Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Google Umleitung auf Seiten wie "Superschnaeppchen" Ask.com und Gomeo.de (https://www.trojaner-board.de/99590-google-umleitung-seiten-superschnaeppchen-ask-com-gomeo-de.html)

faxgeraet 26.05.2011 12:30
Google Umleitung auf Seiten wie "Superschnaeppchen" Ask.com und Gomeo.de
 
Hallo,


anscheinend ist das Problem ja durchaus recht weit verbreitet im Moment, erkennt man ja anhand der Tatsache, dass hier doch einige User Threads zu diesem Thema eröffnet haben. Nochmal kurzer Abriß über die Symptome:

- Ich gebe bei google einen Suchbegriff ein
- Suchergebnisse werden ganz normal angezeigt
- Sobald ich auf einen Link klicke lande ich entweder wieder bei google oder auf einer ominösen Seite, sei es ask.com, superschnaeppchen, searchdole, searchmirror, etc. pp.


Aber da es anscheinend keine Patent-Lösung gibt, hoffe ich jetzt, dass ich einen thread eröffnen darf um Hilfe zu erhalten.

Ich bin zwar kein kompletter DAU (Selbsteinschätzung), aber doch weit davon entfernt mich gut mit Computern auszukennen, daher lasst bitte Milde walten, wenn ich mich doof anstellen sollte. :-)

Hijackthis habe ich bereits auf Anraten eines anderen Forums ausgeführt, das hat aber nichts gefunden außer den Umstand, dass mein Windows-Security-Center deaktiviert war. Außerdem habe ich auf den Rat der Leute auch noch avast und Comodo installiert, die blieben aber auch ohne Ergebnis.


Nachdem ich mich in den anderen Threads schon ein wenig umgeschaut haben, habe ich festgestellt, dass das OTL Tool anscheinend ein guter Einstieg ist. Daher hier die erstellten Logfiles:

Code:
OTL logfile created on: 26.05.2011 13:15:41 - Run 1
OTL by OldTimer - Version 3.2.23.0    Folder = C:\Dokumente und Einstellungen\Felix\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,32 Gb Available Physical Memory | 65,97% Memory free
3,85 Gb Paging File | 3,22 Gb Available in Paging File | 83,49% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 200,59 Gb Free Space | 86,13% Space Free | Partition Type: NTFS
Drive D: | 647,30 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: IUZ-UKNYDLKSLQ7 | User Name: Felix | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.05.26 13:15:21 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Felix\Eigene Dateien\Downloads\OTL.exe
PRC - [2011.04.20 17:57:04 | 002,423,752 | ---- | M] (SUPERAntiSpyware.com) -- C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
PRC - [2011.04.15 03:11:14 | 012,594,352 | ---- | M] (Mozilla Messaging) -- C:\Programme\Mozilla Thunderbird\thunderbird.exe
PRC - [2011.04.14 18:40:02 | 000,924,632 | ---- | M] (Mozilla Corporation) -- C:\Programme\Mozilla Firefox\firefox.exe
PRC - [2010.12.30 02:24:03 | 001,242,448 | ---- | M] (Valve Corporation) -- C:\Programme\Steam\Steam.exe
PRC - [2010.05.14 12:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2001.08.18 05:54:48 | 000,024,064 | ---- | M] (Creative Technology Ltd.) -- C:\WINDOWS\system32\devldr32.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.05.26 13:15:21 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Felix\Eigene Dateien\Downloads\OTL.exe
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] --  -- (HidServ)
SRV - File not found [On_Demand | Stopped] --  -- (AppMgmt)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.04.18 12:10:56 | 000,812,448 | ---- | M] (<Turtle Entertainment>) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ESLWireACD.sys -- (ESLWireAC)
DRV - [2010.12.31 01:44:56 | 000,004,544 | ---- | M] (SweetLow) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hidusbf.sys -- (hidusbf)
DRV - [2010.12.08 12:53:18 | 000,024,504 | ---- | M] (Turtle Entertainment GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ESLvnic.sys -- (ESLvnic1)
DRV - [2010.10.14 05:26:38 | 000,020,864 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbdiag.sys -- (UsbDiag)
DRV - [2010.10.14 05:26:36 | 000,025,216 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbmodem.sys -- (USBModem)
DRV - [2010.10.14 05:26:34 | 000,013,056 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbbus.sys -- (usbbus)
DRV - [2010.05.10 20:41:30 | 000,067,656 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS -- (SASKUTIL)
DRV - [2010.02.17 20:25:48 | 000,012,872 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys -- (SASDIFSV)
DRV - [2008.04.13 20:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2004.11.05 17:43:58 | 000,032,768 | ---- | M] (SiS Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sisnicxp.sys -- (SISNICXP)
DRV - [2004.08.04 07:31:34 | 000,032,768 | ---- | M] (SiS Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC)
DRV - [2001.08.17 15:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)
DRV - [2001.08.17 13:19:34 | 000,036,480 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sfmanm.sys -- (sfman) Creative-SoundFont-Verwaltungstreiber (WDM)
DRV - [2001.08.17 13:19:28 | 000,006,912 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctlfacem.sys -- (emu10k1) Creative-Schnittstellen-Verwaltungstreiber (WDM)
DRV - [2001.08.17 13:19:26 | 000,283,904 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\emu10k1m.sys -- (emu10k) Creative SB Live! (WDM)
DRV - [2001.08.17 13:19:20 | 000,003,712 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ctljystk.sys -- (ctljystk)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.google.de
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.05.25 14:28:12 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.05.25 13:51:10 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.05.25 14:38:15 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2011.05.25 14:38:23 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Mozilla\Extensions
[2011.05.25 14:38:23 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.05.25 20:51:28 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Mozilla\Firefox\Profiles\jeh2qt5m.default\extensions
[2011.05.25 14:28:12 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.12.30 11:35:46 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.03.28 07:39:47 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
File not found (No name found) --
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\FELIX\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\JEH2QT5M.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2010.12.30 11:35:36 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.01.02 21:33:44 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.04.14 18:40:03 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\browsercomps.dll
[2011.02.02 21:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2011.05.25 20:49:59 | 000,002,048 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\fcmdSrch.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2002.08.29 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)]  File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [Steam] C:\Programme\Steam\steam.exe (Valve Corporation)
O4 - HKCU..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 -  File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 -  File not found
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1293666101796 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Mozilla\Firefox\Desktop-Hintergrund.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Mozilla\Firefox\Desktop-Hintergrund.bmp
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.04.26 11:01:17 | 000,205,632 | ---- | M] () - C:\AUTO.pat -- [ NTFS ]
O32 - AutoRun File - [2011.04.26 11:01:17 | 000,000,020 | ---- | M] () - C:\AUTO.pst -- [ NTFS ]
O32 - AutoRun File - [2010.12.30 01:30:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2004.03.11 14:00:04 | 000,356,352 | R--- | M] (Ascaron Entertainment GmbH) - D:\AutoRun.exe -- [ UDF ]
O32 - AutoRun File - [2005.06.21 17:36:12 | 000,000,047 | R--- | M] () - D:\AutoRun.inf -- [ UDF ]
O32 - AutoRun File - [2005.07.12 17:03:04 | 001,550,016 | R--- | M] () - D:\autodata.cpr -- [ UDF ]
O32 - AutoRun File - [2005.06.22 15:27:12 | 000,002,238 | R--- | M] () - D:\autorun.ico -- [ UDF ]
O33 - MountPoints2\{9580f0c1-13a2-11e0-ac11-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{9580f0c1-13a2-11e0-ac11-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{9580f0c1-13a2-11e0-ac11-806d6172696f}\Shell\AutoRun\command - "" = D:\AutoRun.exe -- [2004.03.11 14:00:04 | 000,356,352 | R--- | M] (Ascaron Entertainment GmbH)
O33 - MountPoints2\{e20ae47f-2b9a-11e0-ac4e-00ff01000001}\Shell - "" = AutoRun
O33 - MountPoints2\{e20ae47f-2b9a-11e0-ac4e-00ff01000001}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e20ae47f-2b9a-11e0-ac4e-00ff01000001}\Shell\AutoRun\command - "" = I:\LGAutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.05.26 12:32:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\SUPERAntiSpyware.com
[2011.05.26 12:32:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
[2011.05.26 12:32:46 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware
[2011.05.26 12:09:17 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe
[2011.05.26 12:09:17 | 000,000,000 | ---D | C] -- C:\Programme\Adobe
[2011.05.26 12:08:06 | 000,306,688 | ---- | C] (InstallShield Software Corporation) -- C:\WINDOWS\IsUninst.exe
[2011.05.26 10:44:30 | 000,000,000 | ---D | C] -- C:\Programme\AVAST Software
[2011.05.26 10:44:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software
[2011.05.26 10:08:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Malwarebytes
[2011.05.26 10:08:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.05.25 22:47:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\facemoods.com
[2011.05.25 20:49:27 | 000,000,000 | ---D | C] -- C:\Programme\JDownloader
[2011.05.25 14:38:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten\Thunderbird
[2011.05.25 14:38:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Thunderbird
[2011.05.25 14:38:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Thunderbird
[2011.05.25 14:38:01 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Thunderbird
[2011.05.25 13:31:58 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2011.05.25 13:31:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2011.05.18 22:15:06 | 000,404,640 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011.05.15 21:13:39 | 000,000,000 | ---D | C] -- C:\Programme\mIRC
[2011.05.15 21:13:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\mIRC
[2011.05.15 21:13:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\mIRC
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.05.26 12:32:50 | 000,001,642 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk
[2011.05.26 12:16:00 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.05.26 12:13:20 | 000,002,953 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT
[2011.05.26 12:10:07 | 000,001,000 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
[2011.05.26 10:41:37 | 000,048,801 | ---- | M] () -- C:\WINDOWS\System32\drivers\sfi.dat
[2011.05.24 15:44:35 | 000,233,816 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2011.05.24 15:44:35 | 000,000,001 | ---- | M] () -- C:\WINDOWS\System32\nvdrssel.bin
[2011.05.24 15:23:23 | 000,233,816 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2011.05.21 05:24:36 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.05.18 22:15:06 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011.04.29 21:01:00 | 000,000,226 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2011.04.29 18:46:27 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.05.26 12:32:50 | 000,001,642 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SUPERAntiSpyware Free Edition.lnk
[2011.05.26 12:10:07 | 000,001,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
[2011.05.26 12:10:06 | 000,000,791 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe ImageReady 7.0.lnk
[2011.05.26 12:10:06 | 000,000,786 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Photoshop 7.0.lnk
[2011.05.26 10:28:06 | 000,048,801 | ---- | C] () -- C:\WINDOWS\System32\drivers\sfi.dat
[2011.03.30 23:36:30 | 000,138,264 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2011.03.30 23:36:30 | 000,138,056 | ---- | C] () -- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\PnkBstrK.sys
[2011.03.30 23:36:16 | 000,234,768 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe
[2011.03.30 23:36:14 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe
[2011.01.09 23:17:30 | 000,005,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.12.30 03:04:29 | 000,000,060 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2010.12.30 02:22:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.12.30 02:17:54 | 000,233,816 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2010.12.30 02:17:51 | 000,233,816 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2010.12.30 02:17:51 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2010.12.30 01:51:47 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2010.12.30 01:32:08 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.12.30 01:28:01 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.12.30 01:24:09 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.12.30 01:23:20 | 000,122,136 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.10.05 01:59:32 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\StarOpen.sys
[2010.07.10 07:38:00 | 002,195,030 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2002.08.29 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2002.08.29 14:00:00 | 000,448,470 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2002.08.29 14:00:00 | 000,432,356 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2002.08.29 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2002.08.29 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2002.08.29 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2002.08.29 14:00:00 | 000,079,910 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2002.08.29 14:00:00 | 000,067,312 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2002.08.29 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2002.08.29 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2002.08.29 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2002.08.29 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2002.08.29 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2001.09.04 11:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.09.04 11:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

< End of report >
Code:
OTL Extras logfile created on: 26.05.2011 13:15:41 - Run 1
OTL by OldTimer - Version 3.2.23.0    Folder = C:\Dokumente und Einstellungen\Felix\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,32 Gb Available Physical Memory | 65,97% Memory free
3,85 Gb Paging File | 3,22 Gb Available in Paging File | 83,49% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 200,59 Gb Free Space | 86,13% Space Free | Partition Type: NTFS
Drive D: | 647,30 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: IUZ-UKNYDLKSLQ7 | User Name: Felix | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 4
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"8396:TCP" = 8396:TCP:*:Enabled:League of Legends Launcher
"8396:UDP" = 8396:UDP:*:Enabled:League of Legends Launcher
"6977:TCP" = 6977:TCP:*:Enabled:League of Legends Launcher
"6977:UDP" = 6977:UDP:*:Enabled:League of Legends Launcher
"6885:TCP" = 6885:TCP:*:Enabled:League of Legends Launcher
"6885:UDP" = 6885:UDP:*:Enabled:League of Legends Launcher
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Steam\Steam.exe" = C:\Programme\Steam\Steam.exe:*:Enabled:Steam -- (Valve Corporation)
"C:\Programme\EslWire\wire.exe" = C:\Programme\EslWire\wire.exe:*:Enabled:ESL Wire Client -- (Turtle Entertainment GmbH)
"C:\Programme\Steam\steamapps\gnadenlos646@gmx.net\day of defeat\hl.exe" = C:\Programme\Steam\steamapps\gnadenlos646@gmx.net\day of defeat\hl.exe:*:Enabled:Day of Defeat -- (Valve)
"C:\Programme\Steam\steamapps\gnadenlos646@gmx.net\counter-strike source\hl2.exe" = C:\Programme\Steam\steamapps\gnadenlos646@gmx.net\counter-strike source\hl2.exe:*:Enabled:Counter-Strike: Source
"C:\Riot Games\League of Legends\air\LolClient.exe" = C:\Riot Games\League of Legends\air\LolClient.exe:*:Enabled:League of Legends Lobby
"C:\Riot Games\League of Legends\game\League of Legends.exe" = C:\Riot Games\League of Legends\game\League of Legends.exe:*:Enabled:League of Legends Game Client
"C:\Programme\GRETECH\GomTVStreamer\GomTVStreamerLive.exe" = C:\Programme\GRETECH\GomTVStreamer\GomTVStreamerLive.exe:*:Enabled:GomTVStreamerLive
"C:\Programme\Steam\steamapps\common\monkey2\Monkey2.exe" = C:\Programme\Steam\steamapps\common\monkey2\Monkey2.exe:*:Enabled:Monkey Island 2: Special Edition -- (LucasArts Entertainment Company)
"C:\Programme\Steam\steamapps\gnadenlos646@gmx.net\half-life\hl.exe" = C:\Programme\Steam\steamapps\gnadenlos646@gmx.net\half-life\hl.exe:*:Enabled:Half-Life -- (Valve)
"C:\Programme\Steam\steamapps\gnadenlos646@gmx.net\counter-strike\hl.exe" = C:\Programme\Steam\steamapps\gnadenlos646@gmx.net\counter-strike\hl.exe:*:Enabled:Counter-Strike -- (Valve)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 24
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{498A4E3D-562E-4129-8722-6DCAB12384AE}" = Windows Communication Foundation Language Pack - DEU
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{7228FD8C-3B9E-4204-AE36-8A466107685B}" = Windows Workflow Foundation DE Language Pack
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BC97E7F-8E26-44B8-841A-C5262754FC89}" = LG United Mobile Drivers
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}" = SUPERAntiSpyware
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop 7.0" = Adobe Photoshop 7.0
"ESL Wire_is1" = ESL Wire 1.9.7
"Foxit Reader" = Foxit Reader
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"mIRC" = mIRC
"Mozilla Firefox 4.0.1 (x86 de)" = Mozilla Firefox 4.0.1 (x86 de)
"Mozilla Thunderbird (3.1.10)" = Mozilla Thunderbird (3.1.10)
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"Patrizier II Gold_is1" = Patrizier II Gold
"PunkBusterSvc" = PunkBuster Services
"SiSLan" = SiS 900 PCI Fast Ethernet Adapter Driver
"Steam App 10" = Counter-Strike
"Steam App 220" = Half-Life 2
"Steam App 240" = Counter-Strike: Source
"Steam App 30" = Day of Defeat
"Steam App 300" = Day of Defeat: Source
"Steam App 32460" = Monkey Island 2: Special Edition
"Steam App 400" = Portal
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"VLC media player" = VLC media player 1.1.8
"WIC" = Windows Imaging Component
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"UB" = UB
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 25.05.2011 05:12:17 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 25.05.2011 05:12:17 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 25.05.2011 05:12:18 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 25.05.2011 05:12:19 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 25.05.2011 05:12:19 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 25.05.2011 05:12:20 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 25.05.2011 05:12:20 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 25.05.2011 05:12:21 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 25.05.2011 05:12:21 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 25.05.2011 05:12:21 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
[ System Events ]
Error - 26.05.2011 06:13:14 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem
Fehler beendet:  %%127
 
Error - 26.05.2011 06:13:15 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem
Fehler beendet:  %%127
 
Error - 26.05.2011 06:13:15 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem
Fehler beendet:  %%127
 
Error - 26.05.2011 06:13:15 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem
Fehler beendet:  %%127
 
Error - 26.05.2011 06:14:26 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem
Fehler beendet:  %%127
 
Error - 26.05.2011 06:16:08 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem
Fehler beendet:  %%127
 
Error - 26.05.2011 06:16:10 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem
Fehler beendet:  %%127
 
Error - 26.05.2011 06:33:10 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem
Fehler beendet:  %%127
 
Error - 26.05.2011 06:44:37 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem
Fehler beendet:  %%127
 
Error - 26.05.2011 06:49:50 | Computer Name = IUZ-UKNYDLKSLQ7 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "NLA (Network Location Awareness)" wurde mit folgendem
Fehler beendet:  %%127
 
 
< End of report >

/E: Eingefügte Logfiles gefixed, sorry.

cosinus 26.05.2011 15:19
Malwarebytes schon ausgeführt?

faxgeraet 26.05.2011 19:35
Habe es gerade mal durchlaufen lassen (Nicht im "Schnell-Modus", sondern mit dieser intensiveren Variante). Vorheriges Update auf aktuellste Version habe ich soweit auch ausgeführt.

Allerdings wieder nur Verweise darauf, dass mein Windows-Security-Center disabled ist, was ja auch stimmt und von mir aus auch völlig in Ordnung ist.

Ich habe den leisen Verdacht, dass ich bei der Installation von irgendeinem Minitool mal nicht aufgepasst habe, und sich dieses Verhalten über eine Toolbar irgendwie eingeschlichen hat. Nur leider bin ich nicht in der Lage herauszufinden, wie und wo und was da genau für verantwortlich ist.

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6686

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

26.05.2011 20:30:07
mbam-log-2011-05-26 (20-30-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 192237
Laufzeit: 34 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 26.05.2011 20:12
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.04.26 11:01:17 | 000,205,632 | ---- | M] () - C:\AUTO.pat -- [ NTFS ]
O32 - AutoRun File - [2011.04.26 11:01:17 | 000,000,020 | ---- | M] () - C:\AUTO.pst -- [ NTFS ]
O32 - AutoRun File - [2010.12.30 01:30:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2004.03.11 14:00:04 | 000,356,352 | R--- | M] (Ascaron Entertainment GmbH) - D:\AutoRun.exe -- [ UDF ]
O32 - AutoRun File - [2005.06.21 17:36:12 | 000,000,047 | R--- | M] () - D:\AutoRun.inf -- [ UDF ]
O32 - AutoRun File - [2005.07.12 17:03:04 | 001,550,016 | R--- | M] () - D:\autodata.cpr -- [ UDF ]
O32 - AutoRun File - [2005.06.22 15:27:12 | 000,002,238 | R--- | M] () - D:\autorun.ico -- [ UDF ]
O33 - MountPoints2\{9580f0c1-13a2-11e0-ac11-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{9580f0c1-13a2-11e0-ac11-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{9580f0c1-13a2-11e0-ac11-806d6172696f}\Shell\AutoRun\command - "" = D:\AutoRun.exe -- [2004.03.11 14:00:04 | 000,356,352 | R--- | M] (Ascaron Entertainment GmbH)
O33 - MountPoints2\{e20ae47f-2b9a-11e0-ac4e-00ff01000001}\Shell - "" = AutoRun
O33 - MountPoints2\{e20ae47f-2b9a-11e0-ac4e-00ff01000001}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e20ae47f-2b9a-11e0-ac4e-00ff01000001}\Shell\AutoRun\command - "" = I:\LGAutoRun.exe
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

faxgeraet 26.05.2011 20:43
Ok, habe das kopiert und in OTL eingefügt. Das Programm hat in der Tat nach dem Fix einen Neustart ausgeführt und mir dann das folgende Log-File ausgegeben:

Code:
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTO.pat moved successfully.
C:\AUTO.pst moved successfully.
C:\AUTOEXEC.BAT moved successfully.
File move failed. D:\AutoRun.exe scheduled to be moved on reboot.
File move failed. D:\AutoRun.inf scheduled to be moved on reboot.
File move failed. D:\autodata.cpr scheduled to be moved on reboot.
File move failed. D:\autorun.ico scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9580f0c1-13a2-11e0-ac11-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9580f0c1-13a2-11e0-ac11-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9580f0c1-13a2-11e0-ac11-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9580f0c1-13a2-11e0-ac11-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9580f0c1-13a2-11e0-ac11-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9580f0c1-13a2-11e0-ac11-806d6172696f}\ not found.
File move failed. D:\AutoRun.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e20ae47f-2b9a-11e0-ac4e-00ff01000001}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e20ae47f-2b9a-11e0-ac4e-00ff01000001}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e20ae47f-2b9a-11e0-ac4e-00ff01000001}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e20ae47f-2b9a-11e0-ac4e-00ff01000001}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e20ae47f-2b9a-11e0-ac4e-00ff01000001}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e20ae47f-2b9a-11e0-ac4e-00ff01000001}\ not found.
File I:\LGAutoRun.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.23.0 log created on 05262011_213821

Files\Folders moved on Reboot...
File move failed. D:\AutoRun.exe scheduled to be moved on reboot.
File move failed. D:\AutoRun.inf scheduled to be moved on reboot.
File move failed. D:\autodata.cpr scheduled to be moved on reboot.
File move failed. D:\autorun.ico scheduled to be moved on reboot.

Registry entries deleted on Reboot...

cosinus 26.05.2011 20:54
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

faxgeraet 26.05.2011 21:07
Es ist anscheinend fündig geworden:

http://www.abload.de/img/unbenanntfkqj.jpg

Ich werde jetzt mal den Reboot ausführen.

cosinus 26.05.2011 21:11
Bitte Windows neu starten und zur Kontrolle ein neues Log mit dem Kaspersky-TDSS-Killer machen.

faxgeraet 26.05.2011 21:15
Er findet wieder etwas, allerdings unter anderem Namen.

Code:
C:\WINDOWS\system32\DRIVERS\ndiswan.sys - will be cured after reboot
Bedeutet das, dass sich diese Schadsoftware (oder wie auch immer es genau heißt) sozusagen fortpflanzt? Ich habe nämlich gerade mit google gesucht, da bin ich bei 3 Versuchen immer auf der richtigen Seite gelandet. Das für mich offensichtliche Symptom ist also verschwunden. Allerdings hätte ich natürlich sehr gerne ein sauberes System.

/Edit:

Ok, nachdem diese Datei auch mit einem Reboot gelöscht wurde, findet TDSS-Killer nun keine "threats" mehr.

cosinus 26.05.2011 21:21
Zitat:
Ok, nachdem diese Datei auch mit einem Reboot gelöscht wurde, findet TDSS-Killer nun keine "threats" mehr.
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

faxgeraet 26.05.2011 21:40
Jawoll, erledigt. Log sieht so aus:

Combofix Logfile:
Code:
ComboFix 11-05-26.01 - Felix 26.05.2011  22:28:16.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.2047.1741 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Felix\Desktop\cofi.exe
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Felix\Anwendungsdaten\facemoods.com
c:\windows\system32\config\prcqocvp
.
Infizierte Kopie von c:\windows\system32\wuauclt.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\system32\dllcache\wuauclt.exe wurde wiederhergestellt
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-04-26 bis 2011-05-26  ))))))))))))))))))))))))))))))
.
.
2011-05-26 19:38 . 2011-05-26 19:38        --------        d-----w-        C:\_OTL
2011-05-26 16:58 . 2010-12-20 16:09        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-26 16:57 . 2011-05-26 16:58        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-05-26 16:57 . 2010-12-20 16:08        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-05-26 10:32 . 2011-05-26 10:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2011-05-26 10:09 . 2011-05-26 10:09        --------        d-----w-        c:\programme\Gemeinsame Dateien\Adobe
2011-05-26 10:08 . 1998-10-29 14:45        306688        ----a-w-        c:\windows\IsUninst.exe
2011-05-26 08:44 . 2011-05-26 10:13        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVAST Software
2011-05-26 08:44 . 2011-05-26 08:44        --------        d-----w-        c:\programme\AVAST Software
2011-05-26 08:28 . 2011-05-26 08:41        48801        ----a-w-        c:\windows\system32\drivers\sfi.dat
2011-05-26 08:08 . 2011-05-26 08:08        --------        d-----w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\Malwarebytes
2011-05-26 08:08 . 2011-05-26 08:08        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-05-25 18:49 . 2011-05-26 08:05        --------        d-----w-        c:\programme\JDownloader
2011-05-25 12:38 . 2011-05-25 12:38        --------        d-----w-        c:\dokumente und einstellungen\Felix\Lokale Einstellungen\Anwendungsdaten\Thunderbird
2011-05-25 12:38 . 2011-05-25 12:38        --------        d-----w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\Thunderbird
2011-05-25 12:38 . 2011-05-25 12:38        --------        d-----w-        c:\programme\Mozilla Thunderbird
2011-05-25 11:31 . 2011-05-25 12:44        --------        d-----w-        c:\programme\Spybot - Search & Destroy
2011-05-25 11:31 . 2011-05-25 12:43        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2011-05-18 20:15 . 2011-05-18 20:15        404640        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-15 19:13 . 2011-05-17 18:57        --------        d-----w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\mIRC
2011-05-15 19:13 . 2011-05-17 18:57        --------        d-----w-        c:\programme\mIRC
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-26 20:17 . 2002-08-29 12:00        91520        ----a-w-        c:\windows\system32\drivers\ndiswan.sys
2011-05-26 20:09 . 2002-08-29 12:00        138496        ----a-w-        c:\windows\system32\drivers\afd.sys
2011-04-18 10:10 . 2010-12-30 09:33        812448        ----a-w-        c:\windows\system32\drivers\ESLWireACD.sys
2011-03-30 21:43 . 2011-03-30 21:36        138264        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys
2011-03-30 21:42 . 2011-03-30 21:42        234768        ----a-w-        c:\windows\system32\PnkBstrB.xtr
2011-03-30 21:42 . 2011-03-30 21:36        234768        ----a-w-        c:\windows\system32\PnkBstrB.exe
2011-03-30 21:36 . 2011-03-30 21:36        138056        ----a-w-        c:\dokumente und einstellungen\Felix\Anwendungsdaten\PnkBstrK.sys
2011-03-30 21:36 . 2011-03-30 21:36        90112        ----a-w-        c:\windows\system32\PnkBstrA.exe
2011-03-07 05:33 . 2010-12-29 23:28        692736        ----a-w-        c:\windows\system32\inetcomm.dll
2011-03-04 06:44 . 2002-08-29 12:00        434176        ----a-w-        c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2002-08-29 12:00        1858048        ----a-w-        c:\windows\system32\win32k.sys
2011-04-14 16:40 . 2011-05-25 12:28        142296        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\programme\Steam\steam.exe" [2010-12-30 1242448]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2010-07-07 1753192]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-07-09 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-07-09 13923432]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2011-5-26 113664]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Steam\\Steam.exe"=
"c:\\Programme\\EslWire\\wire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Steam\\steamapps\\gnadenlos646@gmx.net\\day of defeat\\hl.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Steam\\steamapps\\common\\monkey2\\Monkey2.exe"=
"c:\\Programme\\Steam\\steamapps\\gnadenlos646@gmx.net\\half-life\\hl.exe"=
"c:\\Programme\\Steam\\steamapps\\gnadenlos646@gmx.net\\counter-strike\\hl.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8396:TCP"= 8396:TCP:League of Legends Launcher
"8396:UDP"= 8396:UDP:League of Legends Launcher
"6977:TCP"= 6977:TCP:League of Legends Launcher
"6977:UDP"= 6977:UDP:League of Legends Launcher
"6885:TCP"= 6885:TCP:League of Legends Launcher
"6885:UDP"= 6885:UDP:League of Legends Launcher
.
R2 ESLWireAC;ESLWireAC;c:\windows\system32\drivers\ESLWireACD.sys [30.12.2010 11:33 812448]
R3 ESLvnic1;ESLvnic Virtual Network 32 Bit;c:\windows\system32\drivers\ESLvnic.sys [30.12.2010 11:33 24504]
S3 hidusbf;USB Mouse Rate Adjuster Lower Filter by SweetLow;c:\windows\system32\drivers\hidusbf.sys [08.11.2006 22:19 4544]
S3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtport.sys --> c:\windows\system32\DRIVERS\lgbtport.sys [?]
S3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbus.sys --> c:\windows\system32\DRIVERS\lgbtbus.sys [?]
S3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmodem.sys --> c:\windows\system32\DRIVERS\lgvmodem.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = www.google.de
uInternet Connection Wizard,ShellNext = iexplore
LSP: mswsock.dll
TCP: DhcpNameServer = 192.168.2.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\Felix\Anwendungsdaten\Mozilla\Firefox\Profiles\jeh2qt5m.default\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
SafeBoot-04680378.sys
SafeBoot-99184243.sys
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-26 22:33
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\devldr32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-26  22:36:45 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-05-26 20:36
.
Vor Suchlauf: 10 Verzeichnis(se), 218.915.581.952 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 220.012.822.528 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
.
- - End Of File - - 54CE3D0E390DFFB2498A5AC8F207AB4B
--- --- ---

cosinus 27.05.2011 08:17
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur wenige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

faxgeraet 27.05.2011 11:34
So, GMER ist durch, hat doch etwas gedauert. Ich muss zugeben, dass ich es verpennt habe vorher Firefox und Steam zu schließen.

GMER Logfile:
Code:
GMER 1.0.15.15627 - hxxp://www.gmer.net
Rootkit scan 2011-05-27 12:33:03
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST3250820ACE rev.3.ACD
Running: bt5zz1fz.exe; Driver: C:\DOKUME~1\Felix\LOKALE~1\Temp\pwpdiuod.sys


---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                            section is writeable [0xB757F3A0, 0x59FFE5, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text  C:\Programme\Mozilla Firefox\firefox.exe[1164] ntdll.dll!LdrLoadDll  7C92632D 5 Bytes  JMP 00401410 C:\Programme\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- EOF - GMER 1.0.15 ----
--- --- ---

faxgeraet 27.05.2011 11:45
OSAM ist auch durch:

OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 12:37:36 on 27.05.2011

OS: Windows XP Home Edition Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 4.0.1

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"catchme" (catchme) - ? - C:\cofi\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ESLvnic Virtual Network 32 Bit" (ESLvnic1) - "Turtle Entertainment GmbH" - C:\WINDOWS\System32\DRIVERS\ESLvnic.sys
"ESLWireAC" (ESLWireAC) - "<Turtle Entertainment>" - C:\WINDOWS\system32\drivers\ESLWireACD.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"LG Bluetooth Bus Enumerator" (lgbusenum) - ? - C:\WINDOWS\System32\DRIVERS\lgbtbus.sys  (File not found)
"LGE Bluetooth TransPort" (LgBttPort) - ? - C:\WINDOWS\System32\DRIVERS\lgbtport.sys  (File not found)
"LGE Virtual Modem" (LGVMODEM) - ? - C:\WINDOWS\System32\DRIVERS\lgvmodem.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"pwpdiuod" (pwpdiuod) - ? - C:\DOKUME~1\Felix\LOKALE~1\Temp\pwpdiuod.sys  (Hidden registry entry, rootkit activity | File not found)
"USB Mouse Rate Adjuster Lower Filter by SweetLow" (hidusbf) - "SweetLow" - C:\WINDOWS\System32\DRIVERS\hidusbf.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{A70C977A-BF00-412C-90B7-034C51DA2439} "DesktopContext Class" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -  (File not found | COM-object registry key not found)
{FFB699E0-306A-11d3-8BD1-00104B6F7516} "NVIDIA CPL Extension" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nvshell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Programme\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )-----
{32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? -  (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
DirectAnimation Java Classes "DirectAnimation Java Classes" - ? -  (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\dajava.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_24" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_24.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab
Microsoft XML Parser for Java "Microsoft XML Parser for Java" - ? -  (File not found | COM-object registry key not found) / file://C:\WINDOWS\Java\classes\xmldso.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10l.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"Adobe Gamma Loader.lnk" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe  (Shortcut exists | File exists)
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Felix\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Steam" - "Valve Corporation" - "C:\Programme\Steam\steam.exe" -silent
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"NvCplDaemon" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"NvMediaCenter" - "NVIDIA Corporation" - RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"nwiz" - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet
"SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll  (File not found)
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"PnkBstrA" (PnkBstrA) - ? - C:\WINDOWS\system32\PnkBstrA.exe  (File found, but it contains no detailed information)
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---
If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru
[/CODE]

(Sorry, dass ich es nicht in einen Edit gepackt habe, aber irgendwie ist das Edit-Fenster irritierend für mich)


/Edit: Die MBRCheck.exe ist leider down.

cosinus 27.05.2011 15:39
Hm, dann müssen wir mbrcheck heute Abend nochmal probieren.

faxgeraet 28.05.2011 01:37
So, MBRChecker wieder Auf-Linie! :_)

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows XP Home Edition
Windows Information:                Service Pack 3 (build 2600)
Logical Drives Mask:                0x000000fc

Kernel Drivers (total 108):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x806EF000 \WINDOWS\system32\hal.dll
  0xF7987000 \WINDOWS\system32\KDCOM.DLL
  0xF7897000 \WINDOWS\system32\BOOTVID.dll
  0xF75A7000 ACPI.sys
  0xF7989000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
  0xF7596000 pci.sys
  0xF75F7000 isapnp.sys
  0xF7607000 ohci1394.sys
  0xF7617000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
  0xF7A4F000 pciide.sys
  0xF7707000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
  0xF7627000 MountMgr.sys
  0xF74D7000 ftdisk.sys
  0xF770F000 PartMgr.sys
  0xF7637000 VolSnap.sys
  0xF74BF000 atapi.sys
  0xF7647000 disk.sys
  0xF7657000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
  0xF749F000 fltmgr.sys
  0xF748D000 sr.sys
  0xF7476000 KSecDD.sys
  0xF7B52000 Ntfs.sys
  0xF7449000 NDIS.sys
  0xF742F000 Mup.sys
  0xF7667000 gagp30kx.sys
  0xB8798000 \SystemRoot\System32\DRIVERS\intelppm.sys
  0xB7576000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
  0xB7544000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB8788000 \SystemRoot\System32\DRIVERS\nic1394.sys
  0xB8778000 \SystemRoot\System32\DRIVERS\cdrom.sys
  0xB8768000 \SystemRoot\System32\DRIVERS\redbook.sys
  0xB7521000 \SystemRoot\System32\DRIVERS\ks.sys
  0xF775F000 \SystemRoot\System32\DRIVERS\usbohci.sys
  0xB74FD000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
  0xF7767000 \SystemRoot\System32\DRIVERS\usbehci.sys
  0xF776F000 \SystemRoot\System32\DRIVERS\sisnicxp.sys
  0xB74B7000 \SystemRoot\system32\drivers\emu10k1m.sys
  0xB7493000 \SystemRoot\system32\drivers\portcls.sys
  0xB8758000 \SystemRoot\system32\drivers\drmk.sys
  0xB8748000 \SystemRoot\system32\drivers\sfmanm.sys
  0xF7997000 \SystemRoot\system32\drivers\ctlfacem.sys
  0xF7AA1000 \SystemRoot\System32\DRIVERS\ctljystk.sys
  0xF793F000 \SystemRoot\System32\DRIVERS\gameenum.sys
  0xF7777000 \SystemRoot\System32\DRIVERS\fdc.sys
  0xB8718000 \SystemRoot\System32\DRIVERS\i8042prt.sys
  0xF777F000 \SystemRoot\System32\DRIVERS\kbdclass.sys
  0xF7AA2000 \SystemRoot\system32\drivers\msmpu401.sys
  0xF7AA3000 \SystemRoot\System32\DRIVERS\audstub.sys
  0xF7697000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
  0xF7943000 \SystemRoot\System32\DRIVERS\ndistapi.sys
  0xB73DC000 \SystemRoot\System32\DRIVERS\ndiswan.sys
  0xF76A7000 \SystemRoot\System32\DRIVERS\raspppoe.sys
  0xF76B7000 \SystemRoot\System32\DRIVERS\raspptp.sys
  0xF7787000 \SystemRoot\System32\DRIVERS\TDI.SYS
  0xB73CB000 \SystemRoot\System32\DRIVERS\psched.sys
  0xF76C7000 \SystemRoot\System32\DRIVERS\msgpc.sys
  0xF778F000 \SystemRoot\System32\DRIVERS\ptilink.sys
  0xF7797000 \SystemRoot\System32\DRIVERS\raspti.sys
  0xF76D7000 \SystemRoot\system32\DRIVERS\ESLvnic.sys
  0xF76E7000 \SystemRoot\System32\DRIVERS\termdd.sys
  0xF779F000 \SystemRoot\System32\DRIVERS\mouclass.sys
  0xF799B000 \SystemRoot\System32\DRIVERS\swenum.sys
  0xB6699000 \SystemRoot\System32\DRIVERS\update.sys
  0xF794B000 \SystemRoot\System32\DRIVERS\mssmbios.sys
  0xF76F7000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF7586000 \SystemRoot\System32\DRIVERS\usbhub.sys
  0xF799D000 \SystemRoot\System32\DRIVERS\USBD.SYS
  0xF799F000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7A54000 \SystemRoot\System32\Drivers\Null.SYS
  0xF79A1000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF77C7000 \SystemRoot\System32\drivers\vga.sys
  0xF79A3000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF79A5000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF77CF000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF77D7000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB8714000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0xB44DA000 \SystemRoot\System32\DRIVERS\ipsec.sys
  0xB4481000 \SystemRoot\System32\DRIVERS\tcpip.sys
  0xB4459000 \SystemRoot\System32\DRIVERS\netbt.sys
  0xB4437000 \SystemRoot\System32\drivers\afd.sys
  0xF7566000 \SystemRoot\System32\DRIVERS\netbios.sys
  0xB436C000 \SystemRoot\System32\DRIVERS\rdbss.sys
  0xB42D4000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
  0xF7536000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB42AE000 \SystemRoot\System32\DRIVERS\ipnat.sys
  0xF7526000 \SystemRoot\System32\DRIVERS\wanarp.sys
  0xF7516000 \SystemRoot\System32\DRIVERS\arp1394.sys
  0xF77DF000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
  0xB429D000 \SystemRoot\System32\Drivers\Udfs.SYS
  0xF7917000 \SystemRoot\System32\DRIVERS\hidusb.sys
  0xB7483000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
  0xF77E7000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
  0xF791B000 \SystemRoot\System32\DRIVERS\mouhid.sys
  0xB4285000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF79AD000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB457F000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF77FF000 \SystemRoot\System32\watchdog.sys
  0xBD000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7AB2000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBD012000 \SystemRoot\System32\nv4_disp.dll
  0xBD61F000 \SystemRoot\System32\ATMFD.DLL
  0xB3CB7000 \??\C:\WINDOWS\system32\drivers\ESLWireACD.sys
  0xB3C37000 \SystemRoot\System32\DRIVERS\srv.sys
  0xB3B32000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB3F64000 \SystemRoot\system32\drivers\sysaudio.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 22):
      0 System Idle Process
      4 System
    568 C:\WINDOWS\system32\smss.exe
    632 csrss.exe
    656 C:\WINDOWS\system32\winlogon.exe
    700 C:\WINDOWS\system32\services.exe
    712 C:\WINDOWS\system32\lsass.exe
    872 C:\WINDOWS\system32\svchost.exe
    932 svchost.exe
    1020 C:\WINDOWS\system32\svchost.exe
    1200 C:\WINDOWS\system32\spoolsv.exe
    1300 C:\Programme\Java\jre6\bin\jqs.exe
    1324 C:\WINDOWS\system32\PnkBstrA.exe
    1600 C:\WINDOWS\explorer.exe
    1688 C:\WINDOWS\system32\wuauclt.exe
    224 C:\WINDOWS\system32\rundll32.exe
    260 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    284 C:\Programme\Steam\Steam.exe
    464 alg.exe
    1396 C:\WINDOWS\system32\devldr32.exe
    1608 C:\Programme\Mozilla Firefox\firefox.exe
    1680 C:\Dokumente und Einstellungen\Felix\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: ST3250820ACE, Rev: 3.ACD 

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11


Done!

cosinus 28.05.2011 02:29
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


faxgeraet 28.05.2011 03:32
Mit Malwarebytes und SUPERAntiSpyWare habe ich schon vorher gescannt, und da haben die mir ja auch keine Bedrohung gemeldet, von daher gehe ich mal guten Gewissens davon aus, dass das ganze Generve behoben ist.

Vielen, vielen Dank an dich für die Hilfe!!!

cosinus 28.05.2011 22:44
Äh hast du meinen Beitrag nicht gelesen? :dummguck:
Ich hab nicht zur Deko geschrieben, dass du zur Kontrolle diese Scans (nochmal) machen musst. Außerdem war nicht nur von MBAM und SASW die Rede, sondern auch vom OnlineScanner ESET!

faxgeraet 29.05.2011 03:39
Zum Glück hast du darauf bestanden. Malwarebytes hat gleich was gefunden:

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6707

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

29.05.2011 04:38:23
mbam-log-2011-05-29 (04-38-23).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 186065
Laufzeit: 22 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Qoobox\quarantine\C\WINDOWS\system32\wuauclt.exe.vir (Trojan.Patch) -> Quarantined and deleted successfully.
c:\system volume information\_restore{977fefbc-5de3-4b4a-ad5a-cf87937973af}\RP1\A0000017.exe (Trojan.Patch) -> Quarantined and deleted successfully.
Und auch SUPERAntiSpyware wurde wieder fündig, zum Mäuse melken. :-(

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/29/2011 at 05:36 AM

Application Version : 4.53.1000

Core Rules Database Version : 7161
Trace Rules Database Version: 4973

Scan type      : Complete Scan
Total Scan Time : 00:49:46

Memory items scanned      : 404
Memory threats detected  : 0
Registry items scanned    : 5019
Registry threats detected : 0
File items scanned        : 55368
File threats detected    : 2

Adware.Tracking Cookie
        media.mtvnservices.com [ C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\PERZPZ5T ]
        secure-us.imrworldwide.com [ C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\PERZPZ5T ]

faxgeraet 29.05.2011 05:29
Und hier noch das ESET Log:

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=70c491e31c45914bba84de9a4e27e27e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-29 04:25:24
# local_time=2011-05-29 06:25:24 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 125 125 0 0
# scanned=55736
# found=5
# cleaned=0
# scan_time=2598
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\2b2e69e2-3b5e79db        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\187f06ef-7f208c77        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Programme\Java\jre6\bin\jqs.exe        Win32/Patched.HK trojan (unable to clean)        00000000000000000000000000000000        I
C:\WINDOWS\system32\PnkBstrA.exe        Win32/Patched.HK trojan (unable to clean)        00000000000000000000000000000000        I
${Memory}        Win32/Patched.HK trojan        00000000000000000000000000000000        I

cosinus 29.05.2011 10:02
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.


Anschließend bitte den Avenger ausführen, anscheinend wurde eine Datei von Java und Punkbuster manipuliert, diese zwei Anwendungen musst du danach wohl neu installieren:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
Files to delete:
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken

faxgeraet 29.05.2011 12:07
Avenger Log sieht jetzt so aus:

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Programme\Java\jre6\bin\jqs.exe" deleted successfully.
File "C:\WINDOWS\system32\PnkBstrA.exe" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
Und hier ist die backup Datei.

hxxp://www.file-upload.net/download-3466546/backup.zip.html

Da sind Kopien der infizierten Dateien drin, richtig oder?

cosinus 29.05.2011 12:11
Oha, die Dateien wurden tatsächlich manipuliert:

VirusTotal - PnkBstrA.exe
VirusTotal jqs.exe

Führe ESET bitte nochmal aus.

faxgeraet 29.05.2011 12:29
Jetzt sagt ESET mir, dass es nicht das Update mit den neusten Signaturen herunterladen könne, und fragt mich ob ich einen Proxy installiert hätte. Ich habe aber nichts umgestellt seit dem check heute morgen.

:confused:


Edit:

Genaugenommen fragt ESET ob ein Proxy konfiguriert sei, und nicht ob ein Proxy installiert sei.

http://www.abload.de/img/unbenannt48nh.jpg

Anpingen kann ich den updateserver zumindest.

cosinus 29.05.2011 12:34
http://www.trojaner-board.de/94344-p...n-pruefen.html

faxgeraet 29.05.2011 12:42
Bei mir ist im IE kein Proxy eingestellt gewesen. :confused:

http://www.abload.de/img/unbenanntuui0.jpg


Zur Verdeutlichung des Status Quo ein Screenshot von den Verbindungseinstellungen.


EDIT:

Nach einem Neustart funktionierte das Update wieder, der Scan läuft jetzt durch!!!

faxgeraet 29.05.2011 14:21
Ja ich bin ein Horst. Jetzt ist der Scan durchgelaufen, hat auch 2 threats gefunden. Bevor ich die logfile kopiert habe, habe ich allerdings dooferweise das Programm deinstalliert. Dann konnte keine Logfile mehr ausgegeben werden.

Jetzt probiere ich das Programm wieder zu installieren um es nochmals durchlaufen zu lassen, aber er meckert wieder wegen Proxy-Einstellungen.

:taenzer:

Dauert wohl noch ein bisschen, aber ich probiere es weiter.

cosinus 29.05.2011 14:58
Nimm den Haken bei Automatische Suche der Einstellungen raus.

faxgeraet 29.05.2011 15:33
Danke!

Hier jetzt das frisch erstellte ESET Logfile:

Code:
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=70c491e31c45914bba84de9a4e27e27e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-29 02:30:33
# local_time=2011-05-29 04:30:33 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 9036 9036 0 0
# scanned=53844
# found=2
# cleaned=0
# scan_time=2113
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\2b2e69e2-3b5e79db        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\187f06ef-7f208c77        multiple threats (unable to clean)        00000000000000000000000000000000        I

cosinus 29.05.2011 15:44
Immer noch Funde im Cache. Tauchen die immer wieder auf?

faxgeraet 29.05.2011 15:49
Bei dem Suchlauf davor gab es auch zwei threats, ich gehe mal davon aus, dass das die gleichen waren.


Zitat:
Zitat von cosinus (Beitrag 665140)
Immer noch Funde im Cache. Tauchen die immer wieder auf?
Wie meinst du das genau? Soll ich das Programm nochmals durchlaufen lassen?

cosinus 29.05.2011 16:00
Ja, es geht um diese Funde in diesem Ordner:

C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\...

faxgeraet 29.05.2011 16:21
Habe ESET nochmal gestartet, es findet wieder diese beiden Verzeichnisse/Dateien.

Code:
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\2b2e69e2-3b5e79db        multiple threats
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\187f06ef-7f208c77        multiple threats
Aber ESET ist ja bis dato auch so eingestellt, dass es nichts entfernen soll, von daher nicht so richtig verwunderlich, oder übersehe ich etwas?

cosinus 29.05.2011 16:22
Löschen musst du das schon :o

faxgeraet 29.05.2011 16:25
Manuell oder von ESET entfernen lassen?
Ich meine, hätte man sich natürlich auch denken können, dass das weg muss. Aber so gut wie das bisher hier geklappt hat, halte ich mich jetzt strikt an die Anweisungen. ^^

cosinus 29.05.2011 17:10
Ist im Prinzip egal ob du die beiden Funde entfernen lässt oder manuell löschst.
Wir sollten nur im Auge behalten, ob sich da immer wieder Funde tummeln in diesem Ordner. Sieht aber bislang gut aus, bis auf dei zwei Objekte war da nichts weiteres mehr.

faxgeraet 29.05.2011 17:11
Hab sie jetzt von ESET entfernen lassen, nach einem neuerlichen Suchlauf & Reboot findet ESET nun auch nichts.

Code:
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=70c491e31c45914bba84de9a4e27e27e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-29 02:30:33
# local_time=2011-05-29 04:30:33 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 9036 9036 0 0
# scanned=53844
# found=2
# cleaned=0
# scan_time=2113
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\2b2e69e2-3b5e79db        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\187f06ef-7f208c77        multiple threats (unable to clean)        00000000000000000000000000000000        I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=70c491e31c45914bba84de9a4e27e27e
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-29 03:19:18
# local_time=2011-05-29 05:19:18 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 14043 14043 0 0
# scanned=1251
# found=2
# cleaned=0
# scan_time=31
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\2b2e69e2-3b5e79db        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\187f06ef-7f208c77        multiple threats (unable to clean)        00000000000000000000000000000000        I
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=70c491e31c45914bba84de9a4e27e27e
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-29 03:31:48
# local_time=2011-05-29 05:31:48 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 14388 14388 0 0
# scanned=19924
# found=0
# cleaned=0
# scan_time=436
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=70c491e31c45914bba84de9a4e27e27e
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-29 03:32:35
# local_time=2011-05-29 05:32:35 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 14850 14850 0 0
# scanned=1256
# found=2
# cleaned=2
# scan_time=22
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\2b2e69e2-3b5e79db        multiple threats (deleted - quarantined)        00000000000000000000000000000000        C
C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47\187f06ef-7f208c77        multiple threats (deleted - quarantined)        00000000000000000000000000000000        C
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=70c491e31c45914bba84de9a4e27e27e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-05-29 04:09:22
# local_time=2011-05-29 06:09:22 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 15038 15038 0 0
# scanned=53943
# found=0
# cleaned=0
# scan_time=2040

cosinus 29.05.2011 17:50
Sieht ok aus.
Rechner wieder im Lot?

faxgeraet 29.05.2011 17:57
Läuft wie ne glatte 1. Ich bilde mir ein, dass Firefox wesentlich fixer reagiert. :Boogie:


Ich danke dir 1000x für die Geduld, die Hilfe & deine Zeit! :daumenhoc

cosinus 29.05.2011 18:02
Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

faxgeraet 29.05.2011 19:22
Top, hab Windows, Java, Flashplayer aktualisiert. Vorher hatte ich Foxitreader, hab aber schon länger nach ner Alternative dafür gesucht -> SumatraPDF it is.

Passwörter werde ich gleich auch alle ändern, und dann bin ich durch. Kann mich garnicht oft genug bedanken. :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131