstreiber (WDM) -- D:\WINDOWS\system32\drivers\ctlfacem.sys (Creative Technology Ltd.)

DRV - (emu10k) Creative SB Live! (WDM) -- D:\WINDOWS\system32\drivers\emu10k1m.sys (Creative Technology Ltd.)

DRV - (ctljystk) -- D:\WINDOWS\system32\drivers\ctljystk.sys (Creative Technology Ltd.)

DRV - (BrPar) -- D:\WINDOWS\System32\drivers\BrPar.sys (Brother Industries Ltd.)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

 

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0

 

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: E:\01_Rechner\01_Programme\01_Internet\FireFOXX\components [2010.12.12 16:48:10 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: E:\01_Rechner\01_Programme\01_Internet\FireFOXX\plugins [2010.12.12 16:48:10 | 000,000,000 | ---D | M]

 

[2010.11.05 20:24:07 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\Mozilla\Extensions

[2010.12.26 17:57:24 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\Mozilla\Firefox\Profiles\jumr10gi.default\extensions

[2010.11.05 20:26:27 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\Mozilla\Firefox\Profiles\jumr10gi.default\extensions\vshare@toolbar

 

O1 HOSTS File: ([2001.08.23 13:00:00 | 000,000,820 | ---- | M]) - D:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKCU..\RunOnce: [BrStsWnd.exe] D:\Programme\Brownie\BrStsWnd.exe (brother)

O4 - Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk = E:\01_Rechner\01_Programme\02_Multimedia\WinTV\Ir.exe (Hauppauge Computer Works)

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)

O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - D:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: D:\Dokumente und Einstellungen\ZENSIERT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: D:\Dokumente und Einstellungen\ZENSIERT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2005.02.12 12:33:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2004.05.01 00:00:00 | 000,000,360 | ---- | M] () - C:\AUTOEXEC.EP -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.12.26 17:58:50 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\Malwarebytes

[2010.12.26 17:58:44 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- D:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.12.26 17:58:43 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2010.12.26 17:58:40 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- D:\WINDOWS\System32\drivers\mbam.sys

[2010.12.26 17:57:43 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Downloads

[2010.12.19 19:00:35 | 000,000,000 | RH-D | C] -- D:\Dokumente und Einstellungen\ZENSIERT\Recent

[2010.12.14 14:35:44 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Test_ZENSIERT14

[2010.12.14 14:34:28 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\ZENSIERT\Anwendungsdaten\MiKTeX

[2010.12.14 14:34:23 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\ZENSIERT\Lokale Einstellungen\Anwendungsdaten\MiKTeX

[2010.12.14 14:22:47 | 000,082,432 | ---- | C] (Microsoft Corporation) -- D:\WINDOWS\System32\msxml4r.dll

[2010.12.14 14:22:47 | 000,044,544 | ---- | C] (Microsoft Corporation) -- D:\WINDOWS\System32\msxml4a.dll

[2010.12.14 13:09:00 | 000,000,000 | ---D | C] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MiKTeX

[2010.12.04 13:08:32 | 000,000,000 | ---D | C] -- D:\Programme\MSECache

[2010.11.09 14:31:28 | 000,065,536 | ---- | C] ( ) -- D:\WINDOWS\System32\a3d.dll

[4 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]

[1 D:\WINDOWS\System32\*.tmp files -> D:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.12.26 18:26:37 | 000,000,283 | ---- | M] () -- D:\WINDOWS\Brownie.ini

[2010.12.26 18:19:41 | 000,002,048 | --S- | M] () -- D:\WINDOWS\bootstat.dat

[2010.12.26 18:19:02 | 000,024,672 | ---- | M] () -- D:\WINDOWS\System32\BMXCtrlState-{00000001-00000000-00000007-00001102-00000002-80401102}.rfx

[2010.12.26 18:19:02 | 000,024,672 | ---- | M] () -- D:\WINDOWS\System32\BMXBkpCtrlState-{00000001-00000000-00000007-00001102-00000002-80401102}.rfx

[2010.12.26 18:19:02 | 000,016,420 | ---- | M] () -- D:\WINDOWS\System32\BMXStateBkp-{00000001-00000000-00000007-00001102-00000002-80401102}.rfx

[2010.12.26 18:19:02 | 000,016,420 | ---- | M] () -- D:\WINDOWS\System32\BMXState-{00000001-00000000-00000007-00001102-00000002-80401102}.rfx

[2010.12.26 18:19:02 | 000,001,080 | ---- | M] () -- D:\WINDOWS\System32\settingsbkup.sfm

[2010.12.26 18:19:02 | 000,001,080 | ---- | M] () -- D:\WINDOWS\System32\settings.sfm

[2010.12.26 18:19:02 | 000,000,024 | ---- | M] () -- D:\WINDOWS\System32\DVCStateBkp-{00000001-00000000-00000007-00001102-00000002-80401102}.dat

[2010.12.26 18:19:02 | 000,000,024 | ---- | M] () -- D:\WINDOWS\System32\DVCState-{00000001-00000000-00000007-00001102-00000002-80401102}.dat

[2010.12.26 17:58:44 | 000,001,028 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.12.26 17:33:12 | 000,135,096 | ---- | M] (Avira GmbH) -- D:\WINDOWS\System32\drivers\avipbb.sys

[2010.12.26 17:33:12 | 000,061,960 | ---- | M] (Avira GmbH) -- D:\WINDOWS\System32\drivers\avgntflt.sys

[2010.12.26 12:56:58 | 000,137,176 | ---- | M] () -- D:\WINDOWS\System32\drivers\PnkBstrK.sys

[2010.12.26 12:56:49 | 000,268,952 | ---- | M] () -- D:\WINDOWS\System32\PnkBstrB.xtr

[2010.12.26 12:27:10 | 000,014,113 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT26_vorab.pdf

[2010.12.26 12:26:53 | 000,034,816 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT26_vorab.doc

[2010.12.26 00:01:29 | 000,268,952 | ---- | M] () -- D:\WINDOWS\System32\PnkBstrB.ex0

[2010.12.25 18:43:38 | 000,002,206 | ---- | M] () -- D:\WINDOWS\System32\wpa.dbl

[2010.12.24 02:54:57 | 000,002,285 | ---- | M] () -- D:\WINDOWS\HCWPNP.INI

[2010.12.23 03:37:15 | 000,014,124 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT22_V02.pdf

[2010.12.23 03:37:02 | 000,034,816 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT22_V02.doc

[2010.12.23 03:26:09 | 000,014,489 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT22_V01.pdf

[2010.12.23 03:25:41 | 000,035,328 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT22_V01.doc

[2010.12.20 20:07:02 | 000,030,720 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT20_V01.doc

[2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- D:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- D:\WINDOWS\System32\drivers\mbam.sys

[2010.12.18 21:38:16 | 000,000,468 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Desktop\Verknüpfung (2) mit ET.lnk

[2010.12.17 22:27:09 | 000,001,333 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Desktop\Batch.bat

[2010.12.17 18:16:16 | 000,000,661 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Opera.lnk

[2010.12.17 01:14:10 | 000,000,468 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Desktop\ET.lnk

[2010.12.16 23:39:36 | 000,002,243 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk

[2010.12.16 02:45:48 | 000,013,263 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_vorab.pdf

[2010.12.16 02:44:36 | 000,030,720 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_vorab.doc

[2010.12.16 01:12:01 | 000,030,720 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_vorab_V01.doc

[2010.12.16 01:01:00 | 000,030,208 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_vorab_V01.doc

[2010.12.16 00:51:45 | 000,030,208 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_vorab.doc

[2010.12.15 15:31:46 | 000,014,979 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_V02.pdf

[2010.12.15 15:30:53 | 000,031,744 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_V02.doc

[2010.12.15 14:15:21 | 000,028,672 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_V01.doc

[2010.12.15 14:07:54 | 000,029,184 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15.doc

[2010.12.14 14:34:19 | 000,000,103 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\LaTeX1_TEST_ZENSIERT14.tex

[2010.12.14 14:22:48 | 000,000,816 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Desktop\TeXnicCenter.lnk

[2010.12.14 00:42:53 | 000,022,969 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT13_final.pdf

[2010.12.14 00:42:33 | 000,047,616 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT13_final.doc

[2010.12.14 00:13:50 | 000,049,664 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT12_final.doc

[2010.12.14 00:13:33 | 000,049,664 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT12_V04.doc

[2010.12.13 21:31:02 | 000,036,864 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT12_V03.doc

[2010.12.13 11:16:51 | 000,082,944 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT12_V02.doc

[2010.12.12 23:15:57 | 000,061,952 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT12_V01.doc

[2010.12.12 20:20:00 | 000,019,968 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch mit ZENSIERT_ZENSIERT12.doc

[2010.12.11 19:25:29 | 000,000,069 | ---- | M] () -- D:\WINDOWS\NeroDigital.ini

[2010.12.11 19:25:28 | 000,003,584 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.12.06 06:14:38 | 000,132,480 | ---- | M] () -- D:\WINDOWS\System32\FNTCACHE.DAT

[2010.12.06 01:22:20 | 000,019,968 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\WG-Putzplan_ZENSIERT02.xls

[2010.12.06 01:21:20 | 000,000,432 | ---- | M] () -- D:\WINDOWS\BRWMARK.INI

[2010.12.05 21:20:09 | 000,008,264 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\06.jpg

[2010.12.05 21:14:32 | 000,079,629 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\nikolaus2005_65.jpg

[2010.12.05 20:52:57 | 000,184,826 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\IMG_3136.jpg

[2010.12.05 20:19:29 | 000,023,335 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Bild 003 (Small).jpg

[2010.12.05 20:18:39 | 000,022,872 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Bild 007 (Small).jpg

[2010.12.05 20:17:57 | 000,019,896 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Bild 004 (Small).jpg

[2010.12.05 20:17:13 | 000,021,775 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Bild 006 (Small).jpg

[2010.12.02 21:36:12 | 000,025,601 | ---- | M] () -- D:\WINDOWS\CSTBox.INI

[2010.12.01 03:33:28 | 000,024,576 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\ZENSIERT_20101130.doc

[2010.11.27 22:31:58 | 000,024,576 | ---- | M] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch_ZENSIERT_20101127.doc

[4 D:\WINDOWS\*.tmp files -> D:\WINDOWS\*.tmp -> ]

[1 D:\WINDOWS\System32\*.tmp files -> D:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.12.26 17:58:44 | 000,001,028 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk

[2010.12.26 12:27:10 | 000,014,113 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT26_vorab.pdf

[2010.12.26 12:25:49 | 000,034,816 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT26_vorab.doc

[2010.12.23 03:37:15 | 000,014,124 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT22_V02.pdf

[2010.12.23 03:34:30 | 000,034,816 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT22_V02.doc

[2010.12.23 02:48:29 | 000,014,489 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT22_V01.pdf

[2010.12.23 02:06:15 | 000,035,328 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT22_V01.doc

[2010.12.20 18:55:57 | 000,030,720 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT20_V01.doc

[2010.12.18 21:38:15 | 000,000,468 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Desktop\Verknüpfung (2) mit ET.lnk

[2010.12.17 22:50:39 | 000,024,064 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Desktop\etmin.exe

[2010.12.17 22:27:09 | 000,001,333 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Desktop\Batch.bat

[2010.12.17 18:16:16 | 000,000,661 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Opera.lnk

[2010.12.16 01:12:39 | 000,030,720 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_vorab.doc

[2010.12.16 01:12:22 | 000,013,263 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_vorab.pdf

[2010.12.16 01:10:49 | 000,030,720 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_vorab_V01.doc

[2010.12.16 00:51:50 | 000,030,208 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_vorab_V01.doc

[2010.12.16 00:48:27 | 000,030,208 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_vorab.doc

[2010.12.15 15:31:45 | 000,014,979 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_V02.pdf

[2010.12.15 14:46:12 | 000,031,744 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_V02.doc

[2010.12.15 14:09:04 | 000,028,672 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15_V01.doc

[2010.12.15 13:27:31 | 000,029,184 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Expose_ZENSIERT_ZENSIERT15.doc

[2010.12.14 14:34:19 | 000,000,103 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\LaTeX1_TEST_ZENSIERT14.tex

[2010.12.14 14:22:48 | 000,000,816 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Desktop\TeXnicCenter.lnk

[2010.12.14 00:24:19 | 000,022,969 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT13_final.pdf

[2010.12.14 00:13:57 | 000,047,616 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT13_final.doc

[2010.12.14 00:13:50 | 000,049,664 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT12_final.doc

[2010.12.13 21:31:06 | 000,049,664 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT12_V04.doc

[2010.12.13 11:16:55 | 000,036,864 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT12_V03.doc

[2010.12.12 23:19:25 | 000,082,944 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT12_V02.doc

[2010.12.12 20:23:00 | 000,061,952 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch ZENSIERT_ZENSIERT12_V01.doc

[2010.12.12 20:19:59 | 000,019,968 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch mit ZENSIERT_ZENSIERT12.doc

[2010.12.11 19:25:28 | 000,003,584 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.12.05 21:20:07 | 000,008,264 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\06.jpg

[2010.12.05 21:13:59 | 000,079,629 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\nikolaus2005_65.jpg

[2010.12.05 20:51:49 | 000,184,826 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\IMG_3136.jpg

[2010.12.05 20:19:25 | 000,023,335 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Bild 003 (Small).jpg

[2010.12.05 20:18:34 | 000,022,872 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Bild 007 (Small).jpg

[2010.12.05 20:17:51 | 000,019,896 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Bild 004 (Small).jpg

[2010.12.05 20:16:58 | 000,021,775 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Bild 006 (Small).jpg

[2010.12.03 00:59:44 | 000,019,968 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\WG-Putzplan_ZENSIERT02.xls

[2010.12.01 03:16:28 | 000,024,576 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\ZENSIERT_20101130.doc

[2010.11.27 17:20:40 | 000,024,576 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Eigene Dateien\Gespräch_ZENSIERT_20101127.doc

[2010.11.24 15:04:47 | 000,000,069 | ---- | C] () -- D:\WINDOWS\NeroDigital.ini

[2010.11.23 10:39:28 | 000,000,156 | ---- | C] () -- D:\Dokumente und Einstellungen\ZENSIERT\Lokale Einstellungen\Anwendungsdaten\xobni_installer_updater.log

[2010.11.16 12:46:26 | 000,025,601 | ---- | C] () -- D:\WINDOWS\CSTBox.INI

[2010.11.09 14:31:50 | 000,000,231 | ---- | C] () -- D:\WINDOWS\AC3API.INI

[2010.11.09 14:31:30 | 000,037,727 | ---- | C] () -- D:\WINDOWS\System32\Emu10kx.ini

[2010.11.09 14:31:30 | 000,000,029 | ---- | C] () -- D:\WINDOWS\System32\ctzapxx.ini

[2010.11.09 14:31:29 | 000,000,180 | ---- | C] () -- D:\WINDOWS\System32\KILL.INI

[2010.11.09 13:42:05 | 000,000,128 | ---- | C] () -- D:\WINDOWS\SBWIN.INI

[2010.11.09 02:10:10 | 000,819,200 | ---- | C] () -- D:\WINDOWS\System32\xvidcore.dll

[2010.11.09 02:10:10 | 000,180,224 | ---- | C] () -- D:\WINDOWS\System32\xvidvfw.dll

[2010.11.03 21:47:45 | 000,137,176 | ---- | C] () -- D:\WINDOWS\System32\drivers\PnkBstrK.sys

[2010.11.03 16:57:07 | 000,000,000 | ---- | C] () -- D:\WINDOWS\brmx2001.ini

[2010.11.03 16:57:06 | 000,000,114 | ---- | C] () -- D:\WINDOWS\System32\brlmw03a.ini

[2010.11.03 16:57:05 | 000,009,030 | ---- | C] () -- D:\WINDOWS\HL-2030.INI

[2010.11.03 16:56:49 | 000,000,432 | ---- | C] () -- D:\WINDOWS\BRWMARK.INI

[2010.11.03 16:54:51 | 000,000,283 | ---- | C] () -- D:\WINDOWS\Brownie.ini

[2010.10.31 20:07:06 | 000,000,399 | ---- | C] () -- D:\WINDOWS\vtplus32.ini

[2010.10.31 20:06:42 | 000,033,117 | ---- | C] () -- D:\WINDOWS\Irremote.ini

[2010.10.31 20:06:37 | 000,065,536 | ---- | C] () -- D:\WINDOWS\System32\dmcrypto.dll

[2010.10.31 20:06:15 | 000,163,840 | ---- | C] () -- D:\WINDOWS\System32\hcwChDB.dll

[2010.10.31 20:03:38 | 000,000,053 | ---- | C] () -- D:\WINDOWS\System32\UNWISE.INI

[2010.10.31 20:03:08 | 000,002,285 | ---- | C] () -- D:\WINDOWS\HCWPNP.INI

[2010.10.31 20:00:07 | 000,363,520 | ---- | C] () -- D:\WINDOWS\System32\PsisDecd.dll

[2010.10.31 15:15:47 | 000,000,507 | ---- | C] () -- D:\WINDOWS\ODBC.INI

[2010.10.31 12:05:05 | 000,116,224 | ---- | C] () -- D:\WINDOWS\System32\pdfcmnnt.dll

[2010.10.31 00:51:35 | 000,004,161 | ---- | C] () -- D:\WINDOWS\ODBCINST.INI

[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- D:\WINDOWS\System32\OUTLPERF.INI
 

< End of report >

--- --- ---

Extras.txt:

Code:

OTL Extras logfile created on: 26.12.2010 18:35:32 - Run 1

OTL by OldTimer - Version 3.2.18.0     Folder = E:\01_Rechner\01_Programme\04_System

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 88,00% Memory free

3,00 Gb Paging File | 3,00 Gb Available in Paging File | 91,00% Paging File free

Paging file location(s): D:\pagefile.sys 384 384 [binary data]

 

%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme

Drive C: | 7,45 Gb Total Space | 2,71 Gb Free Space | 36,36% Space Free | Partition Type: NTFS

Drive D: | 15,63 Gb Total Space | 7,17 Gb Free Space | 45,87% Space Free | Partition Type: NTFS

Drive E: | 580,54 Gb Total Space | 510,93 Gb Free Space | 88,01% Space Free | Partition Type: NTFS

Drive F: | 46,94 Gb Total Space | 41,41 Gb Free Space | 88,22% Space Free | Partition Type: FAT32

Drive G: | 962,10 Mb Total Space | 131,27 Mb Free Space | 13,64% Space Free | Partition Type: FAT32

Drive I: | 20,11 Gb Total Space | 10,61 Gb Free Space | 52,74% Space Free | Partition Type: FAT32

 

Computer Name: SD-8EC44F3A2DD5 | User Name: ZENSIERT | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.html [@ = Opera.HTML] -- E:\01_Rechner\01_Programme\01_Internet\opera\Opera.exe (Opera Software)

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

http [open] -- "E:\01_Rechner\01_Programme\01_Internet\opera\opera.exe" "%1" (Opera Software)

https [open] -- "E:\01_Rechner\01_Programme\01_Internet\opera\opera.exe" "%1" (Opera Software)

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [AddToPlaylistVLC] -- "E:\01_Rechner\01_Programme\02_Multimedia\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [PlayWithVLC] -- "E:\01_Rechner\01_Programme\02_Multimedia\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"E:\01_Rechner\01_Programme\01_Internet\opera\opera.exe" = E:\01_Rechner\01_Programme\01_Internet\opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)

"I:\12-games\ETerritory\ET.exe" = I:\12-games\ETerritory\ET.exe:*:Enabled:ET -- ()

"E:\01_Rechner\01_Programme\02_Multimedia\TV\Sopcast\adv\SopAdver.exe" = E:\01_Rechner\01_Programme\02_Multimedia\TV\Sopcast\adv\SopAdver.exe:*:Enabled:SopCast Adver -- (www.sopcast.com)

"E:\01_Rechner\01_Programme\02_Multimedia\TV\Sopcast\SopCast.exe" = E:\01_Rechner\01_Programme\02_Multimedia\TV\Sopcast\SopCast.exe:*:Enabled:SopCast Main Application -- (www.sopcast.com)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator

"{089DD780-DB3F-4CDB-A0C2-111360247298}" = PC Connectivity Solution

"{1B9B5B3B-28E7-4E59-A80D-D670AA984514}" = Nokia Connectivity Cable Driver

"{1D3EC6B0-1D44-4335-964A-1896E2860D70}" = Brother HL-2035

"{1EE88B84-7BE5-4FB5-8DEA-B81D5409D62E}" = Opera 11.00

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{2227E1FA-01F5-483C-AB0E-2A308E900B3D}" = InterVideo FilterSDK for Hauppauge

"{225DB4AA-3CFF-47E8-B3C8-6DAD713E986E}" = Nokia PC Suite

"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 22

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{3FCAADB8-EB1B-11D6-AB2D-0090271A23A2}" = Sound Blaster Live! Web 2K/XP

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{505C35BE-9B9F-4136-92F8-9BE0D3D6E54B}" = Lookeen

"{5754AB15-F61B-4B9B-91AA-E286F55CFA8B}" = PDF-XChange Viewer

"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053

"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2

"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable

"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable

"{B1BFDF6B-3C03-46fe-B5D7-BABB0063D8E0}" = pdfforge Toolbar v4.1

"{B508B3F1-A24A-32C0-B310-85786919EF28}" = Microsoft .NET Framework 2.0 Service Pack 1

"{BCE46757-7674-4416-BEDB-68205A60409E}" = Canon CanoScan Toolbox 4.1

"{BD136CE7-6666-4273-A056-8D92F8625AAB}" = Sun ODF Plugin for Microsoft Office 3.2

"{D7A6C517-11F2-419F-B5BB-27772B939698}" = NvMixer

"{D8E1DFEE-622B-46BA-AEFF-AB7E541C0B21}" = Steuer-Spar-Erklärung 2010

"{DF2035BE-5820-4965-BD97-7FAF8D4A7879}" = Microsoft_VC90_CRT_x86

"{DF6FE172-006A-4324-AF7F-ACFE4BA290FE}" = AAVUpdateManager

"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0

"34EA302E7F4CBD17A19E33BBCB72363234956D7E" = Windows-Treiberpaket - Nokia Modem  (06/09/2010 4.5)

"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)

"AC3Filter" = AC3Filter (remove only)

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software

"ATI Display Driver" = ATI Display Driver

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"CCleaner" = CCleaner

"DivX Setup.divx.com" = DivX-Setup

"EEEE705096F837B7907659F100C9FE6DA001970F" = Windows-Treiberpaket - Nokia Modem  (06/09/2010 7.01.0.7)

"foobar2000" = foobar2000 v1.1.1

"Hauppauge German Help Files and Resources" = Hauppauge German Help Files and Resources

"Hauppauge WinTV" = Hauppauge WinTV

"Hauppauge WinTV Infrared Remote" = Hauppauge WinTV Infrared Remote

"Hauppauge WinTV Location Manager" = Hauppauge WinTV Location Manager

"Hauppauge WinTV Scheduler" = Hauppauge WinTV Scheduler

"Hauppauge WinTV Soft PVR" = Hauppauge WinTV Soft PVR

"LameACM" = Lame ACM MP3 Codec

"LastFM_is1" = Last.fm 1.5.4.27091

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"MiKTeX 2.9" = MiKTeX 2.9

"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)

"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition

"Nokia PC Suite" = Nokia PC Suite

"NVIDIA Drivers" = NVIDIA Drivers

"RichiStudios Shutdown" = RichiStudios Shutdown 3.00 

"SopCast" = SopCast 3.2.4

"TeamSpeak 3 Client" = TeamSpeak 3 Client

"TeXnicCenter_is1" = TeXnicCenter Version 1.0 Stable RC1

"VLC media player" = VLC media player 1.1.4

"VTPlus32 für WinTV (German)" = VTPlus32 für WinTV (German)

"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9

"Windows XP Service Pack" = Windows XP Service Pack 3

"Xvid_is1" = Xvid 1.2.2 final uninstall

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 29.11.2010 21:09:55 | Computer Name = SD-8EC44F3A2DD5 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.8169.0, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 09.12.2010 05:28:55 | Computer Name = SD-8EC44F3A2DD5 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.8169.0, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 09.12.2010 05:30:20 | Computer Name = SD-8EC44F3A2DD5 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.8169.0, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 13.12.2010 18:48:36 | Computer Name = SD-8EC44F3A2DD5 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.8169.0, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 13.12.2010 20:18:56 | Computer Name = SD-8EC44F3A2DD5 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ET.exe, Version 0.0.0.0, Stillstandmodul hungapp,

 Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 15.12.2010 07:22:32 | Computer Name = SD-8EC44F3A2DD5 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.8169.0, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 16.12.2010 06:14:20 | Computer Name = SD-8EC44F3A2DD5 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.8169.0, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 19.12.2010 14:21:43 | Computer Name = SD-8EC44F3A2DD5 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ET.exe, Version 0.0.0.0, Stillstandmodul hungapp,

 Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 20.12.2010 19:41:23 | Computer Name = SD-8EC44F3A2DD5 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung ET.exe, Version 0.0.0.0, Stillstandmodul hungapp,

 Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 26.12.2010 07:07:34 | Computer Name = SD-8EC44F3A2DD5 | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung OUTLOOK.EXE, Version 11.0.8169.0, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

[ System Events ]

Error - 26.12.2010 12:32:10 | Computer Name = SD-8EC44F3A2DD5 | Source = ati2mtag | ID = 43038

Description = EDID contain an error in the RangeLimit field

 

Error - 26.12.2010 12:33:20 | Computer Name = SD-8EC44F3A2DD5 | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek Swissflash USB Device nicht laden.

 

Error - 26.12.2010 12:33:26 | Computer Name = SD-8EC44F3A2DD5 | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek Swissflash USB Device nicht laden.

 

Error - 26.12.2010 12:40:22 | Computer Name = SD-8EC44F3A2DD5 | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek Swissflash USB Device nicht laden.

 

Error - 26.12.2010 12:40:23 | Computer Name = SD-8EC44F3A2DD5 | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek Swissflash USB Device nicht laden.

 

Error - 26.12.2010 12:41:11 | Computer Name = SD-8EC44F3A2DD5 | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek Swissflash USB Device nicht laden.

 

Error - 26.12.2010 12:41:13 | Computer Name = SD-8EC44F3A2DD5 | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek Swissflash USB Device nicht laden.

 

Error - 26.12.2010 13:19:52 | Computer Name = SD-8EC44F3A2DD5 | Source = sr | ID = 1

Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 

Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung

 wurde angehalten.

 

Error - 26.12.2010 13:19:52 | Computer Name = SD-8EC44F3A2DD5 | Source = ati2mtag | ID = 43038

Description = EDID contain an error in the RangeLimit field

 

Error - 26.12.2010 13:19:52 | Computer Name = SD-8EC44F3A2DD5 | Source = ati2mtag | ID = 43038

Description = EDID contain an error in the RangeLimit field

 

 

< End of report >

--- --- ---

Zitat:

Scan type: Quick scan

Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Inzwischen hat Antivir noch folgendes gefunden:

TR/Trash.Gen

in Datei: A0010457.dll

Was tun?
- Quarantäne
- Löschen
- ???

Parallel wird der volle Scan durchgeführt

Hier das Log-File:

Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Database version: 5400
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

27.12.2010 01:40:18

mbam-log-2010-12-27 (01-40-18).txt
 

Scan type: Full scan (C:\|D:\|E:\|F:\|G:\|I:\|)

Objects scanned: 427655

Time elapsed: 1 hour(s), 39 minute(s), 9 second(s)
 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 3
 

Memory Processes Infected:

(No malicious items detected)
 

Memory Modules Infected:

(No malicious items detected)
 

Registry Keys Infected:

(No malicious items detected)
 

Registry Values Infected:

(No malicious items detected)
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

d:\programme\pdfforge toolbar\widgihelper.exe (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

e:\05_Mucke\01_diverse\ZENSIERT\ZENSIERT [ZENSIERT]\1) ZENSIERT\ZENSIERT.exe (Malware.Tool) -> Quarantined and deleted successfully.

f:\system volume information\_restore{c5f54cbe-6298-4bbf-9d75-416f5224a1aa}\RP1\A0001036.exe (Malware.Tool) -> Quarantined and deleted successfully.

"I:" ist der USB-Stick

Hallo :-)

So, jetzt hab ich den SUPER-GAU: :schrei:
Nachdem ich Malwarebytes erlaubt habe die gefundenen Objekte zu löschen, hab ich den "Neustart" des Systems autorisiert...
...und jetzt lässt sich Windows nicht mehr starten!

Bis zum F8 drücken komme ich, bei Auswahl

- "Windows normal" --> gleich Neustart
- "abgesicherter Modus" --> er fängt an die Treiber zu laden, jedoch kommt auch hier dann (etwas später) der automatische Neustart
- "Letzte als funktionierende bekannte Konfiguration" hab ich bisher sicherheitshalber nicht gemacht (wollt erst auf nen Ratschlag hier warten)

Bin ratlos und würd mich super freuen, wenn mir geholfen werden könnte! :confused:

PS: Eine Ubuntu-Start-CD (inkl. I-Net-Zugang) ist vorhanden, also könnt ich Notfalls auf den Rechner zugreifen.

Edith fügt hinzu, dass sie vermutet, dass das Löschen der letzten Datei schuld ist, weil das für sie wie ne Systemwiederherstellungsdatei aussieht!?
Des Weiteren fügt Edith hinzu, dass der Rechner nicht bis zum Windows-Logo kommt.

FYI:

Zitat:

Zitat von cosinus (Beitrag 602602)

--> Quick-Scan hatte ich ausgeführt, weil es so in der Anleitung stand.

Zitat:

Zitat von El Toco (Beitrag 602652)

Inzwischen hat Antivir noch folgendes gefunden:

TR/Trash.Gen

in Datei: A0010457.dll

Was tun?
- Quarantäne
- Löschen
- ???

Parallel wird der volle Scan durchgeführt

Wurde übrigens vor dem Malwarebytes-Scan in Quarantäne verschoben.

Zitat:

e:\05_Mucke\01_diverse\ZENSIERT\ZENSIERT [ZENSIERT]\1) ZENSIERT\ZENSIERT.exe

Was ist eine zensiert.exe? :rolleyes:

Zitat:

Zitat von cosinus (Beitrag 602735)

Was ist eine zensiert.exe? :rolleyes:

Das ist eine private Datei, die früher auch schon ein, zweimal als malware identifiziert worden ist -letztendlich aber irrelevant.

Wieso?

Poste bitte den Dateinamen!!

Das ist schwierig, bin auf der Arbeit und zu Haus hab ich (erst heut Abend) nur über die Ubuntu-Start-CD Zugriff (und die Datei ist ja inzwischen gelöscht)...

Da sie aber schon seit Jahren auf meinem Rechner ist und niemals für Ärger gesorgt hat, denke ich dass sie zu vernachlässigen ist!?

Dann beschreib bitte die Funktion/Sinn+Zweck der Datei.

Puuuh, wenn ich sie überhaupt mal ausgeführt habe dann ist das Jahre her!

Also, zum Hintergrund:
"Zensiert" steht da, weil ich per suchen und ersetzen alles persönliche (Namen) überschrieben habe.

Die Datei ist schon ziemlich alt. Ich hab die (so glaub ich) von nem Freund / Bekannten. Ich meine sie ist selbstgeschrieben (von ihm oder wieder von einem anderen). Sie stand aber für sich alleine -also bezog sich nicht auf andere Dateien.

Reicht das?

Spekulation: XP-Funktionen abschalten / auslesen oder sowas.

Ok :rolleyes:

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Die Installation von CCleaner klappt nicht, (wohl weil ich nur mit Ubuntu-Start-CD ins System komme).

Zwar hatte ich auf meinem nicht mehr betriebsfähigem System CCleaner bereits installiert, jedoch lässt sich das auch nicht starten.

...und jetzt?

Trotzdem CoFi starten?

BTW: Wirkliche Probleme (also der permanente Neustart des Systems) traten erst nach der Malwarebytes-Bereinigung auf.

Sry hab übersehen/vergessen dass dein Windows nicht mehr startet.
Probier mal die letzte als funktionierend bekannte Konfig aus.
Aber im letzten Log von MBAM seh ich so nichts, was das Startproblem verursacht haben könnte :wtf:

nop

Ich kann Antivir nicht deaktivieren!

Zwar ist der Antivir Guard deaktiviert, trotzdem kommt bei ComboFix die Warnmeldung, dass es aktiviert ist!

Ausgiebige I-Net Recherche hat keine weitere Hilfe gebracht :confused:

...und nu!?

Trotzdem starten?

Edith sagt:
1) Start mit letzte laufende Konfiguration hat geklappt
2) CCleaner runtergeladen und gemäß Anleitung genutzt
3) ComboFix gestartet und dann s.o.

Äh startet Windows jetzt doch wieder? :balla:
Notfalls AntiVir deinstallieren (zumindest vorübergehend)

Zitat:

Zitat von cosinus (Beitrag 603190)

Äh startet Windows jetzt doch wieder? :balla:
Notfalls AntiVir deinstallieren (zumindest vorübergehend)

Ja, Windows startet jetzt wieder, weil "letzte als funktionierende Konfiguration starten" geklappt hat.

Ja klappt es denn mit cofi wenn du AntiVir deinstalliert hast?

So, Antivir ist deinstalliert.

ComboFix zeigt mir an, dass ich keine "Microsoft Wiederherstellungskonsole" habe und bietet mir an diese runterzuladen und zu installieren.

Habe ComboFix jetzt noch nicht durchlaufen lassen, weil ich das sehr seltsam finde!?

Ist ok so, bitte die WHK installieren!!

So, comboFix ist durch.
Während des Scans gab es einen Neustart. Die Begründung war, dass "Rootkitaktivitäten" festgestellt wurden. Nach dem Neustart lief ComboFix dann automatisch bis zum Ende. Das Log sieht so aus:

Code:

ComboFix 10-12-26.01 - ZENSIERT 28.12.2010  20:30:11.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3071.2742 [GMT 1:00]

ausgeführt von:: d:\dokumente und einstellungen\ZENSIERT\Desktop\CoFi.exe

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

d:\windows\system32\Drivers\gkllv.sys
 

.

(((((((((((((((((((((((   Dateien erstellt von 2010-11-28 bis 2010-12-28  ))))))))))))))))))))))))))))))

.
 

2010-12-26 16:58 . 2010-12-26 16:58        --------        d-----w-        d:\dokumente und einstellungen\ZENSIERT\Anwendungsdaten\Malwarebytes

2010-12-26 16:58 . 2010-12-20 17:09        38224        ----a-w-        d:\windows\system32\drivers\mbamswissarmy.sys

2010-12-26 16:58 . 2010-12-26 16:58        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2010-12-26 16:58 . 2010-12-20 17:08        20952        ----a-w-        d:\windows\system32\drivers\mbam.sys

2010-12-14 13:34 . 2010-12-14 13:34        --------        d-----w-        d:\dokumente und einstellungen\ZENSIERT\Anwendungsdaten\MiKTeX

2010-12-14 13:34 . 2010-12-14 13:34        --------        d-----w-        d:\dokumente und einstellungen\ZENSIERT\Lokale Einstellungen\Anwendungsdaten\MiKTeX

2010-12-14 13:22 . 2008-08-02 10:58        82432        ----a-w-        d:\windows\system32\msxml4r.dll

2010-12-14 13:22 . 2008-08-02 10:58        44544        ----a-w-        d:\windows\system32\msxml4a.dll

2010-12-14 13:22 . 2008-08-02 10:58        1233920        ----a-w-        d:\windows\system32\msxml4.dll

2010-12-14 12:09 . 2010-12-14 12:09        --------        d-----w-        d:\dokumente und einstellungen\All Users\Anwendungsdaten\MiKTeX

2010-12-04 12:08 . 2010-12-04 12:08        --------        d-----w-        d:\programme\MSECache
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-12-27 22:26 . 2010-11-03 20:47        137176        ----a-w-        d:\windows\system32\drivers\PnkBstrK.sys

2010-12-27 22:26 . 2010-10-31 18:45        268952        ----a-w-        d:\windows\system32\PnkBstrB.exe

2010-12-27 22:26 . 2010-10-31 18:45        268952        ----a-w-        d:\windows\system32\PnkBstrB.xtr

2010-12-26 11:56 . 2010-10-31 18:45        268952        ----a-w-        d:\windows\system32\PnkBstrB.ex0

2010-11-30 10:39 . 2010-10-31 18:45        75136        ----a-w-        d:\windows\system32\PnkBstrA.exe

2010-11-05 11:41 . 2010-11-05 11:41        73728        ----a-w-        d:\windows\system32\javacpl.cpl

2010-11-05 11:41 . 2010-11-05 11:41        472808        ----a-w-        d:\windows\system32\deployJava1.dll

2010-11-03 18:58 . 2010-11-03 18:58        53248        ----a-r-        d:\dokumente und einstellungen\ZENSIERT\Anwendungsdaten\Microsoft\Installer\{DF6FE172-006A-4324-AF7F-ACFE4BA290FE}\ARPPRODUCTICON.exe

2010-11-03 15:29 . 2010-11-03 15:32        697897        ----a-w-        d:\windows\unins000.exe

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"BrStsWnd.exe"="d:\programme\Brownie\BrStsWnd.exe" [2007-12-31 1897784]
 

d:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

AutoStart IR.lnk - e:\01_rechner\01_Programme\02_Multimedia\WinTV\Ir.exe [2010-10-31 110647]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrStsWnd.exe]

2007-12-31 12:42        1897784        ------w-        d:\programme\Brownie\BRSTSWND.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]

2010-09-16 20:04        1164584        ----a-w-        d:\programme\DivX\DivX Update\DivXUpdate.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Jet Detection]

2001-11-29 00:00        28672        ----a-w-        d:\programme\Creative\SBLive\Program\ADGJDet.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 10:50        155648        ----a-w-        d:\windows\system32\NeroCheck.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray]

2004-06-03 18:51        131072        ----a-w-        d:\programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RSShutdown]

2004-06-24 15:16        20480        ----a-w-        e:\01_rechner\01_Programme\02_Multimedia\shutdown\Autostart.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings]

2010-10-22 15:47        524288        ----a-w-        d:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2010-05-14 10:44        248552        ----a-w-        d:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINDVDPatch]

2002-07-02 16:56        24576        ----a-w-        d:\windows\system32\CTHELPER.EXE
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"e:\\01_Rechner\\01_Programme\\01_Internet\\opera\\opera.exe"=

"d:\\Programme\\Skype\\Phone\\Skype.exe"=

"d:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=

"i:\\12-games\\ETerritory\\ET.exe"=

"e:\\01_Rechner\\01_Programme\\02_Multimedia\\TV\\Sopcast\\adv\\SopAdver.exe"=

"e:\\01_Rechner\\01_Programme\\02_Multimedia\\TV\\Sopcast\\SopCast.exe"=
 

R0 Si3112r;Silicon Image SiI 3112 SATARaid Controller;d:\windows\system32\drivers\SI3112r.sys [05.08.2009 19:30 102528]

R2 AAV UpdateService;AAV UpdateService;e:\01_rechner\01_Programme\03_Office\Steuer\AAVUpdateManager\aavus.exe [24.10.2008 16:35 128296]

R2 Application Updater;Application Updater;d:\programme\Application Updater\ApplicationUpdater.exe [22.10.2010 16:38 386560]

R2 RSShutdown;RichiStudios Shutdown;e:\01_rechner\01_Programme\02_Multimedia\shutdown\Service.exe [03.11.2010 01:41 45056]

.

.

------- Zusätzlicher Suchlauf -------

.

IE: Nach Microsoft &Excel exportieren - d:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - d:\dokumente und einstellungen\ZENSIERT\Anwendungsdaten\Mozilla\Firefox\Profiles\jumr10gi.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - e:\01_rechner\01_Programme\01_Internet\FireFOXX\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Quick Starter: jqs@sun.com - d:\programme\Java\jre6\lib\deploy\jqs\ff

FF - Ext: vShare: vshare@toolbar - %profile%\extensions\vshare@toolbar

.
 

**************************************************************************
 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2010-12-28 20:32

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Gesperrte Registrierungsschluessel ---------------------
 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~ *]

"7040110900063D11C8EF10054038389C"="D?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(688)

d:\windows\system32\Ati2evxx.dll

d:\windows\system32\SAMLIB.dll

.

Zeit der Fertigstellung: 2010-12-28  20:33:55

ComboFix-quarantined-files.txt  2010-12-28 19:33
 

Vor Suchlauf: 7.819.350.016 Bytes frei

Nach Suchlauf: 7.796.740.096 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(1)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

- - End Of File - - E1A8CEB496FD022060FD075D07D664B6

Was sagt mir das nu?

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Zitat:

Zitat von cosinus (Beitrag 603622)

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

GMER

Code:

GMER 1.0.15.15530 - hxxp://www.gmer.net

Rootkit scan 2010-12-28 21:34:59

Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD800JB-00ETA0 rev.77.07W77

Running: 54fcvcio.exe; Driver: D:\DOKUME~1\Jens\LOKALE~1\Temp\awacakod.sys
 
 

---- System - GMER 1.0.15 ----
 

Code            \??\D:\DOKUME~1\Zensiert\LOKALE~1\Temp\catchme.sys  pIofCallDriver
 

---- Kernel code sections - GMER 1.0.15 ----
 

init            D:\WINDOWS\system32\drivers\nvax.sys            entry point in "init" section [0xF757EB8D]

.text           D:\WINDOWS\system32\DRIVERS\ati2mtag.sys        section is writeable [0xB790E000, 0x1C5D38, 0xE8000020]

?               D:\DOKUME~1\Jens\LOKALE~1\Temp\catchme.sys      Das System kann die angegebene Datei nicht finden. !

?               D:\WINDOWS\system32\Drivers\PROCEXP113.SYS      Das System kann die angegebene Datei nicht finden. !
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \FileSystem\Ntfs \Ntfs                          SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)

AttachedDevice  \FileSystem\Fastfat \Fat                        SiWinAcc.sys (Windows Accelerator Driver/Silicon Image, Inc.)
 

---- EOF - GMER 1.0.15 ----

OSAM

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 21:46:13 on 28.12.2010
 

OS: Windows XP Professional Service Pack 3 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.5512
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"AudioHQU.cpl" - "Creative Technology Ltd." - D:\WINDOWS\system32\AudioHQU.cpl

"DivXControlPanelApplet.cpl" - "DivX, Inc." - D:\WINDOWS\system32\DivXControlPanelApplet.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - D:\WINDOWS\system32\javacpl.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal - Free Antivirus " - ? - D:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl  (File not found)

"NokiaConnectionManager" - "Nokia" - E:\01_REC~1\01_PRO~1\03_OFF~1\Nokia\NOKIAP~1\CONNEC~1.CPL
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"ati2mtag" (ati2mtag) - "ATI Technologies Inc." - D:\WINDOWS\System32\DRIVERS\ati2mtag.sys

"awacakod" (awacakod) - ? - D:\DOKUME~1\Zensiert\LOKALE~1\Temp\awacakod.sys  (Hidden registry entry, rootkit activity | File not found)

"BrPar" (BrPar) - "Brother Industries Ltd." - D:\WINDOWS\System32\drivers\BrPar.sys

"catchme" (catchme) - ? - D:\DOKUME~1\Zensiert\LOKALE~1\Temp\catchme.sys  (File not found)

"Changer" (Changer) - ? - D:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"i2omgmt" (i2omgmt) - ? - D:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"lbrtfdc" (lbrtfdc) - ? - D:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"mbr" (mbr) - ? - D:\DOKUME~1\Zensiert\LOKALE~1\Temp\mbr.sys  (Hidden registry entry, rootkit activity | File not found)

"PCIDump" (PCIDump) - ? - D:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - D:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - D:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - D:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - D:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"WDICA" (WDICA) - ? - D:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - D:\WINDOWS\system32\Rundll32.exe D:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A} "PXCInfoShlExt Class" - "Tracker Software Products Ltd." - D:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - D:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - D:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - D:\WINDOWS\system32\mscoree.dll

{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

-----( HKLM\Software\Classes\Protocols\Handler )-----

{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{88895560-9AA2-1069-930E-00AA0030EBC8} "Erweiterung für HyperTerminal-Icons" - ? -   (File not found | COM-object registry key not found)

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Programme\Microsoft Office\OFFICE11\msohev.dll

{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll

{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL

{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll

{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" - "Nokia" - E:\01_Rechner\01_Programme\03_Office\Nokia\Nokia PC Suite 7\PhoneBrowser.dll

{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL

{CF822AB4-6DB5-4FDA-BC28-E61DF36D2583} "PDF-XChange PDF Preview Provider" - "Tracker Software Products Ltd." - D:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll

{67EB453C-1BE1-48EC-AAF3-23B10277FCC1} "PDF-XChange PDF Property Handler" - "Tracker Software Products Ltd." - D:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll

{EBD0B8F4-A9A0-41B7-9695-030CD264D9C8} "PDF-XChange PDF Thumbnail Provider" - "Tracker Software Products Ltd." - D:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll

{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A} "PXCInfoShlExt Class" - "Tracker Software Products Ltd." - D:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll

{5B043439-4F53-436E-8CFE-28F80934DBE6} "PXCPreviewHandlerXP Class" - "Tracker Software Products Ltd." - D:\Programme\Tracker Software\Shell Extensions\PXCPrevHost.exe

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - D:\WINDOWS\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - D:\WINDOWS\system32\dfshim.dll

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
 

[Internet Explorer]

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

"AutoStart IR.lnk" - "Hauppauge Computer Works" - E:\01_Rechner\01_Programme\02_Multimedia\WinTV\Ir.exe  (Shortcut exists | File exists)

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - D:\Dokumente und Einstellungen\Zensiert\Startmenü\Programme\Autostart\desktop.ini

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce )-----

"BrStsWnd.exe" - "brother" - D:\Programme\Brownie\BrStsWnd.exe WindowsStartUpModel
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - D:\WINDOWS\system32\mdimon.dll

"PDFCreator" - ? - D:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"AAV UpdateService" (AAV UpdateService) - ? - E:\01_Rechner\01_Programme\03_Office\Steuer\AAVUpdateManager\aavus.exe

"Application Updater" (Application Updater) - "Spigot, Inc." - D:\Programme\Application Updater\ApplicationUpdater.exe

"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Ati HotKey Poller" (Ati HotKey Poller) - "ATI Technologies Inc." - D:\WINDOWS\system32\Ati2evxx.exe

"ATI Smart" (ATI Smart) - ? - D:\WINDOWS\system32\ati2sgag.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\jqs.exe

"Office Source Engine" (ose) - "Microsoft Corporation" - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

"PnkBstrA" (PnkBstrA) - ? - D:\WINDOWS\system32\PnkBstrA.exe  (File found, but it contains no detailed information)

"RichiStudios Shutdown" (RSShutdown) - "RichiStudios" - E:\01_Rechner\01_Programme\02_Multimedia\shutdown\service.exe

"ServiceLayer" (ServiceLayer) - "Nokia" - D:\Programme\PC Connectivity Solution\ServiceLayer.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----

"AtiExtEvent" - "ATI Technologies Inc." - D:\WINDOWS\system32\Ati2evxx.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===
 

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

MBRCHECK:

Code:

MBRCheck, version 1.2.3

(c) 2010, AD
 

Command-line:                        

Windows Version:                Windows XP Professional

Windows Information:                Service Pack 3 (build 2600)

Logical Drives Mask:                0x000001bd
 

Kernel Drivers (total 136):

  0x804D7000 \WINDOWS\system32\ntoskrnl.exe

  0x806EE000 \WINDOWS\system32\hal.dll

  0xF7987000 \WINDOWS\system32\KDCOM.DLL

  0xF7897000 \WINDOWS\system32\BOOTVID.dll

  0xF75A7000 ACPI.sys

  0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS

  0xF7596000 pci.sys

  0xF75F7000 isapnp.sys

  0xF7607000 ohci1394.sys

  0xF7617000 \WINDOWS\system32\DRIVERS\1394BUS.SYS

  0xF7A4F000 pciide.sys

  0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

  0xF7627000 MountMgr.sys

  0xF74D7000 ftdisk.sys

  0xF798B000 dmload.sys

  0xF74B1000 dmio.sys

  0xF770F000 PartMgr.sys

  0xF7637000 VolSnap.sys

  0xF7499000 atapi.sys

  0xF747F000 SI3112r.sys

  0xF7467000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS

  0xF7647000 disk.sys

  0xF7657000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

  0xF7447000 fltmgr.sys

  0xF7435000 sr.sys

  0xF789B000 SiWinAcc.sys

  0xF741E000 KSecDD.sys

  0xF7B52000 Ntfs.sys

  0xF786A000 NDIS.sys

  0xF7717000 nv_agp.sys

  0xF7404000 Mup.sys

  0xBA748000 \SystemRoot\system32\DRIVERS\nic1394.sys

  0xF7586000 \SystemRoot\system32\DRIVERS\amdk7.sys

  0xF7807000 \SystemRoot\system32\DRIVERS\usbohci.sys

  0xB9994000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

  0xF77EF000 \SystemRoot\system32\DRIVERS\usbehci.sys

  0xB997D000 \SystemRoot\system32\DRIVERS\NVENET.sys

  0xF7576000 \SystemRoot\system32\drivers\nvax.sys

  0xB9905000 \SystemRoot\system32\drivers\ctaud2k.sys

  0xB98E1000 \SystemRoot\system32\drivers\portcls.sys

  0xF7566000 \SystemRoot\system32\drivers\drmk.sys

  0xB98BE000 \SystemRoot\system32\drivers\ks.sys

  0xB98A5000 \SystemRoot\system32\drivers\ctoss2k.sys

  0xF79B1000 \SystemRoot\System32\drivers\ctprxy2k.sys

  0xBA7EC000 \SystemRoot\system32\DRIVERS\gameenum.sys

  0xF7536000 \SystemRoot\system32\DRIVERS\imapi.sys

  0xF7526000 \SystemRoot\system32\DRIVERS\cdrom.sys

  0xF7516000 \SystemRoot\system32\DRIVERS\redbook.sys

  0xB790D000 \SystemRoot\system32\DRIVERS\ati2mtag.sys

  0xB787B000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

  0xF777F000 \SystemRoot\system32\DRIVERS\fdc.sys

  0xF74F6000 \SystemRoot\system32\DRIVERS\serial.sys

  0xBA7E4000 \SystemRoot\system32\DRIVERS\serenum.sys

  0xB7867000 \SystemRoot\system32\DRIVERS\parport.sys

  0xF7AB3000 \SystemRoot\system32\DRIVERS\audstub.sys

  0xBA7C8000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

  0xBA7E0000 \SystemRoot\system32\DRIVERS\ndistapi.sys

  0xB7850000 \SystemRoot\system32\DRIVERS\ndiswan.sys

  0xBA7A8000 \SystemRoot\system32\DRIVERS\raspppoe.sys

  0xBA798000 \SystemRoot\system32\DRIVERS\raspptp.sys

  0xB99F0000 \SystemRoot\system32\DRIVERS\TDI.SYS

  0xB77A5000 \SystemRoot\system32\DRIVERS\psched.sys

  0xBA788000 \SystemRoot\system32\DRIVERS\msgpc.sys

  0xB99E8000 \SystemRoot\system32\DRIVERS\ptilink.sys

  0xB99E0000 \SystemRoot\system32\DRIVERS\raspti.sys

  0xB7725000 \SystemRoot\system32\DRIVERS\rdpdr.sys

  0xBA758000 \SystemRoot\system32\DRIVERS\termdd.sys

  0xB99D8000 \SystemRoot\system32\DRIVERS\kbdclass.sys

  0xB99C8000 \SystemRoot\system32\DRIVERS\mouclass.sys

  0xF79B3000 \SystemRoot\system32\DRIVERS\swenum.sys

  0xB7670000 \SystemRoot\system32\DRIVERS\update.sys

  0xBA720000 \SystemRoot\system32\DRIVERS\mssmbios.sys

  0xF7687000 \SystemRoot\system32\DRIVERS\usbhub.sys

  0xF79C9000 \SystemRoot\system32\DRIVERS\USBD.SYS

  0xF76B7000 \SystemRoot\System32\Drivers\NDProxy.SYS

  0xB60F8000 \SystemRoot\system32\drivers\nvapu.sys

  0xB600D000 \SystemRoot\system32\drivers\nvmcp.sys

  0xB5FFC000 \SystemRoot\system32\drivers\nvarm.sys

  0xAFFBC000 \SystemRoot\system32\drivers\ha10kx2k.sys

  0xAFFA7000 \SystemRoot\System32\drivers\ctac32k.sys

  0xAFF8E000 \SystemRoot\System32\drivers\emupia2k.sys

  0xAFF6F000 \SystemRoot\System32\drivers\ctsfm2k.sys

  0xF7817000 \SystemRoot\system32\DRIVERS\flpydisk.sys

  0xF79C5000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

  0xBA3C4000 \SystemRoot\System32\Drivers\Null.SYS

  0xF79C7000 \SystemRoot\System32\Drivers\Beep.SYS

  0xB99D0000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

  0xB99C0000 \SystemRoot\System32\drivers\vga.sys

  0xF79CB000 \SystemRoot\System32\Drivers\mnmdd.SYS

  0xF79CD000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

  0xF781F000 \SystemRoot\System32\Drivers\Msfs.SYS

  0xB5C76000 \SystemRoot\System32\Drivers\Npfs.SYS

  0xB76D6000 \SystemRoot\system32\DRIVERS\rasacd.sys

  0x9FF1A000 \SystemRoot\system32\DRIVERS\ipsec.sys

  0x9FEC1000 \SystemRoot\system32\DRIVERS\tcpip.sys

  0x9FE99000 \SystemRoot\system32\DRIVERS\netbt.sys

  0x9FE77000 \SystemRoot\System32\drivers\afd.sys

  0xBA738000 \SystemRoot\system32\DRIVERS\netbios.sys

  0x9FE4C000 \SystemRoot\system32\DRIVERS\rdbss.sys

  0x9FDDC000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

  0xF7697000 \SystemRoot\System32\Drivers\Fips.SYS

  0x9FDB6000 \SystemRoot\system32\DRIVERS\ipnat.sys

  0xF76A7000 \SystemRoot\system32\DRIVERS\wanarp.sys

  0xBA778000 \SystemRoot\system32\DRIVERS\arp1394.sys

  0xF773F000 \SystemRoot\system32\DRIVERS\usbprint.sys

  0x9FD92000 \SystemRoot\System32\Drivers\Fastfat.SYS

  0xF775F000 \SystemRoot\system32\DRIVERS\usbccgp.sys

  0xF7917000 \SystemRoot\system32\DRIVERS\hidusb.sys

  0xB7D53000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

  0xF794B000 \SystemRoot\system32\DRIVERS\mouhid.sys

  0xBA7F8000 \SystemRoot\system32\DRIVERS\kbdhid.sys

  0xBA7F4000 \SystemRoot\System32\Drivers\dump_diskdump.sys

  0x9FD78000 \SystemRoot\System32\Drivers\dump_Si3112r.sys

  0xBF800000 \SystemRoot\System32\win32k.sys

  0xF7933000 \SystemRoot\System32\drivers\Dxapi.sys

  0xF7767000 \SystemRoot\System32\watchdog.sys

  0xBF000000 \SystemRoot\System32\drivers\dxg.sys

  0xB7197000 \SystemRoot\System32\drivers\dxgthk.sys

  0xBF012000 \SystemRoot\System32\ati2dvag.dll

  0xBF065000 \SystemRoot\System32\ati2cqag.dll

  0xBF0FE000 \SystemRoot\System32\atikvmag.dll

  0xBF182000 \SystemRoot\System32\atiok3x2.dll

  0xBF1CD000 \SystemRoot\System32\ati3duag.dll

  0xBF572000 \SystemRoot\System32\ativvaxx.dll

  0x9D525000 \SystemRoot\system32\DRIVERS\ndisuio.sys

  0x9D3E4000 \SystemRoot\system32\DRIVERS\mrxdav.sys

  0xB5CB6000 \SystemRoot\System32\drivers\BrPar.sys

  0xB5FF6000 \SystemRoot\System32\Drivers\ParVdm.SYS

  0x9D2A2000 \SystemRoot\system32\DRIVERS\srv.sys

  0x9D215000 \SystemRoot\system32\drivers\wdmaud.sys

  0xB2FFC000 \SystemRoot\system32\drivers\sysaudio.sys

  0xF77BF000 \??\D:\DOKUME~1\Zensiert\LOKALE~1\Temp\catchme.sys

  0xF79BD000 \??\D:\WINDOWS\system32\Drivers\PROCEXP113.SYS

  0xB701C000 \SystemRoot\System32\Drivers\Cdfs.SYS

  0x9CE67000 \??\D:\DOKUME~1\Zensiert\LOKALE~1\Temp\awacakod.sys

  0x7C910000 \WINDOWS\system32\ntdll.dll
 

Processes (total 25):

       0 System Idle Process

       4 System

     584 D:\WINDOWS\system32\smss.exe

     648 csrss.exe

     688 D:\WINDOWS\system32\winlogon.exe

     732 D:\WINDOWS\system32\services.exe

     744 D:\WINDOWS\system32\lsass.exe

     900 D:\WINDOWS\system32\ati2evxx.exe

     912 D:\WINDOWS\system32\svchost.exe

    1000 svchost.exe

    1144 D:\WINDOWS\system32\svchost.exe

    1192 D:\WINDOWS\system32\ati2evxx.exe

    1244 svchost.exe

    1368 svchost.exe

    1500 D:\WINDOWS\system32\spoolsv.exe

    1760 E:\01_Rechner\01_Programme\03_Office\Steuer\AAVUpdateManager\aavus.exe

    1772 D:\Programme\Application Updater\ApplicationUpdater.exe

    1828 D:\Programme\Java\jre6\bin\jqs.exe

    1872 D:\WINDOWS\system32\PnkBstrA.exe

    2004 E:\01_Rechner\01_Programme\02_Multimedia\shutdown\Service.exe

     476 D:\WINDOWS\system32\svchost.exe

    1416 D:\WINDOWS\system32\wscntfy.exe

    1428 alg.exe

    1048 D:\WINDOWS\explorer.exe

     304 D:\Dokumente und Einstellungen\Zensiert\Desktop\MBRCheck.exe
 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)

\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000003`e8246e00  (NTFS)

\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000006`e4f49e00  (FAT32)

\\.\I: --> \\.\PhysicalDrive0 at offset 0x00000001`dd079800  (FAT32)
 

PhysicalDrive0 Model Number: WDCWD800JB-00ETA0, Rev: 77.07W77

PhysicalDrive1 Model Number: WDCWD6401AALS-00L3B2, Rev: 01.03B01
 

      Size  Device Name          MBR Status

  --------------------------------------------

     74 GB  \\.\PhysicalDrive0   Windows XP MBR code detected

            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11

    596 GB  \\.\PhysicalDrive1   RE: Windows XP MBR code detected

            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
 
 

Done!

...und nu?

Wie werden externe Speichermedien behandelt?
USB-Sticks einstecken während der Scans?

Zitat:

"awacakod" (awacakod) - ? - D:\DOKUME~1\Zensiert\LOKALE~1\Temp\awacakod.sys (Hidden registry entry, rootkit activity | File not found)

Bitte mit OSAM deaktiveren und löschen. Siehe Anleitung zu OSAM

Zitat:

Wie werden externe Speichermedien behandelt?
USB-Sticks einstecken während der Scans?

Alle USB-Speicher anstecken und den FlashDisinfector ausführen => Flash Disinfector – free autorun.inf trojans removal tool | My Anti Spyware
In Zukunft bzw. evtl. schon vorher mal den Autorun auf allen Laufwerken deaktivieren. Außer Ärger bringt der nämlich nichts, in den meisten Fällen ist es zu riskant und nervig wenn irgednwas startet, nur weil ein Datenträger eingelgt oder ein USB-Stick oder Festplatten angesteckt wurde.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Vielen Dank schon mal. :-)
Da ich erst heut Abend Zugriff auf den Rechner habe, würden mich die nächsten Schritte sehr interessieren...

Könntest Du mir die aufzeigen / ist das möglich / gibt es überhaupt noch welche?

Mach erstmal das was ich zuletzt gepostet habe. Ich breche es lieber in weniger Schritte runter, wenn zuviel aufeinmal gemacht werden soll, verzettelt man sich. Außerdem kann man bei zuvielen Schritten nicht alle Eventualitäten berücksichtigen, deswegen ist es besser man führt es erstmal aus und sieht dann weiter.

Zitat:

Zitat von cosinus (Beitrag 603741)

Bitte mit OSAM deaktiveren und löschen. Siehe Anleitung zu OSAM

Alle USB-Speicher anstecken und den FlashDisinfector ausführen => Flash Disinfector – free autorun.inf trojans removal tool | My Anti Spyware
In Zukunft bzw. evtl. schon vorher mal den Autorun auf allen Laufwerken deaktivieren. Außer Ärger bringt der nämlich nichts, in den meisten Fällen ist es zu riskant und nervig wenn irgednwas startet, nur weil ein Datenträger eingelgt oder ein USB-Stick oder Festplatten angesteckt wurde.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Es ist von alleine verschwunden!
OSAM:

Code:

Report of OSAM: Autorun Manager v5.0.11926.0

hxxp://www.online-solutions.ru/en/

Saved at 00:29:11 on 30.12.2010
 

OS: Windows XP Professional Service Pack 3 (Build 2600)

Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.5512
 

Scanner Settings

[x] Rootkits detection (hidden registry)

[x] Rootkits detection (hidden files)

[x] Retrieve files information

[x] Check Microsoft signatures
 

Filters

[ ] Trusted entries

[ ] Empty entries

[x] Hidden registry entries (rootkit activity)

[x] Exclusively opened files

[x] Not found files

[x] Files without detailed information

[x] Existing files

[ ] Non-startable services

[ ] Non-startable drivers

[x] Active entries

[x] Disabled entries
 
 

[Control Panel Objects]

-----( %SystemRoot%\system32 )-----

"AudioHQU.cpl" - "Creative Technology Ltd." - D:\WINDOWS\system32\AudioHQU.cpl

"DivXControlPanelApplet.cpl" - "DivX, Inc." - D:\WINDOWS\system32\DivXControlPanelApplet.cpl

"javacpl.cpl" - "Sun Microsystems, Inc." - D:\WINDOWS\system32\javacpl.cpl

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----

"Avira AntiVir Personal - Free Antivirus " - ? - D:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl  (File not found)

"NokiaConnectionManager" - "Nokia" - E:\01_REC~1\01_PRO~1\03_OFF~1\Nokia\NOKIAP~1\CONNEC~1.CPL
 

[Drivers]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

"ati2mtag" (ati2mtag) - "ATI Technologies Inc." - D:\WINDOWS\System32\DRIVERS\ati2mtag.sys

"BrPar" (BrPar) - "Brother Industries Ltd." - D:\WINDOWS\System32\drivers\BrPar.sys

"catchme" (catchme) - ? - D:\DOKUME~1\ZENSIERT\LOKALE~1\Temp\catchme.sys  (File not found)

"Changer" (Changer) - ? - D:\WINDOWS\system32\drivers\Changer.sys  (File not found)

"i2omgmt" (i2omgmt) - ? - D:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)

"lbrtfdc" (lbrtfdc) - ? - D:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)

"PCIDump" (PCIDump) - ? - D:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)

"PDCOMP" (PDCOMP) - ? - D:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)

"PDFRAME" (PDFRAME) - ? - D:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)

"PDRELI" (PDRELI) - ? - D:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)

"PDRFRAME" (PDRFRAME) - ? - D:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)

"WDICA" (WDICA) - ? - D:\WINDOWS\system32\drivers\WDICA.sys  (File not found)
 

[Explorer]

-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----

{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - D:\WINDOWS\system32\Rundll32.exe D:\WINDOWS\system32\mscories.dll,Install

-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----

{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A} "PXCInfoShlExt Class" - "Tracker Software Products Ltd." - D:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll

-----( HKLM\Software\Classes\Protocols\Filter )-----

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - D:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - D:\WINDOWS\system32\mscoree.dll

{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - D:\WINDOWS\system32\mscoree.dll

{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL

-----( HKLM\Software\Classes\Protocols\Handler )-----

{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----

{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)

{88895560-9AA2-1069-930E-00AA0030EBC8} "Erweiterung für HyperTerminal-Icons" - ? -   (File not found | COM-object registry key not found)

{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)

{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Programme\Microsoft Office\OFFICE11\msohev.dll

{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll

{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL

{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll

{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" - "Nokia" - E:\01_Rechner\01_Programme\03_Office\Nokia\Nokia PC Suite 7\PhoneBrowser.dll

{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL

{CF822AB4-6DB5-4FDA-BC28-E61DF36D2583} "PDF-XChange PDF Preview Provider" - "Tracker Software Products Ltd." - D:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll

{67EB453C-1BE1-48EC-AAF3-23B10277FCC1} "PDF-XChange PDF Property Handler" - "Tracker Software Products Ltd." - D:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll

{EBD0B8F4-A9A0-41B7-9695-030CD264D9C8} "PDF-XChange PDF Thumbnail Provider" - "Tracker Software Products Ltd." - D:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll

{B2F55D43-C7A4-4B7C-90D7-7A860DFA9F2A} "PXCInfoShlExt Class" - "Tracker Software Products Ltd." - D:\Programme\Tracker Software\Shell Extensions\XCShInfo.dll

{5B043439-4F53-436E-8CFE-28F80934DBE6} "PXCPreviewHandlerXP Class" - "Tracker Software Products Ltd." - D:\Programme\Tracker Software\Shell Extensions\PXCPrevHost.exe

{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? -   (File not found | COM-object registry key not found)

{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - D:\WINDOWS\system32\dfshim.dll

{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)

{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - D:\WINDOWS\system32\dfshim.dll

{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - D:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
 

[Internet Explorer]

-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----

<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)

-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----

{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_22" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\npjpi160_22.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----

{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----

{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\jp2ssv.dll

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
 

[Logon]

-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

"AutoStart IR.lnk" - "Hauppauge Computer Works" - E:\01_Rechner\01_Programme\02_Multimedia\WinTV\Ir.exe  (Shortcut exists | File exists)

-----( %UserProfile%\Startmenü\Programme\Autostart )-----

"desktop.ini" - ? - D:\Dokumente und Einstellungen\ZENSIERT\Startmenü\Programme\Autostart\desktop.ini

-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce )-----

"BrStsWnd.exe" - "brother" - D:\Programme\Brownie\BrStsWnd.exe WindowsStartUpModel
 

[Print Monitors]

-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----

"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - D:\WINDOWS\system32\mdimon.dll

"PDFCreator" - ? - D:\WINDOWS\system32\pdfcmnnt.dll  (File found, but it contains no detailed information)
 

[Services]

-----( HKLM\SYSTEM\CurrentControlSet\Services )-----

".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

"AAV UpdateService" (AAV UpdateService) - ? - E:\01_Rechner\01_Programme\03_Office\Steuer\AAVUpdateManager\aavus.exe

"Application Updater" (Application Updater) - "Spigot, Inc." - D:\Programme\Application Updater\ApplicationUpdater.exe

"ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

"Ati HotKey Poller" (Ati HotKey Poller) - "ATI Technologies Inc." - D:\WINDOWS\system32\Ati2evxx.exe

"ATI Smart" (ATI Smart) - ? - D:\WINDOWS\system32\ati2sgag.exe

"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - D:\Programme\Java\jre6\bin\jqs.exe

"Office Source Engine" (ose) - "Microsoft Corporation" - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

"PnkBstrA" (PnkBstrA) - ? - D:\WINDOWS\system32\PnkBstrA.exe  (File found, but it contains no detailed information)

"RichiStudios Shutdown" (RSShutdown) - "RichiStudios" - E:\01_Rechner\01_Programme\02_Multimedia\shutdown\service.exe

"ServiceLayer" (ServiceLayer) - "Nokia" - D:\Programme\PC Connectivity Solution\ServiceLayer.exe
 

[Winlogon]

-----( HKCU\Control Panel\IOProcs )-----

"MVB" - ? - mvfs32.dll  (File not found)

-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----

"AtiExtEvent" - "ATI Technologies Inc." - D:\WINDOWS\system32\Ati2evxx.dll
 

===[ Logfile end ]=========================================[ Logfile end ]===
 

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

Folgendes habe ich in der Zwischenzeit gemacht:

Antivir wieder installiert.
--> dann gem. Vorgabe von Dir gescannt
--> nix gefunden
--> Antivir wieder deinstalliert
--> neues LOG (mit deinstalliertem Antivr) hier gepostet

Verflixt nochmal und jetzt?

Hast du autoplay deaktiviert? Flash-Disinfector bei angesteckten Sticks und USB-Festplatten ausgeführt?

Zitat:

Zitat von cosinus (Beitrag 604308)

Hast du autoplay deaktiviert? Flash-Disinfector bei angesteckten Sticks und USB-Festplatten ausgeführt?

Bisher hab ich nur den ersten Schritt versucht zu vollziehen, um erstmal den Rechner (den ich benötige) wieder voll einsatzfähig zu bekommen!?

USB würd ich dann im 2. Schritt machen...?

FYI: Den Flash-Disinfector kann ich wieder erst heut Nacht durchlaufen lassen...

Moin,
aus verschiedenen Gründen konnte ich damals nicht weitermachen.

Die Frage die ich mir jetzt stelle:

Soll ich alles noch einmal machen oder am letzten Punkt (s. letzter Beitrag) weitermachen?

Edith fügt wegen des Seitenumbruchs den letzten Beitrag hier ein:

Zitat:

Zitat von El Toco (Beitrag 604430)

Zitat:

Zitat von cosinus (Beitrag 604308)

Hast du autoplay deaktiviert? Flash-Disinfector bei angesteckten Sticks und USB-Festplatten ausgeführt?

Was hast du von den letzten Schritten nicht gemacht?

Zitat:

Zitat von cosinus (Beitrag 620937)

Was hast du von den letzten Schritten nicht gemacht?

Das was noch fehlt ist

(1) OSAM-Fund: Wurde nicht (mehr!) gefunden, deshalb nicht gemäß Anweisung gelöscht!

Zitat:

"awacakod" (awacakod) - ? - D:\DOKUME~1\Zensiert\LOKALE~1\Temp\awacakod.sys (Hidden registry entry, rootkit activity | File not found)

Zitat:

Zitat von cosinus (Beitrag 603741)

Bitte mit OSAM deaktiveren und löschen. Siehe Anleitung zu OSAM

(2) Flash-Disinfector wurde noch nicht ausgeführt.

Ok, dann erstmal den FlashDisinfector ausführen gemäß o.g. Anweisung ;)

OK, alle Telefone / USB-Geräte waren angesteckt und "Flash-Disinfector" ist durch.

...und nu?

Edith sagt, keine besonderen Vorkommnisse beim "Flash-Disinfector".

Gut. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Zitat:

Zitat von cosinus (Beitrag 620951)

Gut. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Alle USB-Dingens dabei ranklemmen?
...es gibt ja noch die Option "Flash-Scan"...!?

Nein mach einen Vollscan. Flashscan ist nur verfügbar, wenn du ein registriertes MBAM hast, der Schlüssel kostet aber Geld ;)
Und ja, bitte alles dranklemmen vor dem Scannen. Und natürlich in den Vollscan miteinbeziehen.

Nach ca. 30 min ist MBAM abgebrochen (BTW: bis dahin 4 Funde).

Folgende Datei ist im Problemberichtaufgenommen:

Zitat:

D:\DOKUME~1\ZENSIERT:"Benutzername"\LOKALE~1\Temp\ae34_appcompat.txt

:schrei:

Edith fügt hinzu:
Ich werde dann mal "SuperAntiSpyware" durchlaufen lassen, wenn ich nix gegenteiliges lese.

Parallel bin ich über den Labtop online, um hier zu lesen.

Was genau abgebrochen? Abgestürzt, Rechner hat sich neugestartet?

Abgebrochen, heisst das Programm ist abgestürzt.
Bis zu dem Absturz gab es 4 Funde. Nach dem Absturz wollte das Program den Fehler melden. Aus der Fehlermeldung habe ich den Dateinamen kopiert.

Hier ist das SUPERAntospyware-Log:

PHP-Code:

   SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com

 
Generated 02/16/2011 at 07:13 PM

 
Application Version : 4.48.1000

 
Core Rules Database Version : 6411

Trace Rules Database Version: 4223

 
Scan type       : Complete Scan

Total Scan Time : 03:25:11

 
Memory items scanned      : 404

Memory threats detected   : 0

Registry items scanned    : 6741

Registry threats detected : 0

File items scanned        : 290122

File threats detected     : 2

 
Trojan.Malware

    C:\asdf.txt

 
Adware.Tracking Cookie

    googleads.g.doubleclick.net [ C:\Dokumente und Einstellungen\SD2\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\QJEWL9EN ]

Dann mach wenigstens noch einen Quickscan mit Malwarebytes.

MBAM - Quick-Scan:

HTML-Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Database version: 5772
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

17.02.2011 20:53:04

mbam-log-2011-02-17 (20-52-57).txt
 

Scan type: Quick scan

Objects scanned: 156873

Time elapsed: 1 minute(s), 20 second(s)
 

Memory Processes Infected: 1

Memory Modules Infected: 0

Registry Keys Infected: 1

Registry Values Infected: 1

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 1
 

Memory Processes Infected:

d:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> 300 -> No action taken.
 

Memory Modules Infected:

(No malicious items detected)
 

Registry Keys Infected:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> No action taken.
 

Registry Values Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\D:\PROGRAMME\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> No action taken.
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

d:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> No action taken.

Wieso entfernst du die Funde nicht? :confused:

Zitat:

Zitat von cosinus (Beitrag 621649)

Wieso entfernst du die Funde nicht? :confused:

Na, kann ja sein dass ich vorm entfernen noch was machen muss -Wiederherstellungskonsole aus oder so!?

Dann lösch ich mal!

Ja mach das. Probier dann im Anschluss noch mal den Vollscan. Vorher Signaturen mit Malwarebytes wieder aktualisieren, die updaten mehrmals am Tag.

MBAM - Full Scan (Objekte sind entfernt):

HTML-Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Database version: 5791
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

18.02.2011 07:20:30

mbam-log-2011-02-18 (07-20-25).txt
 

Scan type: Full scan (C:\|D:\|E:\|F:\|G:\|I:\|J:\|)

Objects scanned: 437060

Time elapsed: 54 minute(s), 57 second(s)
 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 2
 

Memory Processes Infected:

(No malicious items detected)
 

Memory Modules Infected:

(No malicious items detected)
 

Registry Keys Infected:

(No malicious items detected)
 

Registry Values Infected:

(No malicious items detected)
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

e:\01_rechner\01_programme\04_system\removewga12.exe (PUP.RemoveWGA) -> No action taken.

f:\system volume information\_restore{c5f54cbe-6298-4bbf-9d75-416f5224a1aa}\RP1\A0001037.exe (RiskWare.Tool.CK) -> No action taken.

Entfernungs-Doku:

HTML-Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Database version: 5791
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

18.02.2011 07:20:35

mbam-log-2011-02-18 (07-20-35).txt
 

Scan type: Full scan (C:\|D:\|E:\|F:\|G:\|I:\|J:\|)

Objects scanned: 437060

Time elapsed: 54 minute(s), 57 second(s)
 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 2
 

Memory Processes Infected:

(No malicious items detected)
 

Memory Modules Infected:

(No malicious items detected)
 

Registry Keys Infected:

(No malicious items detected)
 

Registry Values Infected:

(No malicious items detected)
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

e:\01_rechner\01_programme\04_system\removewga12.exe (PUP.RemoveWGA) -> Quarantined and deleted successfully.

f:\system volume information\_restore{c5f54cbe-6298-4bbf-9d75-416f5224a1aa}\RP1\A0001037.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

MBAM, nach entfernen:

HTML-Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Database version: 5791
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

18.02.2011 08:31:49

mbam-log-2011-02-18 (08-31-49).txt
 

Scan type: Full scan (C:\|D:\|E:\|F:\|G:\|I:\|J:\|)

Objects scanned: 439456

Time elapsed: 1 hour(s), 9 minute(s), 8 second(s)
 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0
 

Memory Processes Infected:

(No malicious items detected)
 

Memory Modules Infected:

(No malicious items detected)
 

Registry Keys Infected:

(No malicious items detected)
 

Registry Values Infected:

(No malicious items detected)
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

(No malicious items detected)

Zitat:

e:\01_rechner\01_programme\04_system\removewga12.exe

Wo haste das denn her?

Es hört sich vielleicht blöd an (habe gerade mal danach gegoogelt), aber ich hab keine Ahnung!

Wenn ich es richtig sehe, dann sollte das beim letzten Mal (Scans im Dezember) schon entdeckt worden sein. Wurde es nicht und ich habe es zu 100% nicht runtergeladen / raufkopiert!

:confused:

Wie auch immer, ich unterstell dir mal jetzt keine Nutzung einer nicht lizenzierten Windows-Version :pfeiff:

Ist der Rechner nach der Beseitigung der letzten Überreste jetzt wieder ok?

Joah, soweit ich das beurteilen kann ist der REchner OK.

Anti-Vir muss noch wieder installiert werden...
...dann sag ich mal vielen Dank!

Großartig, dass wir das geschafft haben!

Dein Vorgehen hat sich mir jetzt nicht wirklich erschlossen, aber nun gut.
Wenn ich wieder was hab, dann schau ich erstmal mit Malwarebytes nach?