|
Log-Analyse und Auswertung: Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglichWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
18.12.2011, 15:02 | #16 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
18.12.2011, 15:24 | #17 |
| Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich Combofix Logfile:
__________________Code:
ATTFilter ComboFix 11-12-17.05 - Vorname 18.12.2011 15:13:27.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1022.525 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Vorname\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dokumente und einstellungen\Vorname\WINDOWS c:\programme\INSTALL.LOG c:\windows\system32\c6501a3d.dll c:\windows\system32\win.ini . . ((((((((((((((((((((((( Dateien erstellt von 2011-11-18 bis 2011-12-18 )))))))))))))))))))))))))))))) . . 2011-12-11 10:26 . 2011-12-11 10:26 -------- d-----w- c:\programme\ESET 2011-12-11 10:06 . 2011-12-11 10:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2011-12-11 10:05 . 2011-12-11 10:06 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2011-12-11 10:05 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-12-11 10:05 . 2011-12-11 10:05 -------- d-----w- c:\dokumente und einstellungen\Vorname\Anwendungsdaten\Malwarebytes 2011-12-07 02:18 . 2011-07-13 02:55 2237440 ----a-r- C:\OTLPE.exe 2011-12-07 02:17 . 2011-12-06 20:47 -------- d-----w- C:\_OTL 2011-12-04 10:29 . 2011-12-04 10:29 -------- d-----w- c:\dokumente und einstellungen\Administrator . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-11-18 06:33 . 2011-05-15 17:14 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2011-10-10 14:22 . 2007-03-06 18:11 692736 ----a-w- c:\windows\system32\inetcomm.dll 2011-09-28 07:06 . 2002-12-31 12:00 604160 ----a-w- c:\windows\system32\crypt32.dll 2011-09-26 09:41 . 2008-07-29 17:59 614912 ----a-w- c:\windows\system32\uiautomationcore.dll 2011-09-26 09:41 . 2002-12-31 12:00 23040 ----a-w- c:\windows\system32\oleaccrc.dll 2011-09-26 09:41 . 2002-12-31 12:00 220160 ----a-w- c:\windows\system32\oleacc.dll 2011-10-21 14:41 . 2011-08-22 20:04 134104 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ClipIncSrvTray"="c:\programme\Tobit ClipInc\Player\ClipIncTray.exe" [2009-03-16 668424] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040] "NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648] "FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320] "CmUCRRun"="c:\windows\system32\CmUCReye.exe" [2006-07-12 237568] "CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2009-10-19 1983816] "CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2009-09-04 767312] "IJNetworkScanUtility"="c:\programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe" [2009-05-19 136544] "AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656] "LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2010-09-15 339312] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920] "APSDaemon"="c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-10-09 421736] "Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\ICQ\\Icq.exe"= "c:\\Programme\\fotobuch.de AG\\Designer\\Designer.exe"= "d:\\Software,Downloads\\miranda-im-v0.6.8-unicode\\miranda32.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Sony Ericsson\\Update Service\\Update Service.exe"= "c:\\Programme\\Tobit ClipInc\\Server\\ClipInc-Server.exe"= "c:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"= "c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"= "c:\\Programme\\ICQ7.2\\ICQ.exe"= "c:\\Programme\\ICQ7.2\\aolload.exe"= "c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= . R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [27.07.2007 09:13 330144] R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [27.07.2007 11:46 251680] R2 ClipInc001;ClipInc 001;c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 --> c:\programme\Tobit ClipInc\Server\ClipInc-Server.exe 001 [?] R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [11.12.2011 11:06 366152] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [11.12.2011 11:05 22216] R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [04.01.2010 19:21 27632] S2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe --> c:\programme\ICQ6Toolbar\ICQ Service.exe [?] S3 CMISTOR;CMIUCR.SYS CM320/CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [05.01.2007 16:21 93056] S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [03.07.2008 20:55 13352] S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?] S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [07.12.2010 21:53 18432] S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [01.04.2010 22:06 89256] S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [01.04.2010 22:06 15016] S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [01.04.2010 22:06 120744] S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [01.04.2010 22:06 114216] S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [01.04.2010 22:06 25512] S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [01.04.2010 22:06 110632] S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [01.04.2010 22:06 115752] S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [01.04.2010 22:06 86824] S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [01.04.2010 22:06 15016] S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [01.04.2010 22:06 114600] S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [01.04.2010 22:06 108328] S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [01.04.2010 22:06 26024] S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [01.04.2010 22:06 104616] S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [01.04.2010 22:06 109736] S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.04.2010 19:30 86824] S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.04.2010 19:30 15016] S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.04.2010 19:30 114728] S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.04.2010 19:30 106208] S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.04.2010 19:30 26024] S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.04.2010 19:30 104744] S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.04.2010 19:30 109864] . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - 26915431 *NewlyCreated* - 34461206 *Deregistered* - 26915431 *Deregistered* - 34461206 . [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}] 2008-02-25 09:55 7680 ----a-w- c:\programme\PixiePack Codec Pack\InstallerHelper.exe . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ mLocal Page = uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 Trusted Zone: paypal.com\www Trusted Zone: sfh-muenster.de\webmail TCP: DhcpNameServer = 192.168.178.1 DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1210434510 DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://212.64.161.21/activex/AMC.cab FF - ProfilePath - c:\dokumente und einstellungen\Vorname\Anwendungsdaten\Mozilla\Firefox\Profiles\0xjkxue2.default\ FF - prefs.js: browser.search.selectedEngine - ICQ Search FF - prefs.js: browser.startup.homepage - www.google.de FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=skins7&tb_ver=2.0.0.2&q= FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false . - - - - Entfernte verwaiste Registrierungseinträge - - - - . HKCU-Run-TomTomHOME.exe - c:\programme\TomTom HOME 2\TomTomHOMERunner.exe HKLM-Run-C6501Sound - c6501.cpl HKLM-Run-NWEReboot - (no file) AddRemove-ICQToolbar - c:\programme\ICQ6Toolbar\ICQUnToolbar.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-12-18 15:20 Windows 5.1.2600 Service Pack 3 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'winlogon.exe'(832) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2011-12-18 15:22:47 ComboFix-quarantined-files.txt 2011-12-18 14:22 . Vor Suchlauf: 9 Verzeichnis(se), 65.708.142.592 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 65.803.354.112 Bytes frei . WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect . - - End Of File - - EE49ECC50A515FE78CB07B4BD400AB15 |
18.12.2011, 16:12 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
__________________GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).
__________________ |
18.12.2011, 21:32 | #19 |
| Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich Hallo! wie viele Scans muss ich denn noch machen? Und ist der Rechner überhaupt noch Virenfrei zu bekommen? Ansonsten würde sich auch anbieten das System neu aufzusetzen.. oder wie sieht es mit eigenen Dokumenten und Fotos aus? Sind diese auch verseucht? Viele Grüße Alex |
19.12.2011, 12:01 | #20 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich Wir sind fast fertig...
__________________ Logfiles bitte immer in CODE-Tags posten |
20.12.2011, 22:56 | #21 |
| Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2011-12-20 22:12:15 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\0000006e MAXTOR_STM3250820AS rev.3.AAD Running: o6sl1vdh.exe; Driver: C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp\pxtdrpog.sys ---- Kernel code sections - GMER 1.0.15 ---- .reloc C:\WINDOWS\system32\drivers\acehlp10.sys section is executable [0xF6613B80, 0x37FC7, 0xE0000060] .reloc C:\WINDOWS\system32\drivers\acedrv10.sys section is executable [0xA4434000, 0x459C1, 0xE0000060] ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[548] USER32.dll!GetSysColor 7E368E78 5 Bytes JMP 100482A0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll .text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[548] USER32.dll!GetSysColorBrush 7E368EAB 5 Bytes JMP 100482E0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll .text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[548] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 10053CC0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll .text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[548] USER32.dll!GetScrollInfo 7E37DFE2 7 Bytes JMP 10053C10 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll .text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[548] USER32.dll!ShowScrollBar 7E37F2F2 5 Bytes JMP 10053D90 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll .text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[548] USER32.dll!GetScrollPos 7E37F704 5 Bytes JMP 10053C50 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll .text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[548] USER32.dll!SetScrollPos 7E37F750 5 Bytes JMP 10053D00 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll .text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[548] USER32.dll!GetScrollRange 7E37F787 5 Bytes JMP 10053C80 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll .text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[548] USER32.dll!SetScrollRange 7E37F99B 5 Bytes JMP 10053D40 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll .text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[548] USER32.dll!DrawFrameControl 7E38E940 7 Bytes JMP 100475B0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll .text C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe[548] USER32.dll!EnableScrollBar 7E3B8005 7 Bytes JMP 10053BD0 C:\Programme\Tobit ClipInc\Player\TOBITCLT.dll .text C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe[1188] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 0049F8A0 C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 22:27:16 on 20.12.2011 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.17106 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\WINDOWS\system32\FlashPlayerCPLApp.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir PersonalEdition Classic" - "Avira GmbH" - C:\PROGRA~1\ANTIVI~1\avconfig.cpl "AXIS Media Control" - "Axis Communications" - C:\Programme\Axis Communications\AXIS Media Control Embedded\AxisMediaControlEmb.dll "Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "acedrv10" (acedrv10) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\acedrv10.sys "acehlp10" (acehlp10) - "Protect Software GmbH" - C:\WINDOWS\system32\drivers\acehlp10.sys "Apple Mobile Device Ethernet Service" (Netaapl) - "Apple Inc." - C:\WINDOWS\System32\DRIVERS\netaapl.sys "avgio" (avgio) - "Avira GmbH" - C:\Programme\AntiVir PersonalEdition Classic\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys "catchme" (catchme) - ? - C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys "MBAMSwissArmy" (MBAMSwissArmy) - ? - C:\WINDOWS\system32\drivers\mbamswissarmy.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "pxtdrpog" (pxtdrpog) - ? - C:\DOKUME~1\ALEXAN~1\LOKALE~1\Temp\pxtdrpog.sys (Hidden registry entry, rootkit activity | File not found) "Tunebite High-Speed Dubbing" (tbhsd) - "RapidSolution Software AG" - C:\WINDOWS\System32\drivers\tbhsd.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {61E3FE32-07B9-4563-A3E0-2DE2D620FE10} "PixiePack Codec Pack 0.10.6.0" - ? - C:\Programme\PixiePack Codec Pack\InstallerHelper.exe (File found, but it contains no detailed information) {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - (File not found | COM-object registry key not found) {F802F260-519B-11D1-BB5D-0060974C6013} "ICQ Shell Extension" - "ICQ" - C:\Programme\ICQ\ICQShExt.dll {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\AntiVir PersonalEdition Classic\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information) {E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll {E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll {E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll {E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )----- {21347690-EC41-4F9A-8887-1F4AEE672439} "Canon Easy-WebPrint EX" - "CANON INC." - C:\Programme\Canon\Easy-WebPrint EX\ewpexhlp.dll -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "Canon Easy-WebPrint EX" - "CANON INC." - C:\Programme\Canon\Easy-WebPrint EX\ewpexhlp.dll <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) <binary data> "{855F3B16-6D32-4FE6-8A56-BBB695989046}" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )----- "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? - (File not found | COM-object registry key not found) {855F3B16-6D32-4fe6-8A56-BBB695989046} "{855F3B16-6D32-4fe6-8A56-BBB695989046}" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {DE625294-70E6-45ED-B895-CFFA13AEB044} "AxisMediaControlEmb Class" - "Axis Communications" - C:\Programme\Axis Communications\AXIS Media Control Embedded\AxisMediaControlEmb.dll / hxxp://212.64.161.21/activex/AMC.cab {67DABFBF-D0AB-41FA-9C46-CC0F21721616} "DivXBrowserPlugin Object" - "DivX,Inc." - C:\Programme\DivX\DivX Web Player\npdivx32.dll / hxxp://download.divx.com/player/DivXBrowserPlugin.cab {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} "Image Uploader Control" - "Aurigma, Inc." - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ImageUploader5.ocx / hxxp://express.foto.com/ImageUploader5.cab {BA162249-F2C5-4851-8ADC-FC58CB424243} "Image Uploader Control" - "Aurigma, Inc." - C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx / hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1210434510 {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} "IPSUploader4 Control" - "IP Labs GmbH - Germany" - C:\WINDOWS\Downloaded Program Files\IPSUploader.ocx / hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab {CAFEEFAC-0015-0000-0003-ABCDEFFEDCBA} "Java Plug-in 1.5.0_03" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} "Java Plug-in 1.6.0_01" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} "Java Plug-in 1.6.0_02" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "Java Plug-in 1.6.0_07" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_19.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab {7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / hxxp://download.eset.com/special/eos/OnlineScanner.cab {17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage Validation Tool" - "Microsoft Corporation" - C:\WINDOWS\system32\LegitCheckControl.DLL / hxxp://download.microsoft.com/download/F/D/9/FD9E437D-5BC8-4264-A093-DFA2C39D197E/LegitCheckControl.cab {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? - (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab {D27CDB6E-AE6D-11CF-96B8-444553550000} "{D27CDB6E-AE6D-11CF-96B8-444553550000}" - ? - (File not found | COM-object registry key not found) / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab {D27CDB6E-AE6D-11CF-96B8-445013540000} "{D27CDB6E-AE6D-11CF-96B8-445013540000}" - ? - (File not found | COM-object registry key not found) / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab {D27CDB6E-AE6D-11CF-96B8-445021540000} "{D27CDB6E-AE6D-11CF-96B8-445021540000}" - ? - (File not found | COM-object registry key not found) / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? - (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "ICQ Pro" - "ICQ Inc." - C:\PROGRA~1\ICQ\ICQ.exe "ICQ7.2" - "ICQ, LLC." - C:\Programme\ICQ7.2\ICQ.exe {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} "Canon Easy-WebPrint EX" - "CANON INC." - C:\Programme\Canon\Easy-WebPrint EX\ewpexhlp.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {3785D0AD-BFFF-47F6-BF5B-A587C162FED9} "Canon Easy-WebPrint EX BHO" - "CANON INC." - C:\Programme\Canon\Easy-WebPrint EX\ewpexbho.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll {3C0372C2-04C3-4100-BAB1-1D42C552BC48} "Videoraptor_WebRipPlugin Class" - "RapidSolution Software" - C:\Programme\RapidSolution\RS Audials One\VideoRaptor\plugins\IE\VR_WebRipIePlugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Vorname\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "ClipIncSrvTray" - "Tobit.Software" - "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "AppleSyncNotifier" - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe "APSDaemon" - "Apple Inc." - "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" "avgnt" - "Avira GmbH" - "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min "CanonMyPrinter" - "CANON INC." - C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon "CanonSolutionMenu" - "CANON INC." - C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon "FreePDF Assistant" - "shbox.de" - C:\Programme\FreePDF_XP\fpassist.exe "IJNetworkScanUtility" - "CANON INC." - C:\Programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe "iTunesHelper" - "Apple Inc." - "C:\Programme\iTunes\iTunesHelper.exe" "LexwareInfoService" - "Haufe-Lexware GmbH & Co. KG" - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart "Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray "NeroFilterCheck" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe "QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Canon BJNP Port" - "CANON INC." - C:\WINDOWS\system32\CNMNPPM.DLL "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll "Redirected Port" - ? - C:\WINDOWS\system32\redmonnt.dll (File found, but it contains no detailed information) [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "AntiVir PersonalEdition Classic Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe "AntiVir PersonalEdition Classic Planer" (AntiVirScheduler) - "Avira GmbH" - C:\Programme\AntiVir PersonalEdition Classic\sched.exe "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "ATI Smart" (ATI Smart) - ? - C:\WINDOWS\system32\ati2sgag.exe "Canon Inkjet Printer/Scanner/Fax Extended Survey Program" (IJPLMSVC) - ? - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE "ClipInc 001" (ClipInc001) - ? - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe "Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe "ICQ Service" (ICQ Service) - ? - C:\Programme\ICQ6Toolbar\ICQ Service.exe (File not found) "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE "MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe "NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe "NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== Der Rest folgt.... Danke! Geändert von Alex08 (20.12.2011 um 23:28 Uhr) |
21.12.2011, 03:41 | #22 |
| Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software Run date: 2011-12-20 22:28:01 ----------------------------- 22:28:01.203 OS Version: Windows 5.1.2600 Service Pack 3 22:28:01.203 Number of processors: 1 586 0x5F02 22:28:01.203 ComputerName: ALEX UserName: 22:28:01.500 Initialize success 23:09:26.859 AVAST engine defs: 11122001 23:13:22.219 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000006e 23:13:22.219 Disk 0 Vendor: MAXTOR_STM3250820AS 3.AAD Size: 238475MB BusType: 3 23:13:22.297 Disk 0 MBR read successfully 23:13:22.297 Disk 0 MBR scan 23:13:22.344 Disk 0 Windows XP default MBR code 23:13:22.437 Disk 0 scanning sectors +488376000 23:13:22.625 Disk 0 scanning C:\WINDOWS\system32\drivers 23:14:08.406 Service scanning 23:14:09.281 Modules scanning 23:14:53.422 Disk 0 trace - called modules: 23:14:53.469 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvata.sys 23:14:53.469 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86f3fab8] 23:14:53.469 3 CLASSPNP.SYS[f74e7fd7] -> nt!IofCallDriver -> \Device\0000006f[0x86eef510] 23:14:53.469 5 ACPI.sys[f735d620] -> nt!IofCallDriver -> \Device\0000006e[0x86f3e030] 23:14:54.187 AVAST engine scan C:\WINDOWS 23:16:03.078 AVAST engine scan C:\WINDOWS\system32 23:21:59.515 AVAST engine scan C:\WINDOWS\system32\drivers 23:23:03.344 AVAST engine scan C:\Dokumente und Einstellungen\Vorname 23:45:12.125 AVAST engine scan C:\Dokumente und Einstellungen\All Users 00:02:11.453 Scan finished successfully 03:40:12.515 Disk 0 MBR has been saved successfully to "F:\20.12.2011\MBR.dat" 03:40:12.562 The log file has been saved successfully to "F:\20.12.2011\aswMBR.txt" |
21.12.2011, 10:11 | #23 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
07.01.2012, 12:37 | #24 |
| Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich Hier die beiden Logs... bin vorher nicht zum posten gekommen.. sorry! Log: Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 911122402 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 24.12.2011 13:01:05 mbam-log-2011-12-24 (13-01-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|J:\|) Durchsuchte Objekte: 367409 Laufzeit: 2 Stunde(n), 13 Minute(n), 15 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Und Log: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 01/01/2012 at 11:49 PM Application Version : 5.0.1142 Core Rules Database Version : 8091 Trace Rules Database Version: 5903 Scan type : Complete Scan Total Scan Time : 03:43:34 Operating System Information Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600) Administrator Memory items scanned : 555 Memory threats detected : 0 Registry items scanned : 39400 Registry threats detected : 0 File items scanned : 154963 File threats detected : 113 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Vorname\Cookies\ZF8LWROR.txt [ /www.youporn.com ] C:\Dokumente und Einstellungen\Vorname\Cookies\I5BFWYAD.txt [ /youporn.de ] C:\Dokumente und Einstellungen\Vorname\Cookies\DGEL82F2.txt [ /exoclick.com ] C:\Dokumente und Einstellungen\Vorname\Cookies\1JAZXEIS.txt [ /youporn.com ] C:\Dokumente und Einstellungen\Vorname\Cookies\P5N0ADTB.txt [ /ads.crakmedia.com ] .doubleclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .xiti.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] wstat.wibiya.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] accounts.google.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] accounts.google.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] accounts.google.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .lfstmedia.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .lfstmedia.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .lfstmedia.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .lfstmedia.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .atdmt.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .atdmt.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] track.effiliation.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] track.effiliation.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] track.effiliation.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] track.effiliation.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] track.effiliation.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .webmasterplan.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .webmasterplan.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .traffictrack.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] tracking.tchibo.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .apmebf.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .mediaplex.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .mediaplex.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad.adserver01.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .tradedoubler.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .tradedoubler.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .tradedoubler.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .collective-media.net [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad3.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .smartadserver.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .zanox.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .tracking.quisma.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] tracking.quisma.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] tracking.quisma.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .smartadserver.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .smartadserver.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .smartadserver.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .smartadserver.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad4.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .tracking.quisma.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] www.googleadservices.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] www.googleadservices.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] www.googleadservices.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .gostats.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] www.netdebit-counter.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .gostats.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .gostats.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] www.etracker.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] counter2.sexmoney.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad.zanox.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad.zanox.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .adxpose.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .specificclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .serving-sys.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .tracking.quisma.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad2.adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .adfarm1.adition.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] ad.yieldmanager.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .imrworldwide.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .imrworldwide.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] adx.chip.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] adx.chip.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] adx.chip.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] adx.chip.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] adx.chip.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] adx.chip.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] adx.chip.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] adx.chip.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] adx.chip.de [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .amazon-adsystem.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .amazon-adsystem.com [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] .doubleclick.net [ C:\DOKUMENTE UND EINSTELLUNGEN\Vorname\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\0XJKXUE2.DEFAULT\COOKIES.SQLITE ] Trojan.Agent/Gen-Nullo[Short] C:\SYSTEM VOLUME INFORMATION\_RESTORE{BFF9B069-A1E1-4F23-B245-BB7DB11370C6}\RP3\A0003056.EXE Trojan.Agent/Gen-Autorun[Swisyn] D:\DOKUMENTE\\DATENBANKENCD-DB.EXE D:\DOKUMENTE\DATENBANKENWWS.EXE J:\SYSTEM 2011\DOKUMENTE\DATENBANKENCD-DB.EXE J:\SYSTEM 2011\DOKUMENTE\DATENBANKENWWS.EXE Online Scan folgt! |
07.01.2012, 15:35 | #25 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich Malwarebytes ist schon zu lange her. Lad die aktuelle Version von MBAM runter, installier es und mach ein Datenbankupdate. Danach den Vollscan wiederholen.
__________________ Logfiles bitte immer in CODE-Tags posten |
08.01.2012, 13:02 | #26 |
| Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich Malware Logfile: Malwarebytes Anti-Malware (Test) 1.60.0.1800 www.malwarebytes.org Datenbank Version: v2012.01.08.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 Vorname :: ALEX [Administrator] Schutz: Aktiviert 08.01.2012 11:02:06 mbam-log-2012-01-08 (11-02-06).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 370887 Laufzeit: 1 Stunde(n), 58 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
08.01.2012, 15:38 | #27 |
| Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich Eset Logfile: ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=7.00.6000.17103 (vista_gdr.110816-1000) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=6dda7c65ccd15a4b9f47bce9c2cc4dda # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-12-11 12:55:30 # local_time=2011-12-11 01:55:30 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1031 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=8192 67108863 100 0 3763 3763 0 0 # scanned=166887 # found=10 # cleaned=0 # scan_time=8782 C:\Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Temp\NeroDemo12071\Toolbar.exe Win32/Toolbar.AskSBar Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Temp\plugtmp-23\plugin-knarbojqipgremx.pdf PDF/Exploit.Pidief.PDS.Gen Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I C:\_OTL\MovedFiles.zip Mehrere Bedrohungen (Säubern nicht möglich) 00000000000000000000000000000000 I C:\_OTL\MovedFiles\12062011_211756\C_Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Temp\3572287FFE7BC2E011D0.exe Variante von Win32/Kryptik.WQA Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I C:\_OTL\MovedFiles\12062011_211756\C_WINDOWS\system32\3572287FFE7BC2E011D0.exe Variante von Win32/Kryptik.WQA Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I C:\_OTL\MovedFiles\12062011_211756\C_WINDOWS\system32\7F06287FFE7BDE68EBB1.exe Variante von Win32/Kryptik.WGN Trojaner (Säubern nicht möglich) 00000000000000000000000000000000 I D:\setool2lite+1.08.rar Variante von Win32/Packed.Themida Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I D:\setool2lite.rar Variante von Win32/Packed.Themida Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I D:\setool2lite+1.08\setool2lt.exe Variante von Win32/Packed.Themida Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I D:\Software,Downloads\Treiber PC\Nero-7.7.5.1_deu_trial.exe Win32/Toolbar.AskSBar Anwendung (Säubern nicht möglich) 00000000000000000000000000000000 I ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=6dda7c65ccd15a4b9f47bce9c2cc4dda # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-01-08 02:21:24 # local_time=2012-01-08 03:21:24 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=8192 67108863 100 0 2428695 2428695 0 0 # scanned=185061 # found=6 # cleaned=0 # scan_time=8206 C:\_OTL\MovedFiles.zip multiple threats (unable to clean) 00000000000000000000000000000000 I C:\_OTL\MovedFiles\12062011_211756\C_Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Temp\3572287FFE7BC2E011D0.exe a variant of Win32/Kryptik.WQA trojan (unable to clean) 00000000000000000000000000000000 I C:\_OTL\MovedFiles\12062011_211756\C_WINDOWS\system32\3572287FFE7BC2E011D0.exe a variant of Win32/Kryptik.WQA trojan (unable to clean) 00000000000000000000000000000000 I D:\setool2lite+1.08.rar a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I D:\setool2lite.rar a variant of Win32/Packed.Themida application (unable to clean) 00000000000000000000000000000000 I D:\Software,Downloads\Treiber PC\Nero-7.7.5.1_deu_trial.exe Win32/Toolbar.AskSBar application (unable to clean) 00000000000000000000000000000000 I Viele Grüße Alex |
08.01.2012, 20:56 | #28 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich Ne Menge Cookies, isolierte Schädlinge in C:\_OTL (den Ordner kannst du löschen) und offensichtlich Fehlalarme in zwei Setups. Rechner soweit wieder im Lot?
__________________ Logfiles bitte immer in CODE-Tags posten |
08.01.2012, 21:17 | #29 |
| Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich Also der Rechner läuft soweit normal, ist jedoch selten eingeschaltet gewesen. Den Ordner werde ich dann mal löschen und die Cookies bereingen. Kann ich nun einen Haken hinter die Sache machen? Viele Grüße Alex |
08.01.2012, 21:59 | #30 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich Dann wären wir durch! Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Adobe - Andere Version des Adobe Flash Player installieren Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Bundespolizei Trojaner - Abgesicherter Modus nicht mehr möglich |
.exe, abgesicherter, abgesicherter modus, abgesicherter modus läuft nicht, abgesichterten, bundespolizei, bundespolizeitrojaner, durchgeführt, erstelle, erstellen, forum, hallo zusammen, logfile, modus, nicht mehr, otlpe, schritte, sprechen, starte, suche, troja, trojaner, vorgehen, windows, windows xp, zusammen |