|
Log-Analyse und Auswertung: Heuristics.Reserved.Word.Exploit in rundll32.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.08.2011, 12:47 | #1 |
| Heuristics.Reserved.Word.Exploit in rundll32.exe Hallo, ich habe ein Problem mit einem Virus. Ich könnte plötzlich keine exe-Dateien mehr benutzen, weil dann immer das "Öffnen mit" Fenster geöffnet wurde. Nachdem ich überprüft hatte ob meine firewall noch aktiv ist, habe ich dann mit einem Trick (mozilla firefox öffnen mit mozilla firefox) im internet nach diesem problem gesucht, doch hat keine der dortigen Problemlösungen mir gegholfen also habe ich einen suchlauf mit malewarebytes gemacht und dort wurde dann der virus Heuristics.Reserved.Word.Exploit in rundll32.exe gefunden. Was soll ich machen? Danke im voraus: Jason |
29.08.2011, 14:03 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Heuristics.Reserved.Word.Exploit in rundll32.exeZitat:
__________________ |
29.08.2011, 16:07 | #3 |
| Heuristics.Reserved.Word.Exploit in rundll32.exe Irgendwie verhindert mein Problem auch, dass ich Dateien herunterladen kann bzw. der download hält sofort an, nachdem ich ihn starte und wenn ich auf fortsetzen klickte, werden die Dateien zwar heruntergeladen und erscheinen für wenige Sekunden im Download-Ordner doch verschwinden danach seltsamerweise.
__________________Ich brauche also wohl etwas Zeit um die Programme (ich nehme an du meinst defooger und OTL) von einem anderen PC herüberzuholen. MfG Jason |
29.08.2011, 18:40 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Heuristics.Reserved.Word.Exploit in rundll32.exe Und v.a. auch Malwarebytes. Alle Logs eben. Ohne Logs wird das ein Fall für format c: oder die
__________________ Logfiles bitte immer in CODE-Tags posten |
30.08.2011, 10:41 | #5 |
| Heuristics.Reserved.Word.Exploit in rundll32.exe Ich kann leider schon wieder keine Logs posten, weil bei mir die vorgeschlagenen Programme (OTL und gmer) nicht richtig zu funktionieren zu scheinen. Wenn ich OTL benutzte wird der scan richtig ausgeführt, aber wenn er fertig ist, steht im Fenster ganz unten lediglich "Scans conplete" aber danach passiert nichts mehr und die txt-Dateien existieren auch nicht. Wenn ich GMER starte poppen dierekt mehrere Fehlermeldungen auf, weil der Zugriff auf bestimmte Dateien ( \pxldipob.sys und config\system) verweigert wird. Wenn ich den scan starten will, erscheinen die gleichen Meldungen nocheinmal. Bei antivir (ein kompletter suchlauf hat 2 viren entdeckt) kann ich den Report aus irgendeinem Grund nicht öffnen. Die Viren waren: TR/Agent2.dsgf und TR/Trash.Gen . Ich hoffe du kannst mir sagen wie ich diese Probleme beheben kann. Gruß Jason |
30.08.2011, 10:53 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Heuristics.Reserved.Word.Exploit in rundll32.exe Da musst du mit OTLPE ran. Benötigt wird dafür ein zweiter (virenfreier!!) Windows-Rechner mit Brenner und einen CD-R oder CD-RW Rohling. Den infizierten Rechner von dieser selbstgebrannten OTLPE-CD dann booten. Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
__________________ --> Heuristics.Reserved.Word.Exploit in rundll32.exe |
30.08.2011, 14:01 | #7 |
| Heuristics.Reserved.Word.Exploit in rundll32.exe Hab ich gemacht und hat soweit auch alles funktioniert aber anscheinend wurde keine Extras.txt ertsellt. Ich poste also erstmal den Inhalt von OTL.txt Code:
ATTFilter OTL logfile created on: 8/30/2011 3:50:57 PM - Run OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 87.00% Memory free 2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 172.76 Gb Total Space | 28.98 Gb Free Space | 16.77% Space Free | Partition Type: NTFS Drive D: | 293.00 Gb Total Space | 209.50 Gb Free Space | 71.50% Space Free | Partition Type: NTFS Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO | User Name: SYSTEM Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days Using ControlSet: ControlSet002 ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand] -- -- (AppMgmt) SRV - [2011/07/04 03:00:28 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011/04/28 03:58:07 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2010/07/19 06:13:31 | 000,316,888 | ---- | M] (Protection Technology) [Auto] -- C:\WINDOWS\System32\appdrvrem01.exe -- (appdrvrem01) Application Driver Auto Removal Service (01) SRV - [2008/11/10 16:11:26 | 000,122,880 | ---- | M] (Sony DADC Austria AG.) [Auto] -- C:\WINDOWS\system32\UAService7.exe -- (UserAccess7) SecuROM User Access Service (V7) SRV - [2008/06/10 14:26:28 | 000,222,456 | ---- | M] () [Auto] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service) SRV - [2005/04/03 19:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (sony_ssm.sys) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | On_Demand] -- -- (iatmunin) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | System] -- -- (Changer) DRV - [2011/07/24 10:05:08 | 000,218,688 | ---- | M] (DT Soft Ltd) [Kernel | System] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01) DRV - [2011/07/04 03:00:29 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011/07/04 03:00:28 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010/07/19 06:13:31 | 003,333,808 | ---- | M] (Protection Technology) [Kernel | System] -- C:\WINDOWS\system32\drivers\appdrv01.sys -- (appdrv01) Application Driver (01) DRV - [2009/09/23 04:41:58 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi) DRV - [2009/08/20 11:08:23 | 000,281,760 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\atksgt.sys -- (atksgt) DRV - [2009/08/20 11:08:23 | 000,025,888 | ---- | M] () [Kernel | Auto] -- C:\WINDOWS\system32\drivers\lirsgt.sys -- (lirsgt) DRV - [2009/06/17 03:56:18 | 000,037,392 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LMouFilt.Sys -- (LMouFilt) DRV - [2009/06/17 03:56:06 | 000,035,472 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LHidFilt.Sys -- (LHidFilt) DRV - [2009/06/17 03:55:34 | 000,010,384 | ---- | M] (Logitech, Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\LBeepKE.sys -- (LBeepKE) DRV - [2009/05/11 03:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009/02/13 06:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2008/04/14 01:51:54 | 000,432,128 | ---- | M] (Bluw (Hong Kong) Limited) [Kernel | System] -- C:\WINDOWS\system32\drivers\hidnkwde.sys -- (hidnkwde) DRV - [2008/04/13 17:05:40 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) DRV - [2007/07/11 23:49:16 | 000,096,384 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp) DRV - [2006/03/17 05:18:58 | 000,392,960 | R--- | M] (Sensaura) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService) DRV - [2004/08/22 10:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Disabled] -- C:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt) DRV - [2004/08/22 10:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Disabled] -- C:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus) DRV - [2004/08/13 22:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor) DRV - [2003/08/24 15:57:00 | 000,010,240 | ---- | M] (Padus, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\pfc.sys -- (Pfc) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\Jason_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google IE - HKU\Jason_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 IE - HKU\Jason_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2269050 IE - HKU\Jason_ON_C\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.) IE - HKU\Jason_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.defaultthis.engineName: "Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask" FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..keyword.URL: "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/08/24 03:53:23 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/05/22 13:28:46 | 000,000,000 | ---D | M] [2008/10/29 12:19:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Extensions [2011/08/23 16:05:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\extensions [2010/06/28 15:29:03 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011/08/23 16:05:18 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} [2010/08/27 15:30:38 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2011/03/28 11:04:13 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\extensions\engine@conduit.com [2011/07/05 13:12:34 | 000,000,000 | ---D | M] (Yontoo Layers) -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\extensions\plugin@yontoo.com [2009/06/12 05:57:48 | 000,000,681 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\ask.xml [2010/08/27 15:43:42 | 000,000,873 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\conduit.xml [2011/08/23 14:17:00 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-1.xml [2009/08/05 06:44:52 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-10.xml [2009/09/11 11:51:01 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-11.xml [2009/10/31 06:55:20 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-12.xml [2009/12/17 14:43:55 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-13.xml [2010/01/07 15:59:52 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-14.xml [2010/02/18 13:37:57 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-15.xml [2008/12/21 03:08:34 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-2.xml [2009/02/08 04:05:19 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-3.xml [2009/03/08 14:52:37 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-4.xml [2009/03/31 08:26:17 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-5.xml [2009/04/23 12:27:38 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-6.xml [2009/04/28 11:09:08 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-7.xml [2009/06/12 08:49:16 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-8.xml [2009/07/27 16:15:35 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin-9.xml [2008/11/18 08:56:02 | 000,000,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Mozilla\Firefox\Profiles\nf13uma9.default\searchplugins\icqplugin.xml [2010/07/16 04:59:26 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions File not found (No name found) -- [2011/08/24 03:53:23 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011/05/22 13:28:42 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011/05/22 13:28:42 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011/05/22 13:28:42 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011/05/22 13:28:42 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011/05/22 13:28:42 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011/05/22 13:28:42 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010/01/31 13:52:02 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O2 - BHO: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Programme\XfireXO\prxtbXfi2.dll (Conduit Ltd.) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.) O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.) O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O2 - BHO: (Yontoo Layers) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Programme\Yontoo Layers\YontooIEClient.dll (Yontoo Technology, Inc.) O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Programme\XfireXO\prxtbXfi2.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\Jason_ON_C\..\Toolbar\WebBrowser: (XfireXO Toolbar) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - C:\Programme\XfireXO\prxtbXfi2.dll (Conduit Ltd.) O3 - HKU\Jason_ON_C\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.) O3 - HKU\Jason_ON_C\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [DAEMON Tools-1033] C:\Programme\D-Tools\daemon.exe (DAEMON'S HOME) O4 - HKLM..\Run: [FastTVSync] C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe () O4 - HKLM..\Run: [ISUSPM] File not found O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech, Inc.) O4 - HKLM..\Run: [ Malwarebytes Anti-Malware (reboot)] C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKU\Jason_ON_C..\Run: [PCClear_Plus] File not found O4 - HKU\Jason_ON_C..\Run: [Steam] C:\Programme\Steam\Steam.exe (Valve Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo Scheduler server.lnk = C:\Programme\InterVideo\DVD5R\SchSvr.exe (InterVideo Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe (InterVideo Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SetPointII.lnk = C:\Programme\Logitech\SetPoint II\SetPointII.exe (Logitech Inc.) O4 - Startup: C:\Dokumente und Einstellungen\Jason\Startmenü\Programme\Autostart\Logitech . Produktregistrierung.lnk = C:\Programme\Gemeinsame Dateien\Logishrd\eReg\SetPoint\eReg.exe (Leader Technologies/Logitech) O4 - Startup: C:\Dokumente und Einstellungen\Jason\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O4 - Startup: C:\Dokumente und Einstellungen\Jason\Startmenü\Programme\Autostart\Skype.lnk = C:\WINDOWS\Installer\{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}\SkypeIcon.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\Jason_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm () O8 - Extra context menu item: 使用快车3下载 - C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\FlashGetBHO\GetUrl.htm () O8 - Extra context menu item: 使用快车3下载全部链接 - C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\FlashGetBHO\GetAllUrl.htm () O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: O24 - Desktop BackupWallPaper: O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008/11/10 06:23:31 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O33 - MountPoints2\{f43f8310-0c0f-11df-a967-000854539026}\Shell\AutoRun\command - "" = start.bat O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011/08/29 12:44:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jason\Eigene Dateien\otl [2011/07/25 15:10:41 | 000,155,136 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347bus.sys [2011/07/25 15:10:41 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347prt.sys [7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011/08/30 08:40:37 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011/08/30 08:38:24 | 000,002,253 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Startmenü\Programme\Autostart\Skype.lnk [2011/08/30 08:01:00 | 000,000,226 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2011/08/30 05:54:45 | 000,013,682 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011/08/29 12:29:32 | 000,000,200 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\defogger_reenable [2011/08/29 12:19:36 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Desktop\Defogger.exe [2011/08/29 08:36:21 | 000,000,358 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Desktop\exe.reg [2011/08/29 07:50:43 | 000,002,241 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2011/08/29 04:25:18 | 000,449,290 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011/08/29 04:25:18 | 000,432,982 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011/08/29 04:25:18 | 000,080,598 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011/08/29 04:25:18 | 000,067,938 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011/08/25 09:53:43 | 000,033,792 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\rundll32.exe [2011/08/24 07:07:51 | 000,000,120 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Desktop\google.URL [2011/08/23 16:46:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2011/08/12 13:51:22 | 001,008,736 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Desktop\AmazonMP3Installer-de_DE.exe [2011/08/12 13:16:55 | 000,186,097 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2011/08/10 17:12:51 | 000,001,755 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache [2011/08/10 17:12:40 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn [2011/08/10 17:12:36 | 000,002,189 | ---- | M] () -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\QuickTime Player.lnk [2011/08/10 11:29:43 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2011/08/30 05:15:32 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\Desktop\gmer.exe [2011/08/29 12:29:23 | 000,000,200 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\defogger_reenable [2011/08/29 12:27:33 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\Desktop\Defogger.exe [2011/08/29 08:31:17 | 000,000,358 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\Desktop\exe.reg [2011/08/12 13:54:33 | 001,008,736 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\Desktop\AmazonMP3Installer-de_DE.exe [2011/08/11 06:04:01 | 000,002,253 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\Startmenü\Programme\Autostart\Skype.lnk [2011/07/05 13:18:55 | 000,000,204 | ---- | C] () -- C:\WINDOWS\System32\secustat.dat [2011/07/05 13:13:10 | 000,000,025 | ---- | C] () -- C:\WINDOWS\libem.INI [2011/04/16 12:51:16 | 000,041,872 | ---- | C] () -- C:\WINDOWS\System32\xfcodec.dll [2010/06/22 15:37:49 | 000,740,600 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2010/06/12 09:49:40 | 000,000,025 | ---- | C] () -- C:\WINDOWS\popcinfot.dat [2010/03/21 09:55:51 | 000,000,057 | ---- | C] () -- C:\WINDOWS\wininit.ini [2010/03/21 08:42:56 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll [2010/03/21 08:42:56 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll [2010/02/03 15:39:02 | 000,000,145 | ---- | C] () -- C:\WINDOWS\Eudcedit.ini [2010/01/17 11:35:02 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\fslxhook.dll [2009/09/20 09:46:30 | 000,000,045 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\jagex_runescape_preferences2.dat [2009/09/13 11:28:11 | 000,774,144 | ---- | C] () -- C:\WINDOWS\MTUn4729.exe [2009/06/19 14:06:22 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll [2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll [2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll [2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll [2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll [2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll [2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll [2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll [2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll [2009/06/19 14:06:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll [2009/04/29 14:09:40 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2009/02/27 16:38:14 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2009/01/18 17:45:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI [2009/01/15 12:25:06 | 000,000,035 | ---- | C] () -- C:\WINDOWS\Worldbuilder.INI [2009/01/06 06:20:01 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2009/01/06 06:20:01 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2009/01/06 06:20:01 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2009/01/06 06:20:01 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2009/01/06 06:20:01 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2009/01/06 06:20:01 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2008/12/20 07:22:42 | 000,000,037 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\jagex_runescape_preferences.dat [2008/11/24 04:58:05 | 000,001,755 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache [2008/11/22 15:18:51 | 000,058,880 | ---- | C] () -- C:\Dokumente und Einstellungen\Jason\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008/11/11 13:23:51 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2008/11/11 13:08:18 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys [2008/11/11 13:08:17 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys [2008/11/10 06:40:13 | 000,204,800 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4820.dll [2008/11/10 06:32:53 | 000,018,455 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini [2008/11/10 06:32:34 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys [2008/11/10 06:32:32 | 000,018,123 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2008/11/10 06:32:10 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2008/11/10 06:26:09 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2008/11/10 06:20:10 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2008/11/10 06:10:44 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2008/11/10 06:09:30 | 000,147,608 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2008/10/29 12:19:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2008/10/28 12:40:48 | 000,173,552 | ---- | C] () -- C:\WINDOWS\System32\xlive.dll.cat [2008/05/16 14:31:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2008/05/16 14:31:00 | 001,630,208 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe [2008/05/16 14:31:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2008/05/16 14:31:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe [2008/05/16 14:31:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2008/05/16 14:31:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2008/05/16 14:31:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe [2008/05/16 14:31:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe [2008/05/16 14:31:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2008/04/14 02:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2008/04/14 01:51:54 | 000,606,208 | ---- | C] () -- C:\WINDOWS\System32\png4f04f.dll [2006/12/31 01:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2006/02/28 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2006/02/28 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2006/02/28 08:00:00 | 000,449,290 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2006/02/28 08:00:00 | 000,432,982 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2006/02/28 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2006/02/28 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2006/02/28 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2006/02/28 08:00:00 | 000,080,598 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2006/02/28 08:00:00 | 000,067,938 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2006/02/28 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2006/02/28 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2006/02/28 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2006/02/28 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2006/02/28 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2004/08/22 11:04:56 | 000,069,120 | ---- | C] () -- C:\WINDOWS\daemon.dll [1997/06/14 04:56:08 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\iyvu9_32.dll ========== LOP Check ========== [2011/07/28 03:49:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\.minecraft [2009/10/23 04:33:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Any Video Converter [2011/07/05 13:18:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\BITS [2010/06/23 11:48:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Command and Conquer 4 [2009/02/21 04:35:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\CoSoSys [2011/07/25 15:08:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\DAEMON Tools Lite [2010/04/17 15:33:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Desktopicon [2010/08/27 15:30:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\DVDVideoSoftIEHelpers [2011/07/05 13:13:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\FlashGet [2011/07/05 13:13:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\FlashGetBHO [2010/03/21 15:53:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\FreeDoko [2011/04/06 03:59:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\GameRanger [2011/07/25 09:28:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\GetRightToGo [2011/07/24 10:05:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\go [2010/03/31 20:19:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\ICQ [2009/01/06 09:39:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\InterVideo [2010/06/26 14:33:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Juce VST Host [2010/06/05 08:29:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Leadertech [2010/12/30 16:25:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien [2011/03/15 07:35:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien [2011/03/08 06:33:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Meine Die Schlacht um Mittelerde™ II-Dateien [2010/08/20 09:45:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\My The Lord of the Rings, The Rise of the Witch-king Files [2009/08/05 11:47:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Notepad++ [2011/03/30 13:02:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\OpenCandy [2008/11/03 12:53:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\OpenOffice.org [2010/03/06 09:53:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Petroglyph [2011/08/12 08:32:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\PriceGong [2009/07/30 14:36:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Pro Cycling Manager 2008 [2010/07/15 04:10:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Pro Cycling Manager 2009 [2011/07/05 13:44:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Pro Cycling Manager 2010 [2009/12/24 09:49:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Red Kawa [2009/01/17 07:16:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\SpeedSim [2010/02/16 07:45:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Stardock [2011/02/19 13:11:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\SynthMaker [2009/07/29 05:31:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\SystemUp [2009/04/06 07:20:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\TeamViewer [2009/08/25 13:05:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\temp [2011/03/20 13:03:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\The Creative Assembly [2009/10/12 05:59:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Ubisoft [2011/03/31 03:44:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\Uniblue [2011/07/25 15:15:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\uTorrent [2008/11/11 14:19:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Age of Empires 3 [2010/02/13 06:08:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender [2011/07/24 10:02:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite [2010/06/21 14:33:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EA Core [2011/07/24 10:05:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Easybits GO [2010/06/21 14:33:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Electronic Arts [2011/04/03 03:47:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Firefly Studios [2008/12/07 05:47:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2009/01/06 09:39:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InterVideo [2008/12/24 12:28:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NFS Underground [2010/06/12 06:53:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap Games [2010/02/16 07:45:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Stardock [2009/10/12 05:59:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tages [2011/07/05 13:12:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer [2010/02/16 07:45:31 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{F8999601-BE77-433E-A70A-B7766E47AE73} [2011/08/30 08:01:00 | 000,000,226 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job ========== Purity Check ========== ========== Files - Unicode (All) ========== [2011/07/02 07:21:18 | 000,000,000 | ---- | M] ()(C:\Dokumente und Einstellungen\Jason\?) -- C:\Dokumente und Einstellungen\Jason\Љ [2011/07/02 07:21:18 | 000,000,000 | ---- | C] ()(C:\Dokumente und Einstellungen\Jason\?) -- C:\Dokumente und Einstellungen\Jason\Љ ========== Alternate Data Streams ========== @Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\rundll32.exe:SummaryInformation < End of report > |
30.08.2011, 15:32 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Heuristics.Reserved.Word.Exploit in rundll32.exe Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O2 - BHO: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Programme\XfireXO\prxtbXfi2.dll (Conduit Ltd.) O2 - BHO: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.) O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.) O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O2 - BHO: (Yontoo Layers) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Programme\Yontoo Layers\YontooIEClient.dll (Yontoo Technology, Inc.) O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Programme\XfireXO\prxtbXfi2.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) O3 - HKLM\..\Toolbar: (DVDVideoSoftTB Toolbar) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\Jason_ON_C\..\Toolbar\WebBrowser: (XfireXO Toolbar) - {5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} - C:\Programme\XfireXO\prxtbXfi2.dll (Conduit Ltd.) O3 - HKU\Jason_ON_C\..\Toolbar\WebBrowser: (DVDVideoSoftTB Toolbar) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll (Conduit Ltd.) O3 - HKU\Jason_ON_C\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof2.dll (Conduit Ltd.) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008/11/10 06:23:31 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O33 - MountPoints2\{f43f8310-0c0f-11df-a967-000854539026}\Shell\AutoRun\command - "" = start.bat [2011/08/30 08:01:00 | 000,000,226 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job @Alternate Data Stream - 88 bytes -> C:\WINDOWS\System32\rundll32.exe:SummaryInformation :Commands [purity] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Berichte nach dem Fix ob Windows wieder normal startet und werkelt.
__________________ Logfiles bitte immer in CODE-Tags posten |
30.08.2011, 16:51 | #9 |
| Heuristics.Reserved.Word.Exploit in rundll32.exe Leider keine Verbesserung. Allerdings weiß ich nicht ob alles richtig funktioniert hat. Nachdem das Programm mit fixen fertig war, wurde gesagt dass das system rebooten muss und ich habe auf ok gedrückt. Allerdings ist dann nichts passiert also habe ich den pc heruntergefahren und im normalen modus wiederhochgefahren. Dort stand dann, das "öffnen mit fenster" wo ich ein programm für OTLEP aussuchen sollte. Dieses Fenster habe ich dann weggeklickt. |
30.08.2011, 17:17 | #10 |
| Heuristics.Reserved.Word.Exploit in rundll32.exe Hier habe ich nochmal die log Code:
ATTFilter ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ deleted successfully. C:\Programme\ConduitEngine\prxConduitEngine.dll moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\ deleted successfully. C:\Programme\XfireXO\prxtbXfi2.dll moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ deleted successfully. C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\ deleted successfully. C:\Programme\softonic-de3\prxtbsof2.dll moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ deleted successfully. C:\Programme\Yontoo Layers\YontooIEClient.dll moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{30F9B915-B755-4826-820B-08FBA6BD249D} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found. File C:\Programme\ConduitEngine\prxConduitEngine.dll not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{5e5ab302-7f65-44cd-8211-c1d4caaccea3} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}\ not found. File C:\Programme\XfireXO\prxtbXfi2.dll not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ deleted successfully. C:\Programme\ICQ6Toolbar\ICQToolBar.dll moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{872b5b88-9db5-4310-bdd0-ac189557e5f5} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872b5b88-9db5-4310-bdd0-ac189557e5f5}\ not found. File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}\ not found. File de3\prxtbsof2.dll not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found. Registry value HKEY_USERS\Jason_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{5E5AB302-7F65-44CD-8211-C1D4CAACCEA3} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E5AB302-7F65-44CD-8211-C1D4CAACCEA3}\ not found. File C:\Programme\XfireXO\prxtbXfi2.dll not found. Registry value HKEY_USERS\Jason_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{872B5B88-9DB5-4310-BDD0-AC189557E5F5} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}\ not found. File C:\Programme\DVDVideoSoftTB\prxtbDVD2.dll not found. Registry value HKEY_USERS\Jason_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}\ not found. File de3\prxtbsof2.dll not found. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. File move failed. X:\AUTORUN.INF scheduled to be moved on reboot. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f43f8310-0c0f-11df-a967-000854539026}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f43f8310-0c0f-11df-a967-000854539026}\ not found. File start.bat not found. C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job moved successfully. ADS C:\WINDOWS\System32\rundll32.exe:SummaryInformation deleted successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTLPE by OldTimer - Version 3.1.48.0 log created on 08302011_194546 Files\Folders moved on Reboot... File move failed. X:\AUTORUN.INF scheduled to be moved on reboot. Registry entries deleted on Reboot... |
31.08.2011, 10:12 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Heuristics.Reserved.Word.Exploit in rundll32.exe Naja war ein Versuch Wert. Kannst du Malwarebytes zumindest ausführen im normalen Windows? Oder wird da mehr oder weniger alles blockiert bzw. nur das Posten der Logs?
__________________ Logfiles bitte immer in CODE-Tags posten |
31.08.2011, 11:09 | #12 |
| Heuristics.Reserved.Word.Exploit in rundll32.exe Malewarebytes funktioniert soweit ich das erkennen kann ganz normal. Hier die log datei: Code:
ATTFilter Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 413033 Laufzeit: 1 Stunde(n), 19 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Jason\Desktop\rundll32.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully. |
31.08.2011, 15:16 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Heuristics.Reserved.Word.Exploit in rundll32.exe Führe auch bitte ESET aus, danach sehen wir weiter. ESET Online Scanner
n.
__________________ Logfiles bitte immer in CODE-Tags posten |
31.08.2011, 17:58 | #14 |
| Heuristics.Reserved.Word.Exploit in rundll32.exeCode:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=cfaca4a95c3a2644bb9cf55fca7412e7 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-08-31 04:53:10 # local_time=2011-08-31 06:53:10 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1797 16775145 100 100 353365 89700975 345981 0 # compatibility_mode=8192 67108863 100 0 184 184 0 0 # scanned=313008 # found=4 # cleaned=0 # scan_time=5181 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll a variant of Win32/Adware.Yontoo.B application (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\Jason\Anwendungsdaten\OpenCandy\OpenCandy_00918D39091B43C4BF9C80371E718B81\registrybooster(9).exe a variant of Win32/RegistryBooster application (unable to clean) 00000000000000000000000000000000 I C:\SPP4\uninst\gendel32.ex_ Win32/HackTool.Gendel.A trojan (unable to clean) 00000000000000000000000000000000 I C:\_OTL\MovedFiles\08302011_194546\C_Programme\Yontoo Layers\YontooIEClient.dll Win32/Adware.Yontoo.A application (unable to clean) 00000000000000000000000000000000 I |
31.08.2011, 21:54 | #15 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Heuristics.Reserved.Word.Exploit in rundll32.exeZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Heuristics.Reserved.Word.Exploit in rundll32.exe |
.exe, aktiv, dll, exe-dateien, fenster, firefox, firewall, gefunde, gesuch, gesucht, heuristics.reserved.word.exploit, inter, interne, internet, malewarebytes, mozilla, mozilla firefox, plötzlich, problem, rundll, rundll32.exe, trick, überprüft, öffnen |