Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Heuristics.Reserved.Word.Exploit in rundll32.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 29.08.2011, 12:47   #1
JizzleJason
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Hallo, ich habe ein Problem mit einem Virus.
Ich könnte plötzlich keine exe-Dateien mehr benutzen, weil dann immer das "Öffnen mit" Fenster geöffnet wurde. Nachdem ich überprüft hatte ob meine firewall noch aktiv ist, habe ich dann mit einem Trick (mozilla firefox öffnen mit mozilla firefox) im internet nach diesem problem gesucht, doch hat keine der dortigen Problemlösungen mir gegholfen also habe ich einen suchlauf mit malewarebytes gemacht und dort wurde dann der virus Heuristics.Reserved.Word.Exploit in rundll32.exe gefunden.
Was soll ich machen?

Danke im voraus: Jason

Alt 29.08.2011, 14:03   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Zitat:
Was soll ich machen?
Alle Logs posten
__________________

__________________

Alt 29.08.2011, 16:07   #3
JizzleJason
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Irgendwie verhindert mein Problem auch, dass ich Dateien herunterladen kann bzw. der download hält sofort an, nachdem ich ihn starte und wenn ich auf fortsetzen klickte, werden die Dateien zwar heruntergeladen und erscheinen für wenige Sekunden im Download-Ordner doch verschwinden danach seltsamerweise.
Ich brauche also wohl etwas Zeit um die Programme (ich nehme an du meinst defooger und OTL) von einem anderen PC herüberzuholen.

MfG Jason
__________________

Alt 29.08.2011, 18:40   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Und v.a. auch Malwarebytes. Alle Logs eben.
Ohne Logs wird das ein Fall für format c: oder die
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 30.08.2011, 10:41   #5
JizzleJason
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Ich kann leider schon wieder keine Logs posten, weil bei mir die vorgeschlagenen Programme (OTL und gmer) nicht richtig zu funktionieren zu scheinen.
Wenn ich OTL benutzte wird der scan richtig ausgeführt, aber wenn er fertig ist, steht im Fenster ganz unten lediglich "Scans conplete" aber danach passiert nichts mehr und die txt-Dateien existieren auch nicht.
Wenn ich GMER starte poppen dierekt mehrere Fehlermeldungen auf, weil der Zugriff auf bestimmte Dateien ( \pxldipob.sys und config\system) verweigert wird. Wenn ich den scan starten will, erscheinen die gleichen Meldungen nocheinmal.
Bei antivir (ein kompletter suchlauf hat 2 viren entdeckt) kann ich den Report aus irgendeinem Grund nicht öffnen. Die Viren waren: TR/Agent2.dsgf und TR/Trash.Gen .
Ich hoffe du kannst mir sagen wie ich diese Probleme beheben kann.

Gruß Jason


Alt 30.08.2011, 10:53   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Da musst du mit OTLPE ran. Benötigt wird dafür ein zweiter (virenfreier!!) Windows-Rechner mit Brenner und einen CD-R oder CD-RW Rohling. Den infizierten Rechner von dieser selbstgebrannten OTLPE-CD dann booten.


Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________
--> Heuristics.Reserved.Word.Exploit in rundll32.exe

Alt 30.08.2011, 14:01   #7
JizzleJason
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Hab ich gemacht und hat soweit auch alles funktioniert aber anscheinend wurde keine Extras.txt ertsellt. Ich poste also erstmal den Inhalt von OTL.txt


Code:
ATTFilter
OTL logfile created on: 8/30/2011 3:50:57 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 87.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 172.76 Gb Total Space | 28.98 Gb Free Space | 16.77% Space Free | Partition Type: NTFS
Drive D: | 293.00 Gb Total Space | 209.50 Gb Free Space | 71.50% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2011/07/04 03:00:28 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/04/28 03:58:07 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010/07/19 06:13:31 | 000,316,888 | ---- | M] (Protection Technology) [Auto] -- C:\WINDOWS\System32\appdrvrem01.exe -- (appdrvrem01) Application Driver Auto Removal Service (01)
SRV - [2008/11/10 16:11:26 | 000,122,880 | ---- | M] (Sony DADC Austria AG.) [Auto] -- C:\WINDOWS\system32\UAService7.exe -- (UserAccess7) SecuROM User Access Service (V7)
SRV - [2008/06/10 14:26:28 | 000,222,456 | ---- | M] () [Auto] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)
SRV - [2005/04/03 19:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (sony_ssm.sys)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | On_Demand] --  -- (iatmunin)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/07/24 10:05:08 | 000,218,688 | ---- | M] (DT Soft Ltd) [Kernel | System] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01)
DRV - [2011/07/04 03:00:29 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/04 03:00:28 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/07/19 06:13:31 | 003,333,808 | ---- | M] (Protection Technology) [Kernel | System] -- C:\WINDOWS\system32\drivers\appdrv01.sys -- (appdrv01) Application Driver (01)
DRV - [2009/09/23 04:41:58 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)
DRV - [2009/08/20 11:08:23 | 000,281,760 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt)
DRV - [2009/08/20 11:08:23 | 000,025,888 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt)
DRV - [2009/06/17 03:56:18 | 000,037,392 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt)
DRV - [2009/06/17 03:56:06 | 000,035,472 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt)
DRV - [2009/06/17 03:55:34 | 000,010,384 | ---- | M] (Logitech, Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\LBeepKE.sys -- (LBeepKE)
DRV - [2009/05/11 03:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/02/13 06:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/04/14 01:51:54 | 000,432,128 | ---- | M] (Bluw (Hong Kong) Limited) [Kernel | System] -- C:\WINDOWS\system32\drivers\hidnkwde.sys -- (hidnkwde)
DRV - [2008/04/13 17:05:40 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2007/07/11 23:49:16 | 000,096,384 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2006/03/17 05:18:58 | 000,392,960 | R--- | M] (Sensaura) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService)
DRV - [2004/08/22 10:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Disabled] -- C:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt)
DRV - [2004/08/22 10:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Disabled] -- C:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus)
DRV - [2004/08/13 22:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2003/08/24 15:57:00 | 000,010,240 | ---- | M] (Padus, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\pfc.sys -- (Pfc)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Jason_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKU\Jason_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKU\Jason_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050
IE - HKU\Jason_ON_C\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
IE - HKU\Jason_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask"
FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..keyword.URL: "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q="
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0:  
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/08/24 03:53:23 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/05/22 13:28:46 | 000,000,000 | ---D | M]
 
[2008/10/29 12:19:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Extensions
[2011/08/23 16:05:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\extensions
[2010/06/28 15:29:03 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011/08/23 16:05:18 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}
[2010/08/27 15:30:38 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011/03/28 11:04:13 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\extensions\engine@conduit.com
[2011/07/05 13:12:34 | 000,000,000 | ---D | M] (Yontoo Layers) -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\extensions\plugin@yontoo.com
[2009/06/12 05:57:48 | 000,000,681 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\ask.xml
[2010/08/27 15:43:42 | 000,000,873 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\conduit.xml
[2011/08/23 14:17:00 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-1.xml
[2009/08/05 06:44:52 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-10.xml
[2009/09/11 11:51:01 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-11.xml
[2009/10/31 06:55:20 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-12.xml
[2009/12/17 14:43:55 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-13.xml
[2010/01/07 15:59:52 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-14.xml
[2010/02/18 13:37:57 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-15.xml
[2008/12/21 03:08:34 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-2.xml
[2009/02/08 04:05:19 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-3.xml
[2009/03/08 14:52:37 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-4.xml
[2009/03/31 08:26:17 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-5.xml
[2009/04/23 12:27:38 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-6.xml
[2009/04/28 11:09:08 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-7.xml
[2009/06/12 08:49:16 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-8.xml
[2009/07/27 16:15:35 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-9.xml
[2008/11/18 08:56:02 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin.xml
[2010/07/16 04:59:26 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) -- 
[2011/08/24 03:53:23 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011/05/22 13:28:42 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/05/22 13:28:42 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011/05/22 13:28:42 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011/05/22 13:28:42 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/05/22 13:28:42 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/05/22 13:28:42 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010/01/31 13:52:02 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Programme\XfireXO\prxtbXfi2.dll (Conduit Ltd.)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.)
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O2 - BHO: (Yontoo Layers) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Programme\Yontoo Layers\YontooIEClient.dll (Yontoo Technology, Inc.)
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Programme\XfireXO\prxtbXfi2.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\Jason_ON_C\..\Toolbar\WebBrowser: (XfireXO Toolbar) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - C:\Programme\XfireXO\prxtbXfi2.dll (Conduit Ltd.)
O3 - HKU\Jason_ON_C\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
O3 - HKU\Jason_ON_C\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DAEMON Tools-1033] C:\Programme\D-Tools\daemon.exe (DAEMON'S HOME)
O4 - HKLM..\Run: [FastTVSync] C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe ()
O4 - HKLM..\Run: [ISUSPM]  File not found
O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech, Inc.)
O4 - HKLM..\Run: [ Malwarebytes Anti-Malware  (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKU\Jason_ON_C..\Run: [PCClear_Plus]  File not found
O4 - HKU\Jason_ON_C..\Run: [Steam] C:\Programme\Steam\Steam.exe (Valve Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo Scheduler server.lnk = C:\Programme\InterVideo\DVD5R\SchSvr.exe (InterVideo Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe (InterVideo Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SetPointII.lnk = C:\Programme\Logitech\SetPoint II\SetPointII.exe (Logitech Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Jason\Startmenü\Programme\Autostart\Logitech . Produktregistrierung.lnk = C:\Programme\Gemeinsame Dateien\Logishrd\eReg\SetPoint\eReg.exe (Leader Technologies/Logitech)
O4 - Startup: C:\Dokumente und Einstellungen\Jason\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Jason\Startmenü\Programme\Autostart\Skype.lnk = C:\WINDOWS\Installer\{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}\SkypeIcon.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Jason_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O8 - Extra context menu item: 使用快车3下载 - C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\FlashGetBHO\GetUrl.htm ()
O8 - Extra context menu item: 使用快车3下载全部链接 - C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\FlashGetBHO\GetAllUrl.htm ()
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/11/10 06:23:31 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{f43f8310-0c0f-11df-a967-000854539026}\Shell\AutoRun\command - "" = start.bat
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/08/29 12:44:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jason\Eigene Dateien\otl
[2011/07/25 15:10:41 | 000,155,136 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347bus.sys
[2011/07/25 15:10:41 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347prt.sys
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/08/30 08:40:37 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/08/30 08:38:24 | 000,002,253 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Startmenü\Programme\Autostart\Skype.lnk
[2011/08/30 08:01:00 | 000,000,226 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2011/08/30 05:54:45 | 000,013,682 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/08/29 12:29:32 | 000,000,200 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\defogger_reenable
[2011/08/29 12:19:36 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Desktop\Defogger.exe
[2011/08/29 08:36:21 | 000,000,358 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Desktop\exe.reg
[2011/08/29 07:50:43 | 000,002,241 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2011/08/29 04:25:18 | 000,449,290 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011/08/29 04:25:18 | 000,432,982 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011/08/29 04:25:18 | 000,080,598 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011/08/29 04:25:18 | 000,067,938 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011/08/25 09:53:43 | 000,033,792 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\rundll32.exe
[2011/08/24 07:07:51 | 000,000,120 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Desktop\google.URL
[2011/08/23 16:46:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011/08/12 13:51:22 | 001,008,736 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Desktop\AmazonMP3Installer-de_DE.exe
[2011/08/12 13:16:55 | 000,186,097 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2011/08/10 17:12:51 | 000,001,755 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2011/08/10 17:12:40 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2011/08/10 17:12:36 | 000,002,189 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\QuickTime Player.lnk
[2011/08/10 11:29:43 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/08/30 05:15:32 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\Desktop\gmer.exe
[2011/08/29 12:29:23 | 000,000,200 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\defogger_reenable
[2011/08/29 12:27:33 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\Desktop\Defogger.exe
[2011/08/29 08:31:17 | 000,000,358 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\Desktop\exe.reg
[2011/08/12 13:54:33 | 001,008,736 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\Desktop\AmazonMP3Installer-de_DE.exe
[2011/08/11 06:04:01 | 000,002,253 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\Startmenü\Programme\Autostart\Skype.lnk
[2011/07/05 13:18:55 | 000,000,204 | ---- | C] () -- C:\WINDOWS\System32\secustat.dat
[2011/07/05 13:13:10 | 000,000,025 | ---- | C] () -- C:\WINDOWS\libem.INI
[2011/04/16 12:51:16 | 000,041,872 | ---- | C] () -- C:\WINDOWS\System32\xfcodec.dll
[2010/06/22 15:37:49 | 000,740,600 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010/06/12 09:49:40 | 000,000,025 | ---- | C] () -- C:\WINDOWS\popcinfot.dat
[2010/03/21 09:55:51 | 000,000,057 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2010/03/21 08:42:56 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2010/03/21 08:42:56 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2010/02/03 15:39:02 | 000,000,145 | ---- | C] () -- C:\WINDOWS\Eudcedit.ini
[2010/01/17 11:35:02 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\fslxhook.dll
[2009/09/20 09:46:30 | 000,000,045 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\jagex_runescape_preferences2.dat
[2009/09/13 11:28:11 | 000,774,144 | ---- | C] () -- C:\WINDOWS\MTUn4729.exe
[2009/06/19 14:06:22 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2009/04/29 14:09:40 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2009/02/27 16:38:14 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2009/01/18 17:45:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2009/01/15 12:25:06 | 000,000,035 | ---- | C] () -- C:\WINDOWS\Worldbuilder.INI
[2009/01/06 06:20:01 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2009/01/06 06:20:01 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2009/01/06 06:20:01 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2009/01/06 06:20:01 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2009/01/06 06:20:01 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2009/01/06 06:20:01 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2008/12/20 07:22:42 | 000,000,037 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\jagex_runescape_preferences.dat
[2008/11/24 04:58:05 | 000,001,755 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2008/11/22 15:18:51 | 000,058,880 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/11/11 13:23:51 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2008/11/11 13:08:18 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2008/11/11 13:08:17 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2008/11/10 06:40:13 | 000,204,800 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4820.dll
[2008/11/10 06:32:53 | 000,018,455 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini
[2008/11/10 06:32:34 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2008/11/10 06:32:32 | 000,018,123 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2008/11/10 06:32:10 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2008/11/10 06:26:09 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008/11/10 06:20:10 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/11/10 06:10:44 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008/11/10 06:09:30 | 000,147,608 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008/10/29 12:19:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008/10/28 12:40:48 | 000,173,552 | ---- | C] () -- C:\WINDOWS\System32\xlive.dll.cat
[2008/05/16 14:31:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2008/05/16 14:31:00 | 001,630,208 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2008/05/16 14:31:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2008/05/16 14:31:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2008/05/16 14:31:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2008/05/16 14:31:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2008/05/16 14:31:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2008/05/16 14:31:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2008/05/16 14:31:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2008/04/14 02:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/04/14 01:51:54 | 000,606,208 | ---- | C] () -- C:\WINDOWS\System32\png4f04f.dll
[2006/12/31 01:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006/02/28 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2006/02/28 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2006/02/28 08:00:00 | 000,449,290 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2006/02/28 08:00:00 | 000,432,982 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2006/02/28 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2006/02/28 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2006/02/28 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2006/02/28 08:00:00 | 000,080,598 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2006/02/28 08:00:00 | 000,067,938 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2006/02/28 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2006/02/28 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2006/02/28 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2006/02/28 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2006/02/28 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004/08/22 11:04:56 | 000,069,120 | ---- | C] () -- C:\WINDOWS\daemon.dll
[1997/06/14 04:56:08 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll
 
========== LOP Check ==========
 
[2011/07/28 03:49:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\.minecraft
[2009/10/23 04:33:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Any Video Converter
[2011/07/05 13:18:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\BITS
[2010/06/23 11:48:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Command and Conquer 4
[2009/02/21 04:35:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\CoSoSys
[2011/07/25 15:08:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\DAEMON Tools Lite
[2010/04/17 15:33:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Desktopicon
[2010/08/27 15:30:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\DVDVideoSoftIEHelpers
[2011/07/05 13:13:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\FlashGet
[2011/07/05 13:13:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\FlashGetBHO
[2010/03/21 15:53:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\FreeDoko
[2011/04/06 03:59:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\GameRanger
[2011/07/25 09:28:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\GetRightToGo
[2011/07/24 10:05:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\go
[2010/03/31 20:19:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\ICQ
[2009/01/06 09:39:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\InterVideo
[2010/06/26 14:33:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Juce VST Host
[2010/06/05 08:29:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Leadertech
[2010/12/30 16:25:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien
[2011/03/15 07:35:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
[2011/03/08 06:33:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien
[2010/08/20 09:45:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\My The Lord of the Rings, The Rise of the Witch-king Files
[2009/08/05 11:47:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Notepad++
[2011/03/30 13:02:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\OpenCandy
[2008/11/03 12:53:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\OpenOffice.org
[2010/03/06 09:53:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Petroglyph
[2011/08/12 08:32:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\PriceGong
[2009/07/30 14:36:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Pro Cycling Manager 2008
[2010/07/15 04:10:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Pro Cycling Manager 2009
[2011/07/05 13:44:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Pro Cycling Manager 2010
[2009/12/24 09:49:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Red Kawa
[2009/01/17 07:16:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\SpeedSim
[2010/02/16 07:45:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Stardock
[2011/02/19 13:11:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\SynthMaker
[2009/07/29 05:31:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\SystemUp
[2009/04/06 07:20:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\TeamViewer
[2009/08/25 13:05:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\temp
[2011/03/20 13:03:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\The Creative Assembly
[2009/10/12 05:59:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Ubisoft
[2011/03/31 03:44:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Uniblue
[2011/07/25 15:15:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\uTorrent
[2008/11/11 14:19:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Age of Empires 3
[2010/02/13 06:08:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender
[2011/07/24 10:02:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2010/06/21 14:33:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EA Core
[2011/07/24 10:05:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Easybits GO
[2010/06/21 14:33:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Electronic Arts
[2011/04/03 03:47:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Firefly Studios
[2008/12/07 05:47:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2009/01/06 09:39:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InterVideo
[2008/12/24 12:28:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NFS Underground
[2010/06/12 06:53:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap Games
[2010/02/16 07:45:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Stardock
[2009/10/12 05:59:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tages
[2011/07/05 13:12:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer
[2010/02/16 07:45:31 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{F8999601-BE77-433E-A70A-B7766E47AE73}
[2011/08/30 08:01:00 | 000,000,226 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
 
========== Purity Check ==========
 
 
 
========== Files - Unicode (All) ==========
[2011/07/02 07:21:18 | 000,000,000 | ---- | M] ()(C:\Dokumente und Einstellungen\Jason\?) -- C:\Dokumente und Einstellungen\Jason\Љ
[2011/07/02 07:21:18 | 000,000,000 | ---- | C] ()(C:\Dokumente und Einstellungen\Jason\?) -- C:\Dokumente und Einstellungen\Jason\Љ
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\rundll32.exe:SummaryInformation
< End of report >
         

Alt 30.08.2011, 15:32   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:
ATTFilter
:OTL
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Programme\XfireXO\prxtbXfi2.dll (Conduit Ltd.)
O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.)
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O2 - BHO: (Yontoo Layers) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Programme\Yontoo Layers\YontooIEClient.dll (Yontoo Technology, Inc.)
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Programme\XfireXO\prxtbXfi2.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\Jason_ON_C\..\Toolbar\WebBrowser: (XfireXO Toolbar) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - C:\Programme\XfireXO\prxtbXfi2.dll (Conduit Ltd.)
O3 - HKU\Jason_ON_C\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.)
O3 - HKU\Jason_ON_C\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/11/10 06:23:31 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{f43f8310-0c0f-11df-a967-000854539026}\Shell\AutoRun\command - "" = start.bat
[2011/08/30 08:01:00 | 000,000,226 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
@Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\rundll32.exe:SummaryInformation
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Berichte nach dem Fix ob Windows wieder normal startet und werkelt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 30.08.2011, 16:51   #9
JizzleJason
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Leider keine Verbesserung.
Allerdings weiß ich nicht ob alles richtig funktioniert hat.
Nachdem das Programm mit fixen fertig war, wurde gesagt dass das system rebooten muss und ich habe auf ok gedrückt. Allerdings ist dann nichts passiert also habe ich den pc heruntergefahren und im normalen modus wiederhochgefahren. Dort stand dann, das "öffnen mit fenster" wo ich ein programm für OTLEP aussuchen sollte.
Dieses Fenster habe ich dann weggeklickt.

Alt 30.08.2011, 17:17   #10
JizzleJason
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Hier habe ich nochmal die log


Code:
ATTFilter
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ deleted successfully.
C:\Programme\ConduitEngine\prxConduitEngine.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\ deleted successfully.
C:\Programme\XfireXO\prxtbXfi2.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ deleted successfully.
C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\ deleted successfully.
C:\Programme\softonic-de3\prxtbsof2.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ deleted successfully.
C:\Programme\Yontoo Layers\YontooIEClient.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{30F9B915-B755-4826-820B-08FBA6BD249D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
File C:\Programme\ConduitEngine\prxConduitEngine.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{5e5ab302-7f65-44cd-8211-c1d4caaccea3} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\ not found.
File C:\Programme\XfireXO\prxtbXfi2.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ deleted successfully.
C:\Programme\ICQ6Toolbar\ICQToolBar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ not found.
File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\ not found.
File de3\prxtbsof2.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_USERS\Jason_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E5AB302-7F65-44CD-8211-C1D4CAACCEA3}\ not found.
File C:\Programme\XfireXO\prxtbXfi2.dll not found.
Registry value HKEY_USERS\Jason_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{872B5B88-9DB5-4310-BDD0-AC189557E5F5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}\ not found.
File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found.
Registry value HKEY_USERS\Jason_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}\ not found.
File de3\prxtbsof2.dll not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f43f8310-0c0f-11df-a967-000854539026}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f43f8310-0c0f-11df-a967-000854539026}\ not found.
File start.bat not found.
C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job moved successfully.
ADS C:\WINDOWS\System32\rundll32.exe:SummaryInformation deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 08302011_194546

Files\Folders moved on Reboot...
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.

Registry entries deleted on Reboot...
         

Alt 31.08.2011, 10:12   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Naja war ein Versuch Wert.
Kannst du Malwarebytes zumindest ausführen im normalen Windows? Oder wird da mehr oder weniger alles blockiert bzw. nur das Posten der Logs?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 31.08.2011, 11:09   #12
JizzleJason
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Malewarebytes funktioniert soweit ich das erkennen kann ganz normal. Hier die log datei:

Code:
ATTFilter
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 413033
Laufzeit: 1 Stunde(n), 19 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Jason\Desktop\rundll32.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
         
(die rundll32.exe befindet sich auf dem desktop, weil mir einige der programme unter systemsteuerung gesagt haben bzw immer noch sagen "C/Windows/system32/rundll32.exe Anwendung nicht gefunden" und ich mir gedacht habe, es könnte vielleicht reichen einfach eine neue rundll.32.exe von einem anderen pc in windows zu geben und ich die alte (infizierte) auf dem desktop gespeichert habe. )

Alt 31.08.2011, 15:16   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 31.08.2011, 17:58   #14
JizzleJason
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=cfaca4a95c3a2644bb9cf55fca7412e7
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-31 04:53:10
# local_time=2011-08-31 06:53:10 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775145 100 100 353365 89700975 345981 0
# compatibility_mode=8192 67108863 100 0 184 184 0 0
# scanned=313008
# found=4
# cleaned=0
# scan_time=5181
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll	a variant of Win32/Adware.Yontoo.B application (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\OpenCandy\OpenCandy_00918D39091B43C4BF9C80371E718B81\registrybooster(9).exe	a variant of Win32/RegistryBooster application (unable to clean)	00000000000000000000000000000000	I
C:\SPP4\uninst\gendel32.ex_	Win32/HackTool.Gendel.A trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\08302011_194546\C_Programme\Yontoo Layers\YontooIEClient.dll	Win32/Adware.Yontoo.A application (unable to clean)	00000000000000000000000000000000	I
         

Alt 31.08.2011, 21:54   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Heuristics.Reserved.Word.Exploit in rundll32.exe - Standard

Heuristics.Reserved.Word.Exploit in rundll32.exe



Zitat:
C:\SPP4\uninst\gendel32.ex_ Win32/HackTool.Gendel.A
Äjm wasn das für ein Teil?
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Heuristics.Reserved.Word.Exploit in rundll32.exe
.exe, aktiv, dll, exe-dateien, fenster, firefox, firewall, gefunde, gesuch, gesucht, heuristics.reserved.word.exploit, inter, interne, internet, malewarebytes, mozilla, mozilla firefox, plötzlich, problem, rundll, rundll32.exe, trick, überprüft, öffnen




Ähnliche Themen: Heuristics.Reserved.Word.Exploit in rundll32.exe


  1. Windows 8.1: MBAM meldet Fund "Heuristics.Reserved.Word.Exploit"
    Log-Analyse und Auswertung - 02.07.2015 (11)
  2. Spyware.Password und Heuristic.Reserved.Word.Exploit durch MBAM gefunden
    Log-Analyse und Auswertung - 31.01.2014 (9)
  3. Malwarebytes hat Trojan.Bitminer und Heuristics.Shuriken gefunden!
    Log-Analyse und Auswertung - 30.09.2013 (17)
  4. Exploit Shield zu Malwarebytes Anti-Exploit
    Antiviren-, Firewall- und andere Schutzprogramme - 09.07.2013 (4)
  5. GVU Trojaner-Problem!(Exploit.Drop.GS;Exploit.drop.GSA;trojan.ransom.SUGen;--->Malwarebytes-Funde)
    Plagegeister aller Art und deren Bekämpfung - 02.03.2013 (6)
  6. Probleme mit Heuristics.Shuriken und ADWARE/InstallCore.Gen
    Plagegeister aller Art und deren Bekämpfung - 19.12.2012 (12)
  7. Heuristics.Shuriken mit Malewarebytes entdeckt
    Log-Analyse und Auswertung - 08.10.2012 (20)
  8. Exploit-CVE2012-1723.f und Exploit-PDF!Blacole.o gefunden
    Log-Analyse und Auswertung - 02.10.2012 (11)
  9. EXP/CVE-2010-0840.HG(Exploit), EXP/JAVA.Ternub.Gen(Exploit) und TR/Agent.464.4(Trojaner) - nicht totzukriegen
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (12)
  10. Heuristics.Reserved.Word.Exploit in rundll32.exe und Explorer.exe
    Log-Analyse und Auswertung - 12.07.2012 (1)
  11. Malwarebytes findet Heuristics.Shuriken
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (10)
  12. Windows gesperrt, BKA Virus, Trojan.Agent, Heuristics Shuriken, trojan.vupx.pl1 etc.
    Log-Analyse und Auswertung - 04.03.2012 (3)
  13. Heuristics.Shuriken & PUM.Hijack.StartMenu
    Plagegeister aller Art und deren Bekämpfung - 05.04.2011 (2)
  14. MBAM: Heuristics.Reserved.Word.Exploit in userinit.exe?
    Log-Analyse und Auswertung - 03.09.2009 (14)
  15. infekt mit: exploit.wmf + exploit.java.ByteVerify + sploit[1].anr
    Plagegeister aller Art und deren Bekämpfung - 29.03.2006 (15)
  16. Trojan/Dldr.Oscaboth + Backdoor.PcClient.18 (paranoid heuristics) !!!
    Log-Analyse und Auswertung - 07.11.2005 (8)
  17. exploit-byteVerify,JS/Exploit-DialogArg.b,Exploit-mhtRedir.gen. logfile auswerten
    Log-Analyse und Auswertung - 29.10.2004 (4)

Zum Thema Heuristics.Reserved.Word.Exploit in rundll32.exe - Hallo, ich habe ein Problem mit einem Virus. Ich könnte plötzlich keine exe-Dateien mehr benutzen, weil dann immer das "Öffnen mit" Fenster geöffnet wurde. Nachdem ich überprüft hatte ob meine - Heuristics.Reserved.Word.Exploit in rundll32.exe...
Archiv
Du betrachtest: Heuristics.Reserved.Word.Exploit in rundll32.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.