| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Graftor.1346; TR/Dldr.Unruy.H.12; TR/Dropper.Gen gefunden; Facebook LinkWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.10.2011, 00:14
| #1 |
 |  TR/Graftor.1346; TR/Dldr.Unruy.H.12; TR/Dropper.Gen gefunden; Facebook Link Hallo zusammen, mein Rechner wurde wohl von einer Malware über einen Link in Facebook infiziert. Antivir zeigt mir seither regelmäßig den Fund von
Ein Programm (C:\Users\User\AppData\Local\Temp\Setup...exe) will seither regelmäßig ausgeführt werden. Herausgeber: Unbekannt Dateiursprung: Festplatte auf diesem Computer. Heute hat mein Rechner außerdem einmal automatisch in den Sicherheitsmodus geschaltet. Ich hoffe ihr könnt mir helfen. Hier mal Avira, mbam, OTL, Gmer Logs: Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 6. Oktober 2011 20:29
Es wird nach 3367282 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : USER-PC
Versionsinformationen:
BUILD.DAT : 10.2.0.703 35935 Bytes 29.08.2011 16:10:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 15:55:52
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 15:55:52
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 15:55:53
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 15:55:53
AVREG.DLL : 10.3.0.9 88833 Bytes 16.07.2011 17:03:24
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 22:52:05
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 21:53:37
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 16:13:30
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 18:11:09
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 22:03:01
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 16:31:50
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 18:27:17
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 18:27:17
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 18:27:17
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 18:27:17
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 18:27:17
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 18:27:17
VBASE013.VDF : 7.11.15.112 2048 Bytes 05.10.2011 18:27:18
VBASE014.VDF : 7.11.15.113 2048 Bytes 05.10.2011 18:27:18
VBASE015.VDF : 7.11.15.114 2048 Bytes 05.10.2011 18:27:18
VBASE016.VDF : 7.11.15.115 2048 Bytes 05.10.2011 18:27:18
VBASE017.VDF : 7.11.15.116 2048 Bytes 05.10.2011 18:27:18
VBASE018.VDF : 7.11.15.117 2048 Bytes 05.10.2011 18:27:18
VBASE019.VDF : 7.11.15.118 2048 Bytes 05.10.2011 18:27:18
VBASE020.VDF : 7.11.15.119 2048 Bytes 05.10.2011 18:27:19
VBASE021.VDF : 7.11.15.120 2048 Bytes 05.10.2011 18:27:19
VBASE022.VDF : 7.11.15.121 2048 Bytes 05.10.2011 18:27:19
VBASE023.VDF : 7.11.15.122 2048 Bytes 05.10.2011 18:27:19
VBASE024.VDF : 7.11.15.123 2048 Bytes 05.10.2011 18:27:19
VBASE025.VDF : 7.11.15.124 2048 Bytes 05.10.2011 18:27:21
VBASE026.VDF : 7.11.15.125 2048 Bytes 05.10.2011 18:27:21
VBASE027.VDF : 7.11.15.126 2048 Bytes 05.10.2011 18:27:21
VBASE028.VDF : 7.11.15.127 2048 Bytes 05.10.2011 18:27:21
VBASE029.VDF : 7.11.15.128 2048 Bytes 05.10.2011 18:27:21
VBASE030.VDF : 7.11.15.129 2048 Bytes 05.10.2011 18:27:21
VBASE031.VDF : 7.11.15.141 159232 Bytes 06.10.2011 18:27:23
Engineversion : 8.2.6.76
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.12.2010 22:52:06
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 04.10.2011 19:16:35
AESCN.DLL : 8.1.7.2 127349 Bytes 30.12.2010 22:52:06
AESBX.DLL : 8.2.1.34 323957 Bytes 02.06.2011 21:09:18
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 16:08:52
AEPACK.DLL : 8.2.10.11 684408 Bytes 24.09.2011 15:28:21
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 18.09.2011 15:34:58
AEHEUR.DLL : 8.1.2.175 3731831 Bytes 04.10.2011 19:16:32
AEHELP.DLL : 8.1.17.7 254327 Bytes 30.07.2011 20:51:04
AEGEN.DLL : 8.1.5.9 401780 Bytes 28.08.2011 18:45:51
AEEMU.DLL : 8.1.3.0 393589 Bytes 30.12.2010 22:52:05
AECORE.DLL : 8.1.23.0 196983 Bytes 28.08.2011 18:45:50
AEBB.DLL : 8.1.1.0 53618 Bytes 30.12.2010 22:52:05
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 15:55:52
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 19:52:23
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 15:55:52
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 15:55:52
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 28.06.2011 15:55:52
RCTEXT.DLL : 10.0.64.0 98664 Bytes 28.06.2011 15:55:52
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4eb066ce\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Beginn des Suchlaufs: Donnerstag, 6. Oktober 2011 20:29
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cY1532y3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hki364.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched .exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Reader_sl .exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'update.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PowerBiosServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IJPLMSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Users\User\M-1-52-5782-8752-5245\winsvc.exe'
Beginne mit der Suche in 'C:\Program Files\Common Files\Java\Java Update\jusched.exe'
C:\Program Files\Common Files\Java\Java Update\jusched.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Unruy.H.12
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched> wurde erfolgreich repariert.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b7c5ce3.qua' verschoben!
Beginne mit der Suche in 'C:\Program Files\QuickTime\QTTask.exe'
C:\Program Files\QuickTime\QTTask.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Unruy.H.12
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\QuickTime Task> wurde erfolgreich repariert.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '520a7367.qua' verschoben!
Beginne mit der Suche in 'C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe'
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Unruy.H.12
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher> wurde erfolgreich repariert.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '005a29a4.qua' verschoben!
Beginne mit der Suche in 'C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe'
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Unruy.H.12
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Adobe ARM> wurde erfolgreich repariert.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '667f6665.qua' verschoben!
Ende des Suchlaufs: Donnerstag, 6. Oktober 2011 20:29
Benötigte Zeit: 00:18 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
0 Verzeichnisse wurden überprüft
66 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
62 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
4 Hinweise
Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 7888
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
06.10.2011 23:20:39
mbam-log-2011-10-06 (23-20-30).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 301261
Laufzeit: 1 Stunde(n), 29 Minute(n), 34 Sekunde(n)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 37
Infizierte Speicherprozesse:
c:\Users\User\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> 2096 -> No action taken.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.Agent) -> Value: Microsoft® Windows Update -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\Users\User\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> No action taken.
c:\Users\User\AppData\Local\Temp\174A.tmp (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\2493933.exe (Trojan.Agent) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup3728182448.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\FFE5.tmp (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\61502.exe (Trojan.Agent) -> No action taken.
c:\Users\User\AppData\Local\Temp\816A.tmp (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\8393116.exe (Trojan.Agent) -> No action taken.
c:\Users\User\AppData\Local\Temp\85011.exe (Trojan.Agent) -> No action taken.
c:\Users\User\AppData\Local\Temp\8777194.exe (Trojan.Agent) -> No action taken.
c:\Users\User\AppData\Local\Temp\8943023.exe (Trojan.Agent) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup102068860.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup1116876568.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup1200936688.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup1230183612.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup1475478212.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup1516541280.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup1578116676.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup1958555480.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup3735198284.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup3853905712.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup4027091268.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup423188492.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup2162812472.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup2401792332.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup2949144608.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup3420062064.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup345148596.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup4287821488.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup654659012.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\setup914417808.exe (Rootkit.TDSS) -> No action taken.
c:\Users\User\AppData\Local\Temp\2904337.exe (Trojan.Agent) -> No action taken.
c:\Users\User\AppData\Local\Temp\3120802.exe (Trojan.Agent) -> No action taken.
c:\Users\User\AppData\Local\Temp\4092073.exe (Trojan.Agent) -> No action taken.
c:\Users\User\AppData\Local\Temp\46457.exe (Trojan.Agent) -> No action taken.
c:\Users\User\m-1-52-5782-8752-5245\winsvc .exe (Trojan.Agent) -> No action taken.
c:\program files\ICQ7.4\icq.exe.bak (Backdoor.IRCBot) -> No action taken.
Code:
ATTFilter OTL logfile created on: 06.10.2011 23:52:00 - Run 1 OTL by OldTimer - Version 3.2.29.1 Folder = C:\Users\User\Downloads Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,98 Gb Total Physical Memory | 2,21 Gb Available Physical Memory | 74,01% Memory free 5,97 Gb Paging File | 5,01 Gb Available in Paging File | 84,06% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 298,09 Gb Total Space | 219,48 Gb Free Space | 73,63% Space Free | Partition Type: NTFS Drive D: | 1,58 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF Computer Name: USER-PC | User Name: User | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2011.10.06 23:42:13 | 000,582,656 | ---- | M] (OldTimer Tools) -- C:\Users\User\Downloads\OTL.exe PRC - [2011.10.06 23:39:53 | 000,034,816 | ---- | M] () -- C:\Windows\Temp\sycdso\setup.exe PRC - [2011.07.16 06:31:12 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe PRC - [2011.06.28 17:55:52 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.05.01 09:57:57 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2011.02.26 07:33:07 | 002,614,784 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe PRC - [2010.12.31 00:52:06 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.09.06 19:56:38 | 000,247,096 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe PRC - [2010.01.14 23:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2009.07.26 17:44:14 | 003,883,840 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Live\Messenger\msnmsgr.exe PRC - [2009.07.14 03:14:47 | 001,121,280 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe PRC - [2009.07.14 03:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe PRC - [2009.06.02 17:35:12 | 002,134,528 | ---- | M] () -- C:\Programme\Hotkey\Hotkey.exe PRC - [2009.05.19 12:36:18 | 000,240,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe PRC - [2009.05.15 08:35:52 | 000,935,208 | ---- | M] (Nero AG) -- C:\Programme\Common Files\Nero\Nero BackItUp 4\NBService.exe PRC - [2009.05.12 20:04:26 | 000,030,208 | ---- | M] () -- C:\Programme\Hotkey\PowerBiosServer.exe PRC - [2009.02.26 15:24:50 | 000,097,680 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE PRC - [2008.03.18 03:06:00 | 001,848,648 | ---- | M] (CANON INC.) -- C:\Programme\Canon\MyPrinter\BJMYPRT.EXE PRC - [2008.01.22 19:35:52 | 000,103,808 | ---- | M] () -- C:\Programme\Canon\IJPLM\ijplmsvc.exe ========== Modules (No Company Name) ========== MOD - [2011.09.24 22:36:08 | 000,997,888 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Management\7cc7d753f499e27b4bd8a45c3e81c73e\System.Management.ni.dll MOD - [2011.09.15 22:59:57 | 000,212,992 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\45e8faf9163d342297c46813373d8f74\System.ServiceProcess.ni.dll MOD - [2011.09.15 22:59:12 | 012,431,360 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\ad9c2f4737e1e07fa774af31a7d74235\System.Windows.Forms.ni.dll MOD - [2011.09.15 22:59:03 | 001,586,688 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\eba4ec48e3f7f16864c6d96f510fafd9\System.Drawing.ni.dll MOD - [2011.09.15 22:58:36 | 007,949,312 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System\610374fef100556da252243e673ac64b\System.ni.dll MOD - [2011.09.15 22:58:28 | 011,490,304 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\23bc3936180ff789f44259a211dfc7fc\mscorlib.ni.dll MOD - [2009.06.06 16:29:06 | 000,360,448 | ---- | M] () -- C:\Windows\system\BisonC07.dll MOD - [2009.06.02 17:35:12 | 002,134,528 | ---- | M] () -- C:\Programme\Hotkey\Hotkey.exe MOD - [2009.05.06 14:58:00 | 000,019,968 | ---- | M] () -- C:\Programme\Hotkey\Audiodll.dll ========== Win32 Services (SafeList) ========== SRV - [2011.10.06 23:39:53 | 000,034,816 | ---- | M] () [Auto | Stopped] -- C:\Windows\TEMP\sycdso\setup.exe -- (AMService) SRV - [2011.06.28 17:55:52 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.05.01 09:57:57 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2010.09.06 19:56:38 | 000,247,096 | ---- | M] () [Auto | Running] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service) SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc) SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend) SRV - [2009.05.15 08:35:52 | 000,935,208 | ---- | M] (Nero AG) [Auto | Running] -- C:\Programme\Common Files\Nero\Nero BackItUp 4\NBService.exe -- (Nero BackItUp Scheduler 4.0) SRV - [2009.05.12 20:04:26 | 000,030,208 | ---- | M] () [Auto | Running] -- C:\Program Files\Hotkey\PowerBiosServer.exe -- (PowerBiosServer) SRV - [2008.01.22 19:35:52 | 000,103,808 | ---- | M] () [Auto | Running] -- C:\Programme\Canon\IJPLM\ijplmsvc.exe -- (IJPLMSVC) ========== Driver Services (SafeList) ========== DRV - [2011.06.28 17:55:53 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb) DRV - [2011.06.28 17:55:53 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010.06.29 21:26:35 | 000,271,360 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\atksgt.sys -- (atksgt) DRV - [2010.06.29 21:22:18 | 000,025,416 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\System32\drivers\lirsgt.sys -- (lirsgt) DRV - [2009.08.18 10:23:28 | 000,119,408 | ---- | M] (JMicron Technology Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\jmcr.sys -- (JMCR) DRV - [2009.07.26 00:12:08 | 001,182,320 | ---- | M] (Bison Electronics. Inc. ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\BisonC07.sys -- (Cam5607) DRV - [2009.07.14 01:51:11 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb) DRV - [2009.07.14 00:02:53 | 000,048,128 | ---- | M] (Silicon Integrated Systems Corp.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\SiSGB6.sys -- (SiSGbeLH) DRV - [2009.07.01 04:31:44 | 000,374,272 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rtl8187B.sys -- (RTL8187B) DRV - [2009.05.11 11:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2009.02.10 16:38:00 | 007,547,360 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.wortmann.de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=" FF - prefs.js..browser.search.param.yahoo-fr: "moz2-ytff-" FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "moz2-ytff-" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.7 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.3.3&q=" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8081.0709: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Program Files\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.69\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.69\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: C:\Users\User\AppData\Roaming\Move Networks\plugins\071802000001\npqmp071802000001.dll (Move Networks) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.10.06 21:40:06 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.06.19 12:44:57 | 000,000,000 | ---D | M] [2009.12.31 10:09:07 | 000,000,000 | ---D | M] (No name found) -- C:\Users\User\AppData\Roaming\mozilla\Extensions [2011.09.30 16:42:39 | 000,000,000 | ---D | M] (No name found) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\s2bqdh89.default\extensions [2011.08.02 21:50:36 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\s2bqdh89.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2011.09.30 16:42:39 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\s2bqdh89.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2011.10.06 21:52:09 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-1.xml [2011.06.30 20:02:35 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-10.xml [2011.06.30 22:00:18 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-11.xml [2011.08.21 21:46:41 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-12.xml [2011.08.29 21:50:23 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-13.xml [2011.10.06 21:40:19 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-14.xml [2011.10.06 21:44:13 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-15.xml [2010.07.24 12:38:45 | 000,000,961 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-2.xml [2010.10.03 20:15:59 | 000,000,961 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-3.xml [2010.12.19 19:04:39 | 000,000,961 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-4.xml [2011.02.12 17:46:28 | 000,000,961 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-5.xml [2011.03.25 20:23:35 | 000,000,961 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-6.xml [2011.03.31 15:04:21 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-7.xml [2011.05.17 21:52:02 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-8.xml [2011.05.17 21:52:22 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-9.xml [2010.05.12 18:40:48 | 000,001,042 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin.xml [2011.03.31 20:24:27 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010.02.05 21:54:36 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2011.02.28 22:54:41 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2011.03.31 20:24:27 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} [2011.10.06 21:40:06 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll [2011.02.02 21:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll [2011.10.06 21:40:03 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.10.06 21:40:03 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml [2011.10.06 21:40:03 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2011.10.06 21:40:03 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2011.10.06 21:40:03 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2011.10.06 21:40:03 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml Hosts file not found O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll (Microsoft Corporation) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll (Google Inc.) O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation) O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation) O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe (CANON INC.) O4 - HKLM..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKCU..\Run: [ICQ] C:\Program Files\ICQ7.4\ICQ.exe (ICQ, LLC.) O4 - Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Programme\ICQ7.4\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Programme\ICQ7.4\ICQ.exe (ICQ, LLC.) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7501FFDF-20E8-464D-BEDC-4B2DEBDC5179}: DhcpNameServer = 192.168.0.10 192.168.0.7 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C0B3F65E-E817-4DF8-8408-979639649A18}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8089.0726.dll (Microsoft Corporation) O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) -C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) -C:\Windows\System32\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) -C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found. O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.10.06 21:49:16 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Malwarebytes [2011.10.06 21:49:05 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2011.10.06 21:49:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2011.10.06 21:48:58 | 000,022,216 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2011.10.06 21:48:58 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2011.10.06 20:28:47 | 000,159,232 | ---- | C] (shaokosaoedYomd) -- C:\ProgramData\cY1532y3.exe [2011.10.05 18:42:38 | 000,000,000 | ---D | C] -- C:\Windows\Sun [2011.10.05 18:29:35 | 000,000,000 | ---D | C] -- C:\Users\User\Tracing [2011.10.05 18:29:22 | 000,000,000 | RHSD | C] -- C:\Users\User\M-1-52-5782-8752-5245 [2011.10.03 12:11:10 | 000,000,000 | -HSD | C] -- C:\Config.Msi ========== Files - Modified Within 30 Days ========== [2011.10.06 23:46:50 | 000,009,696 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2011.10.06 23:46:50 | 000,009,696 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2011.10.06 23:42:01 | 000,001,022 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job [2011.10.06 23:39:29 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2011.10.06 23:38:57 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2011.10.06 23:38:36 | 2402,672,640 | -HS- | M] () -- C:\hiberfil.sys [2011.10.06 23:36:13 | 000,000,000 | ---- | M] () -- C:\Users\User\defogger_reenable [2011.10.06 22:52:08 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\9b8dfaa0.job [2011.10.06 22:52:06 | 000,000,208 | ---- | M] () -- C:\Windows\tasks\ae09ad08.job [2011.10.06 22:50:18 | 000,000,208 | ---- | M] () -- C:\Windows\tasks\55984810.job [2011.10.06 22:47:41 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\109531c8.job [2011.10.06 22:47:39 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\411701e0.job [2011.10.06 22:47:37 | 000,000,208 | ---- | M] () -- C:\Windows\tasks\623a4904.job [2011.10.06 22:47:35 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\a351488.job [2011.10.06 22:47:32 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\9152e3fc.job [2011.10.06 22:47:31 | 000,000,208 | ---- | M] () -- C:\Windows\tasks\71d9b470.job [2011.10.06 22:30:15 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\4efebf7c.job [2011.10.06 22:30:15 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\31497a84.job [2011.10.06 22:30:15 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\1ba7d6f0.job [2011.10.06 22:21:03 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2011.10.06 22:15:07 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\deeb66d4.job [2011.10.06 22:15:07 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\b0515e90.job [2011.10.06 22:15:07 | 000,000,208 | ---- | M] () -- C:\Windows\tasks\bd3e1ce4.job [2011.10.06 21:49:05 | 000,001,067 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2011.10.06 21:33:55 | 322,358,973 | ---- | M] () -- C:\Windows\MEMORY.DMP [2011.10.06 20:28:47 | 000,000,001 | ---- | M] () -- C:\ProgramData\cY1532y3.exe.b [2011.10.06 20:28:45 | 000,000,000 | -H-- | M] () -- C:\Users\User\AppData\Roaming\Efd1tdJgf06I [2011.10.06 20:28:39 | 000,159,232 | ---- | M] (shaokosaoedYomd) -- C:\ProgramData\cY1532y3.exe [2011.10.05 21:00:22 | 000,000,112 | ---- | M] () -- C:\ProgramData\p6N6d7.dat [2011.10.05 18:41:51 | 000,000,001 | ---- | M] () -- C:\Windows\System32\vH663o.com.b [2011.10.05 18:29:43 | 000,000,000 | ---- | M] () -- C:\Users\User\AppData\Roaming\chrtmp [2011.10.03 12:11:23 | 000,001,984 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk [2011.09.15 22:55:04 | 000,654,166 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2011.09.15 22:55:04 | 000,616,008 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2011.09.15 22:55:04 | 000,130,006 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2011.09.15 22:55:04 | 000,106,388 | ---- | M] () -- C:\Windows\System32\perfc009.dat ========== Files Created - No Company Name ========== [2011.10.06 23:36:13 | 000,000,000 | ---- | C] () -- C:\Users\User\defogger_reenable [2011.10.06 22:52:08 | 000,000,210 | ---- | C] () -- C:\Windows\tasks\9b8dfaa0.job [2011.10.06 22:52:06 | 000,000,208 | ---- | C] () -- C:\Windows\tasks\ae09ad08.job [2011.10.06 22:50:18 | 000,000,208 | ---- | C] () -- C:\Windows\tasks\55984810.job [2011.10.06 22:47:41 | 000,000,210 | ---- | C] () -- C:\Windows\tasks\109531c8.job [2011.10.06 22:47:39 | 000,000,210 | ---- | C] () -- C:\Windows\tasks\411701e0.job [2011.10.06 22:47:37 | 000,000,208 | ---- | C] () -- C:\Windows\tasks\623a4904.job [2011.10.06 22:47:35 | 000,000,210 | ---- | C] () -- C:\Windows\tasks\a351488.job [2011.10.06 22:47:32 | 000,000,210 | ---- | C] () -- C:\Windows\tasks\9152e3fc.job [2011.10.06 22:47:31 | 000,000,208 | ---- | C] () -- C:\Windows\tasks\71d9b470.job [2011.10.06 22:30:15 | 000,000,210 | ---- | C] () -- C:\Windows\tasks\4efebf7c.job [2011.10.06 22:30:15 | 000,000,210 | ---- | C] () -- C:\Windows\tasks\31497a84.job [2011.10.06 22:30:15 | 000,000,210 | ---- | C] () -- C:\Windows\tasks\1ba7d6f0.job [2011.10.06 22:15:07 | 000,000,210 | ---- | C] () -- C:\Windows\tasks\deeb66d4.job [2011.10.06 22:15:07 | 000,000,210 | ---- | C] () -- C:\Windows\tasks\b0515e90.job [2011.10.06 22:15:07 | 000,000,208 | ---- | C] () -- C:\Windows\tasks\bd3e1ce4.job [2011.10.06 21:49:05 | 000,001,067 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2011.10.06 20:28:47 | 000,000,001 | ---- | C] () -- C:\ProgramData\cY1532y3.exe.b [2011.10.06 20:28:45 | 000,000,000 | -H-- | C] () -- C:\Users\User\AppData\Roaming\Efd1tdJgf06I [2011.10.05 18:45:02 | 000,000,112 | ---- | C] () -- C:\ProgramData\p6N6d7.dat [2011.10.05 18:41:51 | 000,000,001 | ---- | C] () -- C:\Windows\System32\vH663o.com.b [2011.10.05 18:29:43 | 000,000,000 | ---- | C] () -- C:\Users\User\AppData\Roaming\chrtmp [2010.06.29 21:22:18 | 000,271,360 | ---- | C] () -- C:\Windows\System32\drivers\atksgt.sys [2010.06.29 21:22:18 | 000,025,416 | ---- | C] () -- C:\Windows\System32\drivers\lirsgt.sys [2010.04.17 14:10:15 | 000,003,584 | ---- | C] () -- C:\Users\User\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.12.31 14:42:12 | 000,000,155 | ---- | C] () -- C:\Users\User\AppData\Roaming\default.rss [2009.12.30 18:18:19 | 000,004,767 | ---- | C] () -- C:\Windows\Irremote.ini [2009.11.25 11:13:24 | 000,000,228 | ---- | C] () -- C:\Windows\OEM.ini [2009.11.25 11:13:23 | 000,015,190 | ---- | C] () -- C:\Windows\M3000Twn.ini [2009.11.25 11:13:01 | 000,451,072 | ---- | C] () -- C:\Windows\System32\ISSRemoveSP.exe [2009.11.25 10:08:49 | 000,000,011 | ---- | C] () -- C:\Windows\System32\IsConfig.ini [2009.09.30 11:57:29 | 000,654,166 | ---- | C] () -- C:\Windows\System32\perfh007.dat [2009.09.30 11:57:29 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat [2009.09.30 11:57:29 | 000,130,006 | ---- | C] () -- C:\Windows\System32\perfc007.dat [2009.09.30 11:57:29 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat [2009.07.14 06:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat [2009.07.14 06:33:53 | 000,417,456 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT [2009.07.14 04:05:48 | 000,616,008 | ---- | C] () -- C:\Windows\System32\perfh009.dat [2009.07.14 04:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat [2009.07.14 04:05:48 | 000,106,388 | ---- | C] () -- C:\Windows\System32\perfc009.dat [2009.07.14 04:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat [2009.07.14 04:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT [2009.07.14 04:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat [2009.07.14 01:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin [2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll [2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll [2009.06.10 23:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat ========== LOP Check ========== [2011.10.05 21:16:23 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\ICQ [2011.10.06 22:47:41 | 000,000,210 | ---- | M] () -- C:\Windows\Tasks\109531c8.job [2011.10.06 22:30:15 | 000,000,210 | ---- | M] () -- C:\Windows\Tasks\1ba7d6f0.job [2011.10.06 22:30:15 | 000,000,210 | ---- | M] () -- C:\Windows\Tasks\31497a84.job [2011.10.06 22:47:39 | 000,000,210 | ---- | M] () -- C:\Windows\Tasks\411701e0.job [2011.10.06 22:30:15 | 000,000,210 | ---- | M] () -- C:\Windows\Tasks\4efebf7c.job [2011.10.06 22:50:18 | 000,000,208 | ---- | M] () -- C:\Windows\Tasks\55984810.job [2011.10.06 22:47:37 | 000,000,208 | ---- | M] () -- C:\Windows\Tasks\623a4904.job [2011.10.06 22:47:31 | 000,000,208 | ---- | M] () -- C:\Windows\Tasks\71d9b470.job [2011.10.06 22:47:32 | 000,000,210 | ---- | M] () -- C:\Windows\Tasks\9152e3fc.job [2011.10.06 22:52:08 | 000,000,210 | ---- | M] () -- C:\Windows\Tasks\9b8dfaa0.job [2011.10.06 22:47:35 | 000,000,210 | ---- | M] () -- C:\Windows\Tasks\a351488.job [2011.10.06 22:52:06 | 000,000,208 | ---- | M] () -- C:\Windows\Tasks\ae09ad08.job [2011.10.06 22:15:07 | 000,000,210 | ---- | M] () -- C:\Windows\Tasks\b0515e90.job [2011.10.06 22:15:07 | 000,000,208 | ---- | M] () -- C:\Windows\Tasks\bd3e1ce4.job [2011.10.06 22:15:07 | 000,000,210 | ---- | M] () -- C:\Windows\Tasks\deeb66d4.job [2011.10.06 22:30:14 | 000,032,640 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== < End of report > Code:
ATTFilter OTL Extras logfile created on: 06.10.2011 23:52:00 - Run 1
OTL by OldTimer - Version 3.2.29.1 Folder = C:\Users\User\Downloads
Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,98 Gb Total Physical Memory | 2,21 Gb Available Physical Memory | 74,01% Memory free
5,97 Gb Paging File | 5,01 Gb Available in Paging File | 84,06% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 298,09 Gb Total Space | 219,48 Gb Free Space | 73,63% Space Free | Partition Type: NTFS
Drive D: | 1,58 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
Computer Name: USER-PC | User Name: User | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Müller Foto] -- "C:\Program Files\Müller Foto\Müller Foto\Müller Foto.exe" "%1" ()
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~3\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
========== Authorized Applications List ==========
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP3600_series" = Canon iP3600 series Printer Driver
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{164714B6-46BC-4649-9A30-A6ED32F03B5A}" = Hotkey
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26604C7E-A313-4D12-867F-7C6E7820BE4C}" = JMicron JMB38X Flash Media Controller
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 24
"{2BA722D1-48D1-406E-9123-8AE5431D63EF}" = Windows Live Fotogalerie
"{33cf58f5-48d8-4575-83d6-96f574e4d83a}" = Nero DriveSpeed
"{359cfc0a-beb1-440d-95ba-cf63a86da34f}" = Nero Recode
"{368ba326-73ad-4351-84ed-3c0a7a52cc53}" = Nero Rescue Agent
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3EFEF049-23D4-4B46-8903-4592FEA51018}" = Windows Live Movie Maker
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{43e39830-1826-415d-8bae-86845787b54b}" = Nero Vision
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4BB1DCED-84D3-47F9-B718-5947E904593E}" = BisonCam
"{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}" = Microsoft Search Enhancement Pack
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{547DCEC7-DD2A-47E9-82C7-5CF1EAB526DA}" = Microsoft SQL Server Native Client
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{595a3116-40bb-4e0f-a2e8-d7951da56270}" = NeroExpress
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{62ac81f6-bdd3-4110-9d36-3e9eaab40999}" = Nero CoverDesigner
"{62F7DA7E-CCCB-439C-A760-00C3926E761F}" = Microsoft Works
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{70B7A167-0B88-445D-A3EA-97C73AA88CAC}" = Windows Live Toolbar
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37}" = ICQ7.4
"{76618402-179D-4699-A66B-D351C59436BC}" = Windows Live Sync
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7748ac8c-18e3-43bb-959b-088faea16fb2}" = Nero StartSmart
"{781619b7-8844-4536-b9f8-95c59efaa5a8}" = Nero 9 Trial
"{7829db6f-a066-4e40-8912-cb07887c20bb}" = Nero BurnRights
"{869200db-287a-4dc0-b02b-2b6787fbcd4c}" = Nero DiscSpeed
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{895722FE-25FE-4854-95AC-B0C42F9DBEDA}" = REALTEK Wireless LAN Driver
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_PROR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_PROR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_PROR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_PROR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_PROR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_PROR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_PROR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_PROR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_PROR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_PROR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_PROR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-0014-0000-0000-0000000FF1CE}" = Microsoft Office Professional 2007
"{91120000-0014-0000-0000-0000000FF1CE}_PROR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-0014-0000-0000-0000000FF1CE}_PROR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{994223F3-A99B-4DDD-9E1D-0190A17C6860}" = Windows Live Family Safety
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9e82b934-9a25-445b-b8df-8012808074ac}" = Nero PhotoSnap
"{9e9fdde6-2c26-492a-85a0-05646b3f2795}" = NeroLiveGadget
"{a209525b-3377-43f4-b886-32f6b6e7356f}" = Nero WaveEditor
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.6 - Deutsch
"{b1adf008-e898-4fe2-8a1f-690d9a06acaf}" = DolbyFiles
"{b2ec4a38-b545-4a00-8214-13fe0e915e6d}" = Advertising Center
"{B3FED300-806C-11E0-A0D0-B8AC6F97B88E}" = Google Earth
"{b78120a0-cf84-4366-a393-4d0a59bc546c}" = Menu Templates - Starter Kit
"{bd5ca0da-71ad-43da-b19e-6eee0c9adc9a}" = Nero ControlCenter
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{c5a7cb6c-e76d-408f-ba0e-85605420fe9d}" = SoundTrax
"{d025a639-b9c9-417d-8531-208859000af8}" = NeroBurningROM
"{d9dcf92e-72eb-412d-ac71-3b01276e5f8b}" = Nero ShowTime
"{df6a95f5-adc1-406a-bdc6-2aa7cc0182aa}" = Nero Live
"{E0A4805D-280A-4DD7-9E74-3A5F85E302A1}" = Windows Live Writer
"{E2DFE069-083E-4631-9B6C-43C48E991DE5}" = Junk Mail filter update
"{e498385e-1c51-459a-b45f-1721e37aa1a0}" = Movie Templates - Starter Kit
"{e8a80433-302b-4ff1-815d-fcc8eac482ff}" = Nero Installer
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{fbcdfd61-7dcf-4e71-9226-873ba0053139}" = Nero InfoTool
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Canon iP3600 series Benutzerregistrierung" = Canon iP3600 series Benutzerregistrierung
"CANONIJPLM100" = Inkjet Printer/Scanner Extended Survey Program
"CanonMyPrinter" = Canon Utilities My Printer
"CanonSolutionMenu" = Canon Utilities Solution Menu
"Catan Online Welt" = Catan Online Welt
"Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX
"Google Updater" = Google Updater
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"ICQToolbar" = ICQ Toolbar
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 7.0.1 (x86 de)" = Mozilla Firefox 7.0.1 (x86 de)
"Müller Foto" = Müller Foto
"NVIDIA Drivers" = NVIDIA Drivers
"PROR" = Microsoft Office Professional 2007-Testversion
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"VLC media player" = VLC media player 1.0.3
"WinLiveSuite_Wave3" = Windows Live Essentials
"Zoo Tycoon 1.0" = Microsoft Zoo Tycoon
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Move Media Player" = Move Media Player
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 12.09.2011 16:30:22 | Computer Name = User-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\Installer\{62F7DA7E-CCCB-439C-A760-00C3926E761F}\wksdb.exe".
Die
abhängige Assemblierung "msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 12.09.2011 16:30:22 | Computer Name = User-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\Installer\{62F7DA7E-CCCB-439C-A760-00C3926E761F}\WksCal.exe".
Die
abhängige Assemblierung "msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 12.09.2011 16:30:23 | Computer Name = User-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\Installer\{62F7DA7E-CCCB-439C-A760-00C3926E761F}\wksss.exe".
Die
abhängige Assemblierung "msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 12.09.2011 16:30:23 | Computer Name = User-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\Installer\{62F7DA7E-CCCB-439C-A760-00C3926E761F}\WksWP.exe".
Die
abhängige Assemblierung "msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 12.09.2011 16:30:36 | Computer Name = User-PC | Source = SideBySide | ID = 16842811
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft\search
enhancement pack\search helper\sepsearchhelperie.dll". Fehler in Manifest- oder
Richtliniendatei "c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll"
in Zeile 2. Ungültige XML-Syntax.
Error - 29.09.2011 16:13:52 | Computer Name = User-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\Installer\{62F7DA7E-CCCB-439C-A760-00C3926E761F}\wksdb.exe".
Die
abhängige Assemblierung "msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 29.09.2011 16:13:52 | Computer Name = User-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\Installer\{62F7DA7E-CCCB-439C-A760-00C3926E761F}\WksCal.exe".
Die
abhängige Assemblierung "msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 29.09.2011 16:13:53 | Computer Name = User-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\Installer\{62F7DA7E-CCCB-439C-A760-00C3926E761F}\wksss.exe".
Die
abhängige Assemblierung "msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 29.09.2011 16:13:53 | Computer Name = User-PC | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "C:\Windows\Installer\{62F7DA7E-CCCB-439C-A760-00C3926E761F}\WksWP.exe".
Die
abhängige Assemblierung "msadctls,processorArchitecture="x86",type="win32",version="1.0.1801.0""
konnte nicht gefunden werden. Verwenden Sie für eine detaillierte Diagnose das Programm
"sxstrace.exe".
Error - 29.09.2011 16:14:09 | Computer Name = User-PC | Source = SideBySide | ID = 16842811
Description = Fehler beim Generieren des Aktivierungskontextes für "c:\program files\microsoft\search
enhancement pack\search helper\sepsearchhelperie.dll". Fehler in Manifest- oder
Richtliniendatei "c:\program files\microsoft\search enhancement pack\search helper\sepsearchhelperie.dll"
in Zeile 2. Ungültige XML-Syntax.
[ OSession Events ]
Error - 25.08.2011 09:26:01 | Computer Name = User-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
12.0.6557.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 412
seconds with 60 seconds of active time. This session ended with a crash.
[ System Events ]
Error - 06.10.2011 17:39:27 | Computer Name = User-PC | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
Error - 06.10.2011 17:39:27 | Computer Name = User-PC | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
Error - 06.10.2011 17:39:28 | Computer Name = User-PC | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
Error - 06.10.2011 17:39:29 | Computer Name = User-PC | Source = Application Popup | ID = 875
Description = Treiber atksgt.sys konnte nicht geladen werden.
Error - 06.10.2011 17:39:29 | Computer Name = User-PC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "atksgt" wurde aufgrund folgenden Fehlers nicht gestartet:
%%1275
Error - 06.10.2011 17:39:49 | Computer Name = User-PC | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
Error - 06.10.2011 17:39:49 | Computer Name = User-PC | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
Error - 06.10.2011 17:39:49 | Computer Name = User-PC | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
Error - 06.10.2011 17:39:52 | Computer Name = User-PC | Source = Microsoft-Windows-DNS-Client | ID = 1012
Description = Fehler beim Lesen der Datei für lokale Hosts.
Error - 06.10.2011 17:39:55 | Computer Name = User-PC | Source = Service Control Manager | ID = 7030
Description = Der Dienst "AMService" ist als interaktiver Dienst gekennzeichnet.
Das System wurde jedoch so konfiguriert, dass interaktive Dienste nicht möglich
sind. Der Dienst wird möglicherweise nicht richtig funktionieren.
< End of report >
Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-10-07 00:44:34
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdePort0 FUJITSU_MJA2320BH_G2 rev.00000018
Running: jyputxq9.exe; Driver: C:\Users\User\AppData\Local\Temp\kxldapob.sys
---- System - GMER 1.0.15 ----
SSDT 8D853076 ZwCreateSection
SSDT 8D85307B ZwSetContextThread
SSDT 8D853017 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82A94539 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82AB9092 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!RtlSidHashLookup + 350 82AC09B0 4 Bytes [76, 30, 85, 8D]
.text ntkrnlpa.exe!RtlSidHashLookup + 6F0 82AC0D50 4 Bytes [7B, 30, 85, 8D]
.text ntkrnlpa.exe!RtlSidHashLookup + 7C8 82AC0E28 1 Byte [17]
.text ntkrnlpa.exe!RtlSidHashLookup + 7C8 82AC0E28 4 Bytes [17, 30, 85, 8D]
.text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x91216320, 0x3EEAF7, 0xE8000020]
.text C:\Windows\system32\DRIVERS\lirsgt.sys section is writeable [0x9D3EF300, 0x1B7E, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Windows\system32\svchost.exe[948] ntdll.dll!NtProtectVirtualMemory 76FD51C0 5 Bytes JMP 002D000A
.text C:\Windows\system32\svchost.exe[948] ntdll.dll!NtWriteVirtualMemory 76FD5D40 5 Bytes JMP 004F000A
.text C:\Windows\system32\svchost.exe[948] ntdll.dll!KiUserExceptionDispatcher 76FD6298 5 Bytes JMP 002C000A
.text C:\Windows\Explorer.EXE[1444] ntdll.dll!NtProtectVirtualMemory 76FD51C0 5 Bytes JMP 001C000A
.text C:\Windows\Explorer.EXE[1444] ntdll.dll!NtWriteVirtualMemory 76FD5D40 5 Bytes JMP 001D000A
.text C:\Windows\Explorer.EXE[1444] ntdll.dll!KiUserExceptionDispatcher 76FD6298 5 Bytes JMP 001B000A
.text C:\Windows\system32\wuauclt.exe[2676] ntdll.dll!NtProtectVirtualMemory 76FD51C0 5 Bytes JMP 0051000A
.text C:\Windows\system32\wuauclt.exe[2676] ntdll.dll!NtWriteVirtualMemory 76FD5D40 5 Bytes JMP 0052000A
.text C:\Windows\system32\wuauclt.exe[2676] ntdll.dll!KiUserExceptionDispatcher 76FD6298 5 Bytes JMP 0050000A
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
Device \Driver\ACPI_HAL \Device\00000047 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 TDL4@MBR code has been found <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior
---- EOF - GMER 1.0.15 ----
Geändert von Maxell (07.10.2011 um 00:23 Uhr) |
|
07.10.2011, 07:14
| #2 | |||
| /// Helfer-Team    | TR/Graftor.1346; TR/Dldr.Unruy.H.12; TR/Dropper.Gen gefunden; Facebook Link Hallo und Herzlich Willkommen!
__________________ Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Allerdings in diesem Zustand (der Rechner aktuell durch Malware befallen ist), der alten Version eine Aufrüstung auf die nächste NICHT erfolgen darf, sonst schadet es mehr als es nutzt! Soll nun die Festplatte erst bereinigt werden, also absolut malwarefrei sein! Also nur am Ende der Reinigung der aktuelle Version installieren! - ich werde Dir Bescheid sagen wann! Zitat:
Für Vista und Win7: Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen! 1. Fixen mit OTL
Code:
ATTFilter :OTL
PRC - [2011.10.06 23:39:53 | 000,034,816 | ---- | M] () -- C:\Windows\Temp\sycdso\setup.exe
[2011.06.30 20:02:35 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-10.xml
[2011.06.30 22:00:18 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-11.xml
[2011.08.21 21:46:41 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-12.xml
[2011.08.29 21:50:23 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-13.xml
[2011.10.06 21:40:19 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-14.xml
[2011.10.06 21:44:13 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-15.xml
[2010.07.24 12:38:45 | 000,000,961 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-2.xml
[2010.10.03 20:15:59 | 000,000,961 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-3.xml
[2010.12.19 19:04:39 | 000,000,961 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-4.xml
[2011.02.12 17:46:28 | 000,000,961 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-5.xml
[2011.03.25 20:23:35 | 000,000,961 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-6.xml
[2011.03.31 15:04:21 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-7.xml
[2011.05.17 21:52:02 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-8.xml
[2011.05.17 21:52:22 | 000,000,950 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin-9.xml
[2010.05.12 18:40:48 | 000,001,042 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\s2bqdh89.default\searchplugins\icqplugin.xml
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
[2011.10.06 23:42:01 | 000,001,022 | ---- | M] () -- C:\Windows\tasks\Google Software Updater.job
[2011.10.06 23:39:29 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2011.10.06 22:52:08 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\9b8dfaa0.job
[2011.10.06 22:52:06 | 000,000,208 | ---- | M] () -- C:\Windows\tasks\ae09ad08.job
[2011.10.06 22:50:18 | 000,000,208 | ---- | M] () -- C:\Windows\tasks\55984810.job
[2011.10.06 22:47:41 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\109531c8.job
[2011.10.06 22:47:39 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\411701e0.job
[2011.10.06 22:47:37 | 000,000,208 | ---- | M] () -- C:\Windows\tasks\623a4904.job
[2011.10.06 22:47:35 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\a351488.job
[2011.10.06 22:47:32 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\9152e3fc.job
[2011.10.06 22:47:31 | 000,000,208 | ---- | M] () -- C:\Windows\tasks\71d9b470.job
[2011.10.06 22:30:15 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\4efebf7c.job
[2011.10.06 22:30:15 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\31497a84.job
[2011.10.06 22:30:15 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\1ba7d6f0.job
[2011.10.06 22:21:03 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2011.10.06 22:15:07 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\deeb66d4.job
[2011.10.06 22:15:07 | 000,000,210 | ---- | M] () -- C:\Windows\tasks\b0515e90.job
[2011.10.06 22:15:07 | 000,000,208 | ---- | M] () -- C:\Windows\tasks\bd3e1ce4.job
[2011.10.06 20:28:47 | 000,000,001 | ---- | M] () -- C:\ProgramData\cY1532y3.exe.b
[2011.10.06 20:28:45 | 000,000,000 | -H-- | M] () -- C:\Users\User\AppData\Roaming\Efd1tdJgf06I
[2011.10.06 20:28:39 | 000,159,232 | ---- | M] (shaokosaoedYomd) -- C:\ProgramData\cY1532y3.exe
:Commands
[purity]
[emptytemp]
2. TDSSKiller von Kaspersky
3. ** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:
4. Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit) Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.
5. Systemscan mit OTL
6. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter → Download installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußkira
__________________ Geändert von kira (07.10.2011 um 07:29 Uhr) |
|
07.10.2011, 15:22
| #3 |
| | TR/Graftor.1346; TR/Dldr.Unruy.H.12; TR/Dropper.Gen gefunden; Facebook Link Hallo Kira,
__________________vielen Dank bis hierher schon mal. Als das OTR-Scan Tedokument erstellt wurde, hat es irgendwie das OTR-Fixen Textdokument aus dem ersten Schritt ersetzt. Ich wusste nicht, ob ich das Fixen nochmal machen sollte. Gruß Maxell |
|
08.10.2011, 06:29
| #4 |
| /// Helfer-Team | TR/Graftor.1346; TR/Dldr.Unruy.H.12; TR/Dropper.Gen gefunden; Facebook Link zu Punkt 2 - die Funde sollte man löschen lassen! Anleitung:-> http://www.trojaner-board.de/51187-a...i-malware.html 1. Java aktualisieren Deine Javaversion ist nicht aktuell. Downloade nun die Offline-Version von Java Version 6 Update 27 von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen. 2. Adobe Reader aktualisieren : - Bei Installation aufpassen/mitlesen!: Wenn irgendeine Software, Toolbar etc angeboten wird, bitte abwählen! - (z.B "McAfee Security Scan Plus") Adobe Reader Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..." 3. Fixen mit OTL
Code:
ATTFilter :OTL
IE - HKCU\..\URLSearchHook: - No CLSID value found
FF - prefs.js..browser.search.defaulturl: "http://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p="
FF - prefs.js..browser.search.param.yahoo-fr: "moz2-ytff-"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "moz2-ytff-"
[2011.08.02 21:50:36 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\s2bqdh89.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2011.10.06 21:40:03 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011.10.06 21:40:03 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
:Commands
[purity]
[emptytemp]
4. reinige dein System mit Ccleaner:
5.
6. Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.►Anleitung -> Führe dann einen Komplett-Systemcheck mit Eset Online Scanner (NOD32)Kostenlose Online Scanner durch Achtung!: >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
__________________ Warnung!: Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein! Anhang nicht öffnen, in unserem Forum erst nachfragen! Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten! Bitte diese Warnung weitergeben, wo Du nur kannst! Geändert von kira (08.10.2011 um 06:43 Uhr) |
|
08.10.2011, 15:31
| #5 |
| | TR/Graftor.1346; TR/Dldr.Unruy.H.12; TR/Dropper.Gen gefunden; Facebook Link Alles klar. Soweit hat alles funktioniert. Inzwischen meldet sich Avira auch nicht mehr so oft und vor allem diese Anwendung wird nicht mehr automatisch gestartet. Hier die Logs. Gruß Maxell. Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
Prefs.js: "hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=" removed from browser.search.defaulturl
Prefs.js: "moz2-ytff-" removed from browser.search.param.yahoo-fr
Prefs.js: "moz2-ytff-" removed from browser.search.param.yahoo-fr-cjkt
C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\s2bqdh89.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\META-INF folder moved successfully.
C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\s2bqdh89.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\defaults\preferences folder moved successfully.
C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\s2bqdh89.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\defaults folder moved successfully.
C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\s2bqdh89.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\components folder moved successfully.
C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\s2bqdh89.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}\chrome folder moved successfully.
C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\s2bqdh89.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} folder moved successfully.
C:\Programme\Mozilla Firefox\searchplugins\bing.xml moved successfully.
C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: User
->Temp folder emptied: 1808743 bytes
->Temporary Internet Files folder emptied: 614475 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 51765121 bytes
->Flash cache emptied: 456 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 108050 bytes
RecycleBin emptied: 2657216 bytes
Total Files Cleaned = 54,00 mb
OTL by OldTimer - Version 3.2.29.1 log created on 10082011_121314
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 10/08/2011 at 01:32 PM
Application Version : 5.0.1128
Core Rules Database Version : 7773
Trace Rules Database Version: 5585
Scan type : Complete Scan
Total Scan Time : 00:52:11
Operating System Information
Windows 7 Home Premium 32-bit (Build 6.01.7600)
UAC On - Administrator
Memory items scanned : 705
Memory threats detected : 0
Registry items scanned : 37697
Registry threats detected : 0
File items scanned : 37486
File threats detected : 4
Adware.Tracking Cookie
.doubleclick.net [ C:\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\S2BQDH89.DEFAULT\COOKIES.SQLITE ]
.doubleclick.net [ C:\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\S2BQDH89.DEFAULT\COOKIES.SQLITE ]
pk.webcamsex.nl [ C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\W7AE6DDX ]
vht.tradedoubler.com [ C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\W7AE6DDX ]
Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=cb1cb3be72733c43b72ea2941938aedf
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-08 02:09:26
# local_time=2011-10-08 04:09:26 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=1797 16775165 100 94 245501 54610629 144489 0
# compatibility_mode=5893 16776573 100 94 7682 69708564 0 0
# compatibility_mode=8192 67108863 100 0 217 217 0 0
# scanned=138962
# found=15
# cleaned=15
# scan_time=5593
C:\TDSSKiller_Quarantine\07.10.2011_13.02.17\mbr0000\tdlfs0000\tsk0003.dta Win32/Olmarik.AVQ trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\TDSSKiller_Quarantine\07.10.2011_13.02.17\mbr0000\tdlfs0000\tsk0005.dta Win32/Olmarik.AFK trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\TDSSKiller_Quarantine\07.10.2011_13.02.17\mbr0000\tdlfs0000\tsk0006.dta Win64/Olmarik.R trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\TDSSKiller_Quarantine\07.10.2011_13.02.17\mbr0000\tdlfs0000\tsk0008.dta Win64/Olmarik.AA trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\TDSSKiller_Quarantine\07.10.2011_13.02.17\mbr0000\tdlfs0000\tsk0009.dta a variant of Win32/Kryptik.TKY trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\TDSSKiller_Quarantine\07.10.2011_13.02.17\mbr0001\tdlfs0000\tsk0003.dta Win32/Olmarik.AVQ trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\TDSSKiller_Quarantine\07.10.2011_13.02.17\mbr0001\tdlfs0000\tsk0005.dta Win32/Olmarik.AFK trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\TDSSKiller_Quarantine\07.10.2011_13.02.17\mbr0001\tdlfs0000\tsk0006.dta Win64/Olmarik.R trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\TDSSKiller_Quarantine\07.10.2011_13.02.17\mbr0001\tdlfs0000\tsk0008.dta Win64/Olmarik.AA trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\TDSSKiller_Quarantine\07.10.2011_13.02.17\mbr0001\tdlfs0000\tsk0009.dta a variant of Win32/Kryptik.TKY trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\14e2fd92-7b5c565a a variant of Java/TrojanDownloader.OpenStream.NCM trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\505b41a3-3d8e30f3 a variant of Java/Agent.DS trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\72c03d6c-31a18b07 a variant of Java/Agent.DS trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\704dc34-6092868c a variant of Java/TrojanDownloader.OpenStream.NCM trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\4c75e2c7-60044fb5 a variant of Java/Agent.DS trojan (deleted - quarantined) 00000000000000000000000000000000 C
|
|
10.10.2011, 05:34
| #6 |
| /// Helfer-Team | TR/Graftor.1346; TR/Dldr.Unruy.H.12; TR/Dropper.Gen gefunden; Facebook Link 1. - den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw 2. Führe den folgenden Schritt aus: Alle Systemwiederherstellungspunkte löschen, auch den Letzten 3. ** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:
__________________ --> TR/Graftor.1346; TR/Dldr.Unruy.H.12; TR/Dropper.Gen gefunden; Facebook Link Geändert von kira (10.10.2011 um 05:45 Uhr) |
|
10.10.2011, 15:44
| #7 |
| | TR/Graftor.1346; TR/Dldr.Unruy.H.12; TR/Dropper.Gen gefunden; Facebook Link Ok, als ich Malwarebytes Anti-Malware laufen ließ, kam wieder eine Meldung von Antivir: Code:
ATTFilter In der Datei 'C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0SURUO35\uebani[1].js'
wurde ein Virus oder unerwünschtes Programm 'EXP/CVE-2010-4452.D' [exploit] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Hier Malwarebytes Anti-Malware und Avira Logs Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 7914
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
10.10.2011 13:04:28
mbam-log-2011-10-10 (13-04-28).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 294252
Laufzeit: 1 Stunde(n), 20 Minute(n), 42 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 10. Oktober 2011 14:08
Es wird nach 3377382 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : User
Computername : USER-PC
Versionsinformationen:
BUILD.DAT : 10.2.0.703 35935 Bytes 29.08.2011 16:10:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 15:55:52
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 15:55:52
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 15:55:53
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 15:55:53
AVREG.DLL : 10.3.0.9 88833 Bytes 16.07.2011 17:03:24
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 22:52:05
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 21:53:37
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 16:13:30
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 18:11:09
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 22:03:01
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 16:31:50
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 18:27:17
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 18:27:17
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 18:27:17
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 18:27:17
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 18:27:17
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 18:27:17
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:04:49
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:04:50
VBASE015.VDF : 7.11.15.178 2048 Bytes 10.10.2011 12:04:50
VBASE016.VDF : 7.11.15.179 2048 Bytes 10.10.2011 12:04:50
VBASE017.VDF : 7.11.15.180 2048 Bytes 10.10.2011 12:04:50
VBASE018.VDF : 7.11.15.181 2048 Bytes 10.10.2011 12:04:50
VBASE019.VDF : 7.11.15.182 2048 Bytes 10.10.2011 12:04:51
VBASE020.VDF : 7.11.15.183 2048 Bytes 10.10.2011 12:04:51
VBASE021.VDF : 7.11.15.184 2048 Bytes 10.10.2011 12:04:51
VBASE022.VDF : 7.11.15.185 2048 Bytes 10.10.2011 12:04:51
VBASE023.VDF : 7.11.15.186 2048 Bytes 10.10.2011 12:04:51
VBASE024.VDF : 7.11.15.187 2048 Bytes 10.10.2011 12:04:51
VBASE025.VDF : 7.11.15.188 2048 Bytes 10.10.2011 12:04:51
VBASE026.VDF : 7.11.15.189 2048 Bytes 10.10.2011 12:04:51
VBASE027.VDF : 7.11.15.190 2048 Bytes 10.10.2011 12:04:51
VBASE028.VDF : 7.11.15.191 2048 Bytes 10.10.2011 12:04:51
VBASE029.VDF : 7.11.15.192 2048 Bytes 10.10.2011 12:04:52
VBASE030.VDF : 7.11.15.193 2048 Bytes 10.10.2011 12:04:52
VBASE031.VDF : 7.11.15.198 19456 Bytes 10.10.2011 12:04:52
Engineversion : 8.2.6.80
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.12.2010 22:52:06
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 04.10.2011 19:16:35
AESCN.DLL : 8.1.7.2 127349 Bytes 30.12.2010 22:52:06
AESBX.DLL : 8.2.1.34 323957 Bytes 02.06.2011 21:09:18
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 16:08:52
AEPACK.DLL : 8.2.10.11 684408 Bytes 24.09.2011 15:28:21
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 18.09.2011 15:34:58
AEHEUR.DLL : 8.1.2.177 3744120 Bytes 10.10.2011 12:04:58
AEHELP.DLL : 8.1.17.7 254327 Bytes 30.07.2011 20:51:04
AEGEN.DLL : 8.1.5.9 401780 Bytes 28.08.2011 18:45:51
AEEMU.DLL : 8.1.3.0 393589 Bytes 30.12.2010 22:52:05
AECORE.DLL : 8.1.23.0 196983 Bytes 28.08.2011 18:45:50
AEBB.DLL : 8.1.1.0 53618 Bytes 30.12.2010 22:52:05
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 15:55:52
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 19:52:23
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 15:55:52
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 15:55:52
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 28.06.2011 15:55:52
RCTEXT.DLL : 10.0.64.0 98664 Bytes 28.06.2011 15:55:52
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Windows Systemverzeichnis
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysdir.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Montag, 10. Oktober 2011 14:08
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PowerBiosServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IJPLMSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SASCORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '507' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\Windows\system32'
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14\5854e60e-6584029c
[0] Archivtyp: ZIP
--> support/IO.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GK
--> support/Pipe.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.R
--> support/Socket.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\305f6b54-4cd2cd17
[0] Archivtyp: ZIP
--> support/IO.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GK
--> support/Pipe.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.R
--> support/Socket.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\188e51e9-788f1c17
[0] Archivtyp: ZIP
--> support/IO.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GK
--> support/Pipe.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.R
--> support/Socket.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\736aba76-34e547ff
[0] Archivtyp: ZIP
--> support/Functions.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GK
--> support/ListView.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\630bdaf9-679015b8
[0] Archivtyp: ZIP
--> support/Functions.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GK
--> support/ListView.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\3104b1ff-744850dc
[0] Archivtyp: ZIP
--> support/Functions.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GK
--> support/ListView.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\1df48508-7fc90275
[0] Archivtyp: ZIP
--> support/Functions.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GK
--> support/ListView.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
Beginne mit der Desinfektion:
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\1df48508-7fc90275
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0ba323.qua' verschoben!
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\3104b1ff-744850dc
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52a68cd1.qua' verschoben!
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57\630bdaf9-679015b8
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '00f9d63b.qua' verschoben!
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54\736aba76-34e547ff
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '66c499f9.qua' verschoben!
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\188e51e9-788f1c17
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2342b4fc.qua' verschoben!
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\305f6b54-4cd2cd17
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5c5a86a5.qua' verschoben!
C:\Windows\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14\5854e60e-6584029c
[FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.Q
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '10e2aad7.qua' verschoben!
Ende des Suchlaufs: Montag, 10. Oktober 2011 16:38
Benötigte Zeit: 04:52 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
1451 Verzeichnisse wurden überprüft
68483 Dateien wurden geprüft
17 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
68466 Dateien ohne Befall
381 Archive wurden durchsucht
0 Warnungen
7 Hinweise
Christoph |
|
10.10.2011, 19:47
| #8 | |
| /// Helfer-Team | TR/Graftor.1346; TR/Dldr.Unruy.H.12; TR/Dropper.Gen gefunden; Facebook Link 1. Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf: Code:
ATTFilter CCleaner -> Zeitweise laufen lassen:-> Anleitung Tool-Bereinigung mit OTL Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.
3. reinige dein System mit Ccleaner:
4. Führe den folgenden Schritt aus: Alle Systemwiederherstellungspunkte löschen, auch den Letzten 5. Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern z.B. Login-, Mail- oder Website-Passwörter Tipps: Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern) auch noch hier unter: Sicheres Kennwort (Password) 6. ► für Windows das Service Pack bitte aufspielen!:-> - Microsoft Update hält Ihren Computer auf dem neuesten Stand! ► Internet Explorer ebenfalls (Version 9 ist aktuell) Software wie Betriebssysteme, Browser und E-Mail Clients werden laufend weiterentwickelt. Gleichzeitig arbeiten jedoch auch Hacker daran, ständig neue Sicherheitslücken zu finden und auszunutzen. Was heute noch keine Schlupflücke für Viren und Würmer ist, kann morgen bereits zur Gefahr werden, wenn der entsprechende Schädling programmiert wurde. Das führt dazu, dass es relativ häufig zu Meldungen über neue Sicherheitsanfälligkeiten kommt, auch wenn diese noch nicht durch Hacker entdeckt wurden. Denn selbstverständlich suchen auch Sicherheitsspezialisten nach potenziellen Angriffsmöglichkeiten. Updates der Softwareentwickler sorgen dafür, dass der User immer die aktuellste und sicherste Version des Betriebssystems und der installierten Software nutzen kann. Lesestoff Nr.1:
** Der gesunde Menschenverstand, Windows und Internet-Software sicher konfigurieren ist der beste Weg zur Sicherheit im Webverkehr ist !! Zitat:
► Kann sich auf Dauer eine Menge Datenmüll ansammeln, sich Fehlermeldungen häufen, der PC ist wahrscheinlich nicht mehr so schnell, wie früher:
__________________ Warnung!: Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein! Anhang nicht öffnen, in unserem Forum erst nachfragen! Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten! Bitte diese Warnung weitergeben, wo Du nur kannst! |
|
11.10.2011, 10:52
| #9 |
| | TR/Graftor.1346; TR/Dldr.Unruy.H.12; TR/Dropper.Gen gefunden; Facebook Link Hallo, vielen Dank erst mal, aber der Rechner ist immer noch nicht sauber. Hab heute noch mal Antivir laufen lassen. Als ich die Logdatei speichern wollte kommt diese Fehlermeldung: Code:
ATTFilter [Window Title]
Der Pfad ist nicht verfügbar.
[Content]
C:\Windows\system32\config\systemprofile\Desktop bezieht sich auf einen Pfad, der nicht verfügbar ist. Dieser kann auf einer Festplatte dieses Computers oder im Netzwerk sein. Stellen Sie sicher, dass der Datenträger richtig eingelegt ist, bzw. dass eine Verbindung mit dem Internet oder dem eigenen Netzwerk besteht und wiederholen Sie den Vorgang. Es kann sein, dass die Informationen in einen anderen Pfad verschoben wurden, wenn der Pfad weiterhin nicht ermittelt werden kann.
[OK]
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 11. Oktober 2011 10:02
Es wird nach 3377382 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : USER-PC
Versionsinformationen:
BUILD.DAT : 10.2.0.703 35935 Bytes 29.08.2011 16:10:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 15:55:52
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 15:55:52
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 15:55:53
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 15:55:53
AVREG.DLL : 10.3.0.9 88833 Bytes 16.07.2011 17:03:24
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 22:52:05
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 21:53:37
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 16:13:30
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 18:11:09
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 22:03:01
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 16:31:50
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 18:27:17
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 18:27:17
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 18:27:17
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 18:27:17
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 18:27:17
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 18:27:17
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:04:49
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:04:50
VBASE015.VDF : 7.11.15.178 2048 Bytes 10.10.2011 12:04:50
VBASE016.VDF : 7.11.15.179 2048 Bytes 10.10.2011 12:04:50
VBASE017.VDF : 7.11.15.180 2048 Bytes 10.10.2011 12:04:50
VBASE018.VDF : 7.11.15.181 2048 Bytes 10.10.2011 12:04:50
VBASE019.VDF : 7.11.15.182 2048 Bytes 10.10.2011 12:04:51
VBASE020.VDF : 7.11.15.183 2048 Bytes 10.10.2011 12:04:51
VBASE021.VDF : 7.11.15.184 2048 Bytes 10.10.2011 12:04:51
VBASE022.VDF : 7.11.15.185 2048 Bytes 10.10.2011 12:04:51
VBASE023.VDF : 7.11.15.186 2048 Bytes 10.10.2011 12:04:51
VBASE024.VDF : 7.11.15.187 2048 Bytes 10.10.2011 12:04:51
VBASE025.VDF : 7.11.15.188 2048 Bytes 10.10.2011 12:04:51
VBASE026.VDF : 7.11.15.189 2048 Bytes 10.10.2011 12:04:51
VBASE027.VDF : 7.11.15.190 2048 Bytes 10.10.2011 12:04:51
VBASE028.VDF : 7.11.15.191 2048 Bytes 10.10.2011 12:04:51
VBASE029.VDF : 7.11.15.192 2048 Bytes 10.10.2011 12:04:52
VBASE030.VDF : 7.11.15.193 2048 Bytes 10.10.2011 12:04:52
VBASE031.VDF : 7.11.15.198 19456 Bytes 10.10.2011 12:04:52
Engineversion : 8.2.6.80
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.12.2010 22:52:06
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 04.10.2011 19:16:35
AESCN.DLL : 8.1.7.2 127349 Bytes 30.12.2010 22:52:06
AESBX.DLL : 8.2.1.34 323957 Bytes 02.06.2011 21:09:18
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 16:08:52
AEPACK.DLL : 8.2.10.11 684408 Bytes 24.09.2011 15:28:21
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 18.09.2011 15:34:58
AEHEUR.DLL : 8.1.2.177 3744120 Bytes 10.10.2011 12:04:58
AEHELP.DLL : 8.1.17.7 254327 Bytes 30.07.2011 20:51:04
AEGEN.DLL : 8.1.5.9 401780 Bytes 28.08.2011 18:45:51
AEEMU.DLL : 8.1.3.0 393589 Bytes 30.12.2010 22:52:05
AECORE.DLL : 8.1.23.0 196983 Bytes 28.08.2011 18:45:50
AEBB.DLL : 8.1.1.0 53618 Bytes 30.12.2010 22:52:05
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 15:55:52
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 19:52:23
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 15:55:52
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 15:55:52
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 28.06.2011 15:55:52
RCTEXT.DLL : 10.0.64.0 98664 Bytes 28.06.2011 15:55:52
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Dienstag, 11. Oktober 2011 10:02
Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '102' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'mscorsvw.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hotkey.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '155' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'PowerBiosServer.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'IJPLMSVC.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '89' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '155' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '106' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '498' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\$Recycle.Bin\S-1-5-21-1457166786-951226123-2151743682-1001\$R97AJPL\07.10.2011_13.02.17\mbr0000\mbr0000\tsk0000.dta
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.B
C:\$Recycle.Bin\S-1-5-21-1457166786-951226123-2151743682-1001\$R97AJPL\07.10.2011_13.02.17\mbr0000\tdlfs0000\tsk0004.dta
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.G
C:\$Recycle.Bin\S-1-5-21-1457166786-951226123-2151743682-1001\$R97AJPL\07.10.2011_13.02.17\mbr0001\mbr0000\tsk0000.dta
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.B
C:\$Recycle.Bin\S-1-5-21-1457166786-951226123-2151743682-1001\$R97AJPL\07.10.2011_13.02.17\mbr0001\tdlfs0000\tsk0004.dta
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.G
C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\70c8d5d4-6a8029c0
[0] Archivtyp: ZIP
--> support/Functions.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GK
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\48dc7923-5bacfb66
[0] Archivtyp: ZIP
--> support/Functions.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GK
Beginne mit der Desinfektion:
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35\48dc7923-5bacfb66
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GK
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Eine Exception wurde abgefangen!
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\70c8d5d4-6a8029c0
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Exdoer.GK
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
C:\$Recycle.Bin\S-1-5-21-1457166786-951226123-2151743682-1001\$R97AJPL\07.10.2011_13.02.17\mbr0001\tdlfs0000\tsk0004.dta
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.G
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
C:\$Recycle.Bin\S-1-5-21-1457166786-951226123-2151743682-1001\$R97AJPL\07.10.2011_13.02.17\mbr0001\mbr0000\tsk0000.dta
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.B
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
C:\$Recycle.Bin\S-1-5-21-1457166786-951226123-2151743682-1001\$R97AJPL\07.10.2011_13.02.17\mbr0000\tdlfs0000\tsk0004.dta
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.G
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
C:\$Recycle.Bin\S-1-5-21-1457166786-951226123-2151743682-1001\$R97AJPL\07.10.2011_13.02.17\mbr0000\mbr0000\tsk0000.dta
[FUND] Enthält Code des Bootsektorvirus BOO/TDss.B
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
Gruß Maxell |
|
11.10.2011, 12:44
| #10 |
| | TR/Graftor.1346; TR/Dldr.Unruy.H.12; TR/Dropper.Gen gefunden; Facebook Link Ok, sorry für den Doppelpost, aber ein weiterer Scan mit Antivir hat nun ergeben, dass alles ok ist. Ich hab nun die Quarantäne gelöscht und hoffe dass jetzt alles in Ordnung ist. Was meinen Sie dazu? Gruß, Maxell. Hier noch der Bericht: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 11. Oktober 2011 11:55
Es wird nach 3377382 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : USER-PC
Versionsinformationen:
BUILD.DAT : 10.2.0.703 35935 Bytes 29.08.2011 16:10:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 15:55:52
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 15:55:52
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 15:55:53
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 15:55:53
AVREG.DLL : 10.3.0.9 88833 Bytes 16.07.2011 17:03:24
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 22:52:05
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 21:53:37
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 16:13:30
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 18:11:09
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 22:03:01
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 16:31:50
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 18:27:17
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 18:27:17
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 18:27:17
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 18:27:17
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 18:27:17
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 18:27:17
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 12:04:49
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:04:50
VBASE015.VDF : 7.11.15.178 2048 Bytes 10.10.2011 12:04:50
VBASE016.VDF : 7.11.15.179 2048 Bytes 10.10.2011 12:04:50
VBASE017.VDF : 7.11.15.180 2048 Bytes 10.10.2011 12:04:50
VBASE018.VDF : 7.11.15.181 2048 Bytes 10.10.2011 12:04:50
VBASE019.VDF : 7.11.15.182 2048 Bytes 10.10.2011 12:04:51
VBASE020.VDF : 7.11.15.183 2048 Bytes 10.10.2011 12:04:51
VBASE021.VDF : 7.11.15.184 2048 Bytes 10.10.2011 12:04:51
VBASE022.VDF : 7.11.15.185 2048 Bytes 10.10.2011 12:04:51
VBASE023.VDF : 7.11.15.186 2048 Bytes 10.10.2011 12:04:51
VBASE024.VDF : 7.11.15.187 2048 Bytes 10.10.2011 12:04:51
VBASE025.VDF : 7.11.15.188 2048 Bytes 10.10.2011 12:04:51
VBASE026.VDF : 7.11.15.189 2048 Bytes 10.10.2011 12:04:51
VBASE027.VDF : 7.11.15.190 2048 Bytes 10.10.2011 12:04:51
VBASE028.VDF : 7.11.15.191 2048 Bytes 10.10.2011 12:04:51
VBASE029.VDF : 7.11.15.192 2048 Bytes 10.10.2011 12:04:52
VBASE030.VDF : 7.11.15.193 2048 Bytes 10.10.2011 12:04:52
VBASE031.VDF : 7.11.15.198 19456 Bytes 10.10.2011 12:04:52
Engineversion : 8.2.6.80
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.12.2010 22:52:06
AESCRIPT.DLL : 8.1.3.81 467322 Bytes 04.10.2011 19:16:35
AESCN.DLL : 8.1.7.2 127349 Bytes 30.12.2010 22:52:06
AESBX.DLL : 8.2.1.34 323957 Bytes 02.06.2011 21:09:18
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 16:08:52
AEPACK.DLL : 8.2.10.11 684408 Bytes 24.09.2011 15:28:21
AEOFFICE.DLL : 8.1.2.15 201083 Bytes 18.09.2011 15:34:58
AEHEUR.DLL : 8.1.2.177 3744120 Bytes 10.10.2011 12:04:58
AEHELP.DLL : 8.1.17.7 254327 Bytes 30.07.2011 20:51:04
AEGEN.DLL : 8.1.5.9 401780 Bytes 28.08.2011 18:45:51
AEEMU.DLL : 8.1.3.0 393589 Bytes 30.12.2010 22:52:05
AECORE.DLL : 8.1.23.0 196983 Bytes 28.08.2011 18:45:50
AEBB.DLL : 8.1.1.0 53618 Bytes 30.12.2010 22:52:05
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 11:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 15:55:52
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 19:52:23
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 15:55:52
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 15:55:52
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 12:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 15:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 14:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 28.06.2011 15:55:52
RCTEXT.DLL : 10.0.64.0 98664 Bytes 28.06.2011 15:55:52
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Dienstag, 11. Oktober 2011 11:55
Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '76' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'TrustedInstaller.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SeaPort.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'PowerBiosServer.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'IJPLMSVC.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'conhost.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdate.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hotkey.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '148' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '498' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
Ende des Suchlaufs: Dienstag, 11. Oktober 2011 12:57
Benötigte Zeit: 1:01:36 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
21568 Verzeichnisse wurden überprüft
625828 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
625828 Dateien ohne Befall
3921 Archive wurden durchsucht
0 Warnungen
0 Hinweise
|
|
| Themen zu TR/Graftor.1346; TR/Dldr.Unruy.H.12; TR/Dropper.Gen gefunden; Facebook Link |
| autorun, avira, backdoor.ircbot, benutzerregistrierung, bho, canon, desktop, error, excel.exe, facebook link, fehler, festplatte, firefox, flash player, google earth, helper, home, install.exe, locker, logfile, malware, microsoft office word, nicht gefunden, nt.dll, ntdll.dll, nvlddmkm.sys, object, office 2007, plug-in, popup, programm, realtek, registry, richtlinie, rundll, sched.exe, security, security update, senden, shell32.dll, software, svchost.exe, taskhost.exe, version=1.0, webcheck, windows, wuauclt.exe |
.
) Eine weitere höchst unsichere Quelle ist das File-Sharing der sog. (Musik-)Tauschbörsen. 
Linear-Darstellung
