TROJANER Ransom.bxra u. EyeStye.N.1969

lyne20 · 23.11.2011, 14:52

Hallo,
ich verwende als Betriebssystem Windows XP und für die Anti-Virus Erkennung: Avira AntiVir.
Dieses Programm hat nun 2 Trojaner (Ransom.bxra und EyeStye.N.1969***)
entdeckt und in die Quarantäne gelegt.
Ist es damit getan oder was muss ich tun.
danke im voraus für dieser Service auf dieser Webseite!
***) es gibt bei "EyeStye" verschiedene Nummern. einige konnte ich bereits
in die Quarantäne legen und sind seitdem nicht mehr aufgetaucht. Es kommt
mir vor, als ob dieser Virus immer andere neue Nummern entwickelt und sich
so am Leben hält.

hier der log-file:

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Mittwoch, 23. November 2011 13:05

Es wird nach 3588348 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : XXXX
Seriennummer : XXXX
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : XXXX

Versionsinformationen:
BUILD.DAT : 10.2.0.732 36208 Bytes 28.09.2011 13:03:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 28.06.2011 12:58:39
AVSCAN.DLL : 10.0.5.0 57192 Bytes 28.06.2011 12:58:39
LUKE.DLL : 10.3.0.5 45416 Bytes 28.06.2011 12:58:40
LUKERES.DLL : 10.0.0.0 13672 Bytes 27.03.2010 17:42:49
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 28.06.2011 12:58:40
AVREG.DLL : 10.3.0.9 88833 Bytes 12.07.2011 09:27:02
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:25:04
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:44:57
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 17:28:04
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 14:26:01
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 14:04:34
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 12:42:08
VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 17:41:31
VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 11:27:21
VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 11:27:21
VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 11:27:21
VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 11:27:21
VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 11:27:21
VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 11:27:21
VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 10:21:57
VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 12:21:28
VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 14:29:39
VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 14:58:30
VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 11:59:43
VBASE018.VDF : 7.11.16.77 139264 Bytes 20.10.2011 13:01:33
VBASE019.VDF : 7.11.16.112 162816 Bytes 24.10.2011 11:09:06
VBASE020.VDF : 7.11.16.150 167424 Bytes 26.10.2011 14:40:57
VBASE021.VDF : 7.11.16.187 171520 Bytes 28.10.2011 13:33:50
VBASE022.VDF : 7.11.16.209 190976 Bytes 31.10.2011 10:24:24
VBASE023.VDF : 7.11.16.243 158208 Bytes 02.11.2011 17:11:40
VBASE024.VDF : 7.11.17.21 194560 Bytes 06.11.2011 14:13:07
VBASE025.VDF : 7.11.17.101 202752 Bytes 09.11.2011 16:31:39
VBASE026.VDF : 7.11.17.137 214528 Bytes 11.11.2011 16:28:24
VBASE027.VDF : 7.11.17.154 278528 Bytes 14.11.2011 16:44:55
VBASE028.VDF : 7.11.17.197 175616 Bytes 16.11.2011 16:25:27
VBASE029.VDF : 7.11.17.233 281088 Bytes 20.11.2011 16:18:59
VBASE030.VDF : 7.11.18.10 221696 Bytes 22.11.2011 09:00:46
VBASE031.VDF : 7.11.18.16 14336 Bytes 23.11.2011 10:58:25
Engineversion : 8.2.6.116
AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 13:17:52
AESCRIPT.DLL : 8.1.3.86 471420 Bytes 17.11.2011 22:33:49
AESCN.DLL : 8.1.7.2 127349 Bytes 22.11.2010 12:16:09
AESBX.DLL : 8.2.1.34 323957 Bytes 01.06.2011 21:05:07
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 09:05:09
AEPACK.DLL : 8.2.13.4 684406 Bytes 10.11.2011 17:09:52
AEOFFICE.DLL : 8.1.2.20 201083 Bytes 17.11.2011 22:33:48
AEHEUR.DLL : 8.1.2.192 3838328 Bytes 17.11.2011 22:33:48
AEHELP.DLL : 8.1.18.0 254327 Bytes 25.10.2011 13:17:50
AEGEN.DLL : 8.1.5.14 405877 Bytes 17.11.2011 22:33:47
AEEMU.DLL : 8.1.3.0 393589 Bytes 22.11.2010 12:16:08
AECORE.DLL : 8.1.24.0 196983 Bytes 25.10.2011 13:17:50
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 14:10:28
AVWINLL.DLL : 10.0.0.0 19304 Bytes 27.03.2010 17:42:48
AVPREF.DLL : 10.0.3.2 44904 Bytes 28.06.2011 12:58:39
AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 10:43:45
AVARKT.DLL : 10.0.26.1 255336 Bytes 28.06.2011 12:58:39
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 28.06.2011 12:58:39
SQLITE3.DLL : 3.6.19.0 355688 Bytes 27.03.2010 17:42:49
AVSMTP.DLL : 10.0.0.17 63848 Bytes 27.03.2010 17:42:49
NETNT.DLL : 10.0.0.0 11624 Bytes 27.03.2010 17:42:49
RCIMAGE.DLL : 10.0.0.33 2633064 Bytes 28.06.2011 12:58:39
RCTEXT.DLL : 10.0.63.0 98664 Bytes 28.06.2011 12:58:39

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 23. November 2011 13:05

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad++.exe' - '86' Modul(e) wurden durchsucht
Durchsuche Prozess 'Integrator.exe' - '155' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp32.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService32.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '94' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '15' Modul(e) wurden durchsucht
Durchsuche Prozess 'SSScheduler.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'OctoshapeClient.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '100' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '372' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\B6232F3A2AD.exe.q_Quarantine_2D3B002_q
[FUND] Ist das Trojanische Pferd TR/Ransom.bxra
C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP501\A0058142.exe
[FUND] Ist das Trojanische Pferd TR/EyeStye.N.1969
Beginne mit der Suche in 'D:\' <SYSTEMNEU>
Beginne mit der Suche in 'E:\' <DATENNEU>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP501\A0058142.exe
[FUND] Ist das Trojanische Pferd TR/EyeStye.N.1969
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4db552c8.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\B6232F3A2AD.exe.q_Quarantine_2D3B002_q
[FUND] Ist das Trojanische Pferd TR/Ransom.bxra
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55207d56.qua' verschoben!

Ende des Suchlaufs: Mittwoch, 23. November 2011 14:33
Benötigte Zeit: 1:27:37 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

33643 Verzeichnisse wurden überprüft
615811 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
615809 Dateien ohne Befall
3874 Archive wurden durchsucht
0 Warnungen
2 Hinweise
433214 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

markusg · 23.11.2011, 15:17

hi
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)

Doppelklick auf die
OTL.exe

Vista und Win7 User mit Rechtsklick "als Administrator starten"
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal
Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan
links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

lyne20 · 23.11.2011, 16:07

Hallo,
ich habe mir von der Webseite hxxp://oldtimer.geekstogo.com/OTL.exe
das Programm OTL runtergeladen (Version ist 3.2.31.0)

Hier die beiden Logfiles:
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 23.11.2011 15:27:06 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 2,26 Gb Available Physical Memory | 75,72% Memory free
8,83 Gb Paging File | 8,01 Gb Available in Paging File | 90,75% Paging File free
Paging file location(s): [Binary data over 100 bytes]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 465,75 Gb Total Space | 440,39 Gb Free Space | 94,55% Space Free | Partition Type: NTFS
Drive D: | 17,57 Gb Total Space | 5,36 Gb Free Space | 30,54% Space Free | Partition Type: FAT32
Drive E: | 11,04 Gb Total Space | 11,04 Gb Free Space | 100,00% Space Free | Partition Type: FAT32
Drive F: | 648,54 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: XXXX | User Name: XXXX | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe (TuneUp Software)
PRC - C:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesApp32.exe (TuneUp Software)
PRC - C:\Programme\Avira\AntiVir Desktop\avscan.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Notepad++\notepad++.exe (Don HO don.h@free.fr)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Web-Design\Adobe\Photoshop6.0\Photoshp.exe (Adobe Systems, Incorporated)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
MOD - C:\Programme\Mozilla Firefox\js3250.dll ()
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\Programme\Notepad++\plugins\LightExplorer.dll ()
MOD - C:\Programme\Notepad++\plugins\ComparePlugin.dll ()
MOD - C:\Programme\OpenOffice.org 3\program\libxml2.dll ()
MOD - C:\WINDOWS\system32\nvshell.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU ()
MOD - C:\Programme\Notepad++\plugins\NppNetNote.dll ()
MOD - C:\Programme\Notepad++\plugins\NppExport.dll ()
MOD - C:\Programme\Notepad++\plugins\Config\tidy\libTidy.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) --  File not found
SRV - (AppMgmt) --  File not found
SRV - (TuneUp.UtilitiesSvc) -- C:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe (TuneUp Software)
SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE (Avira GmbH)
SRV - (AntiVirMailService) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (McComponentHostService) -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (TuneUpUtilitiesDrv) -- C:\Programme\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys (TuneUp Software)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (Ambfilt) -- C:\WINDOWS\system32\drivers\Ambfilt.sys (Creative)
DRV - (SNXPPALX) -- C:\WINDOWS\system32\drivers\snxppalx.sys ()
DRV - (SNXPCARD) -- C:\WINDOWS\system32\drivers\snxpcard.sys ()
DRV - (Monfilt) -- C:\WINDOWS\system32\drivers\Monfilt.sys (Creative Technology Ltd.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.t-online.de"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: firebug@software.joehewitt.com:1.6.2
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\3.0.40818.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@octoshape.com/Octoshape Streaming Services,version=1.0: C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Octoshape\Octoshape Streaming Services\sua-1101262-0-npoctoshape.dll (Octoshape ApS)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.06.23 14:01:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.21 17:09:44 | 000,000,000 | ---D | M]
 
[2010.01.19 14:55:05 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Mozilla\Extensions
[2011.07.06 14:20:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\knrbc8qb.default\extensions
[2011.04.13 18:29:03 | 000,000,000 | ---D | M] (Firebug) -- C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\knrbc8qb.default\extensions\firebug@software.joehewitt.com
[2011.07.06 14:20:32 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.05.27 19:11:14 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.05.27 19:11:03 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2010.04.01 17:54:38 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.04.01 17:54:38 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010.04.01 17:54:38 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.04.01 17:54:38 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.04.01 17:54:38 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.11.18 20:54:24 | 000,000,761 | RHS- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [Octoshape Streaming Services] C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\xxxx\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 28
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{2DD1CE24-7AE9-4EF3-B218-94F5C3D3AA9D}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.01.16 15:53:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006.07.20 19:31:46 | 000,000,134 | ---- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]
O32 - AutoRun File - [2004.10.09 00:07:00 | 000,000,000 | ---D | M] - D:\Auto -- [ FAT32 ]
O32 - AutoRun File - [1996.12.14 10:52:00 | 000,000,063 | R--- | M] () - F:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{c9142074-02b4-11df-b83d-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{c9142074-02b4-11df-b83d-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c9142074-02b4-11df-b83d-806d6172696f}\Shell\AutoRun\command - "" = AUTORUN\AUTORUN.EXE
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.11.23 11:17:28 | 000,031,552 | ---- | C] (TuneUp Software) -- C:\WINDOWS\System32\TURegOpt.exe
[2011.11.23 11:17:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TuneUp Utilities 2012
[2011.11.23 11:17:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\TuneUp Software
[2011.11.23 11:16:55 | 000,000,000 | ---D | C] -- C:\Programme\TuneUp Utilities 2012
[2011.11.23 11:16:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2011.11.23 11:15:55 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2011.11.21 16:12:42 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxxx\Recent
[2011.11.19 16:01:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2011.11.19 16:01:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Security Task Manager
[2011.11.19 16:01:07 | 000,000,000 | ---D | C] -- C:\Programme\Security Task Manager
[2011.11.19 09:26:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.11.23 15:25:01 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.11.23 15:25:00 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.11.23 11:17:26 | 000,001,711 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TuneUp 1-Klick-Wartung.lnk
[2011.11.23 11:17:26 | 000,001,707 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TuneUp Utilities 2012.lnk
[2011.11.23 11:15:34 | 000,000,581 | ---- | M] () -- C:\WINDOWS\PCRAIL.INI
[2011.11.23 10:02:38 | 000,316,924 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.11.23 10:02:38 | 000,311,740 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.11.23 10:02:38 | 000,048,354 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.11.23 10:02:38 | 000,040,128 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.11.23 09:58:22 | 000,235,289 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2011.11.23 09:58:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.11.19 09:26:34 | 000,001,887 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2011.11.18 20:54:24 | 000,000,761 | RHS- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.11.18 14:13:54 | 000,031,552 | ---- | M] (TuneUp Software) -- C:\WINDOWS\System32\TURegOpt.exe
[2011.11.14 09:44:54 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.11.23 11:17:26 | 000,001,711 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TuneUp 1-Klick-Wartung.lnk
[2011.11.23 11:17:26 | 000,001,707 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\TuneUp Utilities 2012.lnk
[2011.11.23 11:17:25 | 000,001,713 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TuneUp Utilities 2012.lnk
[2011.11.19 09:26:34 | 000,001,887 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk
[2011.08.20 15:00:00 | 000,000,581 | ---- | C] () -- C:\WINDOWS\PCRAIL.INI
[2010.12.25 02:53:18 | 000,123,392 | ---- | C] () -- C:\WINDOWS\System32\UnCasinoV5DUE.exe
[2010.11.28 21:13:38 | 000,000,152 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2010.11.28 21:13:23 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD-Start.INI
[2010.06.07 23:31:40 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.02.28 21:00:12 | 000,000,026 | ---- | C] () -- C:\WINDOWS\neosetup.INI
[2010.01.20 17:39:26 | 000,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.19 14:54:53 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.01.16 16:09:12 | 000,078,848 | ---- | C] () -- C:\WINDOWS\System32\drivers\snxppalx.sys
[2010.01.16 16:09:12 | 000,054,912 | ---- | C] () -- C:\WINDOWS\System32\drivers\snxpserx.sys
[2010.01.16 16:09:12 | 000,027,136 | ---- | C] () -- C:\WINDOWS\System32\snxprops.dll
[2010.01.16 16:09:12 | 000,017,536 | ---- | C] () -- C:\WINDOWS\System32\drivers\snxpcard.sys
[2010.01.16 16:00:33 | 000,073,728 | R--- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2010.01.16 15:54:51 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.01.16 15:51:18 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.01.16 15:44:55 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.01.16 15:43:46 | 000,107,808 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009.06.10 11:33:00 | 001,580,550 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2009.06.10 08:29:34 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2009.06.10 08:29:34 | 001,657,376 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2009.06.10 08:29:34 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2009.06.10 08:29:34 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2009.06.10 08:29:34 | 000,449,056 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2009.06.10 08:29:34 | 000,436,768 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2009.06.10 08:29:32 | 001,507,328 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll
[2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
[2008.04.14 13:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008.04.14 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008.04.14 13:00:00 | 000,316,924 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008.04.14 13:00:00 | 000,311,740 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008.04.14 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008.04.14 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008.04.14 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008.04.14 13:00:00 | 000,048,354 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008.04.14 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008.04.14 13:00:00 | 000,040,128 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008.04.14 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008.04.14 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008.04.14 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008.04.14 13:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008.04.14 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008.04.14 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A8ADE5D8
@Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2

< End of report >

--- --- ---

----------------------------------------------------------------------------------------------------------

OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 23.11.2011 15:27:06 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\xxxx\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 2,26 Gb Available Physical Memory | 75,72% Memory free
8,83 Gb Paging File | 8,01 Gb Available in Paging File | 90,75% Paging File free
Paging file location(s): [Binary data over 100 bytes]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 465,75 Gb Total Space | 440,39 Gb Free Space | 94,55% Space Free | Partition Type: NTFS
Drive D: | 17,57 Gb Total Space | 5,36 Gb Free Space | 30,54% Space Free | Partition Type: FAT32
Drive E: | 11,04 Gb Total Space | 11,04 Gb Free Space | 100,00% Space Free | Partition Type: FAT32
Drive F: | 648,54 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: xxxx | User Name: xxxx| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Neoact\Carom3D\carom.exe" = C:\Program Files\Neoact\Carom3D\carom.exe:*:Enabled:Carom -- (NEOACT)
"C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" = C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe:*:Disabled:Main program for Octoshape client -- (Octoshape ApS)
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{23AAC6D0-43C1-4BC6-8D88-361AA5912FDB}" = PC-Rail 4
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{32364CEA-7855-4A3C-B674-53D8E9B97936}" = TuneUp Utilities 2012
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{B83FC356-B7C0-441F-8A4D-D71E088E7974}" = NVIDIA PhysX
"{c6f845e9-16ab-49b3-8043-a74f034a35ad}" = Slots Oasis
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CE026CFE-73FE-4FED-9D5F-2C8D4DB512B0}" = TuneUp Utilities Language Pack (de-DE)
"{D765F1CE-5AE5-4C47-B134-AE58AC474740}" = OpenOffice.org 3.1
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"6227DDCFEC35A19D1C033203734A00C0723B3F29" = Windows Driver Package - Manufacturer Golden Adapter Driver (12/20/2007 6.4.2.1)
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Premium
"C3AE31D82448618DF06488B9202027413033C20D" = Windows Driver Package - Manufacturer Golden Port Driver (12/20/2007 6.4.2.1)
"Carom3D" = Carom3D
"CCleaner" = CCleaner
"ElsterFormular 11.1.3.3887" = ElsterFormular
"ElsterFormular für Unternehmer 12.2.0.6412u" = ElsterFormular für Unternehmer
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"McAfee Security Scan" = McAfee Security Scan Plus
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)
"Notepad++" = Notepad++
"NVIDIA Drivers" = NVIDIA Drivers
"PKR" = PKR
"PKRCasino" = PKRCasino
"RAILY 4 SE_is1" = RAILY 4 SE
"Security Task Manager" = Security Task Manager 1.8d
"TuneUp Utilities 2012" = TuneUp Utilities 2012
"VLC media player" = VLC media player 1.1.5
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Octoshape Streaming Services" = Octoshape Streaming Services
"TeXLive2010" = TeX Live 2010
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 16.11.2011 05:16:44 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 16.11.2011 08:25:01 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 16.11.2011 10:25:30 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 17.11.2011 04:31:55 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 17.11.2011 06:33:50 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 18.11.2011 05:50:38 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 18.11.2011 09:26:38 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 19.11.2011 04:19:48 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 19.11.2011 10:27:55 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 19.11.2011 10:46:28 | Computer Name = xxxx | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
[ System Events ]
Error - 19.11.2011 11:10:51 | Computer Name = xxxx | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx  | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx  | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx  | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx  | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx   | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx  | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx |  Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 19.11.2011 11:10:52 | Computer Name = xxxx | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126
 
 
< End of report >

--- --- ---

markusg · 23.11.2011, 16:09

sind da noch logs von avira mit weiteren funden?
bitte mal posten, der zeitraum wo deine probleme angefangen haben reicht

lyne20 · 23.11.2011, 16:28

hier kein Text

lyne20 · 23.11.2011, 16:33

Folgende Virus tauchten ebenso einmal ab 16. November auf

-Spy.SpyEyes
-EXP/Pdfka.QB
-TR/Crypt.XPACK.Gen2

diese wurde ebenso in die Quarantäne geschickt - seitdem melden sie sich nicht mehr, bis auf die letztgenannten 'EyeStye' und 'Ransom.bxra'. Ich muss dazu sagen, dass ich auch das Problem habe, dass Verlinkungen bei in GOOGLE eingegebenen Suchbegriffen 1. langsam und 2. nicht immer zielgerichtet sind, d.h. ich werde auf andere Seiten verlinkt (wo ich natrülich aufpasse). Erst beim 2. oder 3. Mal verlinkt Google dann richtig. Dieses Problem taucht sporadisch auf (also nicht jedemal).

HIER die EREIGNISSE ab 16. November aufgezeichnet von AVIRA AntiVir:

16. November:

In der Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP500\A0057920.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/EyeStye.N.1775' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP500\A0057920.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1775' [trojan].
Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c547020.qua' verschoben!

17. November:

In der Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP500\A0057965.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/EyeStye.N.1780' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP500\A0057965.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1780' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c536bd5.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP500\A0058012.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1814' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dee465c.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1YZ4H67\f3ba3[1].pdf'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pdfka.QB' [exploit].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '06f43317.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP499\A0057888.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.SpyEyes.abdq' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '557969fb.qua' verschoben!

Die Datei 'C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1YZ4H67\f3ba3[1].pdf'
enthielt einen Virus oder unerwünschtes Programm 'EXP/Pdfka.QB' [exploit].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Eine Exception wurde abgefangen!

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP499\A0057888.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.SpyEyes.abdq' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Eine Instanz der ARK Library läuft bereits.
Die Datei wurde zum Löschen nach einem Neustart markiert.
Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP500\A0058012.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1814' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Eine Exception wurde abgefangen!
Die Datei wurde zum Löschen nach einem Neustart markiert.
Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.

18.November

In der Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP502\A0058223.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/EyeStye.N.1881' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP502\A0058223.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1881' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c500599.qua' verschoben!

In der Datei 'C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temp\5686.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Zugriff erlauben

Die Datei 'C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temp\5686.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen2' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c581941.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP501\A0058116.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1824' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d811ecd.qua' verschoben!

21. November

In der Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP503\A0058404.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/EyeStye.N.2009' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP503\A0058404.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.2009' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c5cfe62.qua' verschoben!

In der Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP504\A0058418.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Ransom.bxra' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP504\A0058418.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.bxra' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c5cc8fc.qua' verschoben!

23. November

Die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\B6232F3A2AD.exe.q_Quarantine_2D3B002_q'
enthielt einen Virus oder unerwünschtes Programm 'TR/Ransom.bxra' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55207d56.qua' verschoben!

Die Datei 'C:\System Volume Information\_restore{A27A5CA5-C9AF-4105-804A-467B2654B05C}\RP501\A0058142.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/EyeStye.N.1969' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4db552c8.qua' verschoben!

markusg · 23.11.2011, 16:38

danke
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

lyne20 · 23.11.2011, 17:14

Hallo, ComboFix habe ich durchgeführt. Hier der Logfile. ich hoffe, das hilft weiter.

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-11-23.01 - xxxx 23.11.2011  17:02:35.1.4 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.3062.2501 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxxx\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
C:\Recycle.Bin
c:\recycle.bin\D3B6FA6FEFAE31C
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-10-23 bis 2011-11-23  ))))))))))))))))))))))))))))))
.
.
2011-11-23 10:17 . 2011-11-18 13:13	31552	----a-w-	c:\windows\system32\TURegOpt.exe
2011-11-23 10:17 . 2011-11-23 10:17	--------	d-----w-	c:\dokumente und einstellungen\xxxx\Anwendungsdaten\TuneUp Software
2011-11-23 10:16 . 2011-11-23 10:17	--------	d-----w-	c:\programme\TuneUp Utilities 2012
2011-11-23 10:16 . 2011-11-23 10:17	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2011-11-23 10:15 . 2011-11-23 10:15	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{32364CEA-7855-4A3C-B674-53D8E9B97936}
2011-11-19 15:01 . 2011-11-23 13:33	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2011-11-19 15:01 . 2011-11-19 15:01	--------	d-----w-	c:\programme\Security Task Manager
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Octoshape Streaming Services"="c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2009-01-08 70936]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-07-20 18670592]
"nwiz"="nwiz.exe" [2009-06-10 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-06-10 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-06-10 13758464]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\xxxx\Startmenü\Programme\Autostart\
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Neoact\\Carom3D\\carom.exe"=
"c:\\Dokumente und Einstellungen\\xxxx\\Anwendungsdaten\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
.
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [21.01.2010 16:27 340136]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.01.2010 16:27 136360]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [21.01.2010 16:27 428200]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\programme\TuneUp Utilities 2012\TuneUpUtilitiesService32.exe [18.11.2011 14:13 1510720]
R3 SNXPCARD;Golden Series Multiport Adapter Driver;c:\windows\system32\drivers\snxpcard.sys [16.01.2010 16:09 17536]
R3 SNXPPALX;Golden Parallel Port Driver;c:\windows\system32\drivers\snxppalx.sys [16.01.2010 16:09 78848]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\programme\TuneUp Utilities 2012\TuneUpUtilitiesDriver32.sys [08.11.2011 21:25 10064]
S2 gupdate;Google Update-Dienst (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [15.06.2011 17:05 136176]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [16.01.2010 16:01 1684736]
S3 gupdatem;Google Update-Dienst (gupdatem);c:\programme\Google\Update\GoogleUpdate.exe [15.06.2011 17:05 136176]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 13:49 227232]
S3 MSICDSetup;MSICDSetup;\??\f:\cdriver.sys --> f:\CDriver.sys [?]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - TUNEUP.UTILITIESSVC
*NewlyCreated* - TUNEUPUTILITIESDRV
.
Inhalt des "geplante Tasks" Ordners
.
2011-11-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-06-15 16:05]
.
2011-11-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-06-15 16:05]
.
.
------- Zusätzlicher Suchlauf -------
.
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.2.1
FF - ProfilePath - c:\dokumente und einstellungen\xxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\knrbc8qb.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Firebug: firebug@software.joehewitt.com - %profile%\extensions\firebug@software.joehewitt.com
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-11-23 17:04
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
.
c:\dokume~1\xxxx\LOKALE~1\Temp\catchme.dll 53248 bytes executable
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 1
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1177238915-1326574676-682003330-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'lsass.exe'(980)
c:\programme\Avira\AntiVir Desktop\avsda.dll
.
Zeit der Fertigstellung: 2011-11-23  17:05:12
ComboFix-quarantined-files.txt  2011-11-23 16:05
.
Vor Suchlauf: 17 Verzeichnis(se), 473.081.982.976 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 473.155.092.480 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 461FDC84C25004FFAD8C38C463FF90EB

--- --- ---

markusg · 23.11.2011, 17:31

nutzt du das system für onlinebanking einkäufe oder sonstiges wichtiges wie zb berufliches?

lyne20 · 23.11.2011, 17:45

Hallo Marcus, ja für onlinebanking, paypal. hier gibt es aber keine Probleme bezüglich Passwortklau. ich weiss immer, dass ich auf der offiziellen Seite bin!

ich passe natürlich auf und mir sind noch keine dubiosen Verlinkungen/Seiten mit Aufforderung zur Eingabe eines Passwortes aufgetaucht. Meine Systemauslastung ist z.Z bei gewöhnlichen 0 % bis 3 % (also alles
im grünen Bereich).

Aber trotzdem stört mich, dass ich bei in Google eingegebenen Suchwörtern manchmal falsch verlinkt werde.
Dort wohin ich dann verlinkt werde, waren bisher immer harmlose Seiten. Trotzdem ist dies ja ein Bug irgendwo.
Und die Google-Suche dauert auch so ca. 2-3 Sekunden, normalerweise spuckt Google doch die Links in Millisekundentakt aus.
irgendetwas verlangsamt das System.

was kann ich noch tun ??

markusg · 23.11.2011, 17:54

hi,
1. musst du mal dein onlinebanking sperren lassen, du hast ne malware auf dem pc die onlinebanking daten stiehlt.
notfall nummer:
116 116
dann solltest du das system formatieren, dieses system ist nicht mehr vertrauenswürdig! ich muss mir aber noch etwas ansehen:

download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
lösche niths, nur log posten

lyne20 · 23.11.2011, 19:16

das Programm von Kaspersky TDSSKiller führte ich durch:

das Logfile konnte ich nicht kopieren (es ist ein Bild)
daher die Wiederhabe in Textform:

SNXPCARD
(suspicious object - medium risk)

SNXPPALX
(suspicious object - medium risk)

ich werde beide nachher löschen.
dann wieder AVIRA laufen lassen und die anderen Programme.

markusg · 23.11.2011, 19:18

nein das wirst du bitte nicht.
das tdss killer log liegt auf c:\

lyne20 · 23.11.2011, 19:21

das Bild konnte ich jetzt hochladen, s. anhang

lyne20 · 23.11.2011, 19:23

ok, es liegt auf C:
einen Moment...

23.11.2011, 19:18	#13
markusg /// Malware-holic	TROJANER Ransom.bxra u. EyeStye.N.1969 nein das wirst du bitte nicht. das tdss killer log liegt auf c:\ __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

TROJANER Ransom.bxra u. EyeStye.N.1969

Log-Analyse und Auswertung: TROJANER Ransom.bxra u. EyeStye.N.1969