| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Ordner auf Speicherkarte nur noch VerknüpfungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
13.12.2011, 17:20
| #1 |
 |  Ordner auf Speicherkarte nur noch Verknüpfung Hallo, ich kann auf eine meiner Speicherkarten für die Digitalkamera nicht mehr zugreifen. Der Ursprüngliche Ordner ist durch eine Verknüpfung ersetzt worden, die auf den Pfad %windir%\system32\cmd.exe /c "start %cd%RECYCLER\470a1245.exe verweist. Zudem befindet sich eine neue Autofun.inf datei auf der Speicherkarte, sowie ein Versteckter Ordner namens Recycler. In diesem Befindet sich wahrscheinlich ein Wurm.  Wie kann ich diesen Fehler beheben? Der Fehler besteht schon etwas länger. Ich komme aber erst jetzt dazu Ihn anzugehen. Mein Computer schient recht stabil zu laufen, bin mir nun aber unsicher, woher das kommt. Wäre schön, wenn mir jemand dabei helfen könnte wieder auf die Bilder der Speicherkarte zugreifen zu können. Gruß gradesbrett |
|
13.12.2011, 21:37
| #2 |
  | Ordner auf Speicherkarte nur noch Verknüpfung Hi,
__________________die SHIFT-Taste gedrückt halten, die Speicherkarte/Kamera anschließen und erst wieder loslassen wenn sie vollständig erkannt wurde... Dann MAM drüberlaufen lassen (alle Laufwerke!) und ein OTL-Scan... Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop * Doppelklick auf die OTL.exe * Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen * Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output * Unter Extra Registry, wähle bitte Use SafeList * Klicke nun auf Run Scan links oben * Wenn der Scan beendet wurde werden 2 Logfiles erstellt * Poste die Logfiles hier in den Thread. chris
__________________ |
|
14.12.2011, 14:39
| #3 |
| | Ordner auf Speicherkarte nur noch Verknüpfung Hallo ich habe vorhin den Computer inklusive Speicherkarte mit Malwarebytes gescannt. Dabei kam eine Fehlermaeldung, die ich dann bereinigt habe.
__________________Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 8368 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 14.12.2011 11:59:23 mbam-log-2011-12-14 (11-59-08).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|) Durchsuchte Objekte: 206162 Laufzeit: 1 Stunde(n), 32 Minute(n), 27 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: d:\programme\cryptload\cryptload 1.1.8\cryptload1.1.8\router\fritz!box\nc.exe (PUP.Netcat) -> No action taken. |
|
14.12.2011, 14:42
| #4 |
| | Ordner auf Speicherkarte nur noch Verknüpfung Da ich aber Gestern aber schon mal selbstständig mit Malwarebytes ohne der Speicherkarte gescannt hatte, blieb heute nur noch ein Fehler bei Crypload über. Gestern gabs noch mehr, die ich mit Malwarebytes gelöscht habe. Gestern hatte ich den Cryptload-Fehler nicht behoben. Von daher hier nochmal das logfile von gestern, falls es weiterhilft. Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 8357 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 13.12.2011 12:24:22 mbam-log-2011-12-13 (12-24-14).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 197704 Laufzeit: 1 Stunde(n), 4 Minute(n), 19 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP53\A0011050.exe (Trojan.Dropper.BCM) -> No action taken. c:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP54\A0012040.exe (Trojan.Agent.CK) -> No action taken. c:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP54\A0012045.exe (Trojan.Agent.CK) -> No action taken. c:\WINDOWS\servicepackfiles\i386\fsquirt.exe (Trojan.Dropper.BCM) -> No action taken. c:\WINDOWS\$ntservicepackuninstall$\fsquirt.exe (Trojan.Dropper.BCM) -> No action taken. d:\programme\cryptload\cryptload 1.1.8\cryptload1.1.8\router\fritz!box\nc.exe (PUP.Netcat) -> No action taken. d:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP43\A0009750.EXE (Dont.Steal.Our.Software) -> No action taken. d:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP43\A0009751.exe (Trojan.Agent.CK) -> No action taken. d:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP54\A0012043.exe (Trojan.Agent.CK) -> No action taken. |
|
14.12.2011, 15:09
| #5 |
| | Ordner auf Speicherkarte nur noch Verknüpfung und otl hat diese logfiles erstellt. erste: OTL Logfile: Code:
ATTFilter OTL logfile created on: 14.12.2011 14:30:53 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Sven\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 510,98 Mb Total Physical Memory | 104,02 Mb Available Physical Memory | 20,36% Memory free 1,75 Gb Paging File | 0,81 Gb Available in Paging File | 46,16% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 15,63 Gb Total Space | 6,95 Gb Free Space | 44,46% Space Free | Partition Type: NTFS Drive D: | 77,52 Gb Total Space | 54,95 Gb Free Space | 70,88% Space Free | Partition Type: NTFS Drive F: | 7,47 Gb Total Space | 7,40 Gb Free Space | 99,09% Space Free | Partition Type: FAT32 Computer Name: GRADESBRETT | User Name: Sven | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Sven\Desktop\OTL.exe (OldTimer Tools) PRC - D:\Programme\Java\bin\jqs.exe (Sun Microsystems, Inc.) PRC - D:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) PRC - D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) PRC - D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) PRC - D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Outlook Express\msimn.exe (Microsoft Corporation) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe (Cyberlink) PRC - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe (Cyberlink) PRC - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe () PRC - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe () PRC - C:\Programme\Home Cinema\PowerCinema\PCMService.exe (CyberLink Corp.) PRC - C:\Programme\Launch Manager\WButton.exe () PRC - C:\Programme\Launch Manager\HotkeyApp.exe (Wistron) PRC - C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe (Cyberlink Corp.) PRC - C:\Programme\Intel\Wireless\Bin\EOUWiz.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\1XConfig.exe (Intel) PRC - C:\Programme\Launch Manager\LaunchAp.exe () PRC - C:\Programme\Launch Manager\OSD.exe (Wistron) PRC - C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.) PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) PRC - C:\Programme\Common Files\X10\Common\X10nets.exe (X10) ========== Modules (No Company Name) ========== MOD - D:\Programme\Avira\AntiVir Desktop\sqlite3.dll () MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU () MOD - D:\Programme\Winrar\RarExt.dll () MOD - C:\WINDOWS\system32\msdmo.dll () MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe () MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe () MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapEngine.dll () MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSchMgr.dll () MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvcps.dll () MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\HomeNetWorking\CLNetMedia.dll () MOD - C:\Programme\Launch Manager\WButton.exe () MOD - C:\Programme\Intel\Wireless\Bin\D8021Xps.DLL () MOD - C:\Programme\Launch Manager\LaunchAp.exe () MOD - C:\Programme\Intel\Wireless\Bin\libeay32.dll () ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- File not found SRV - (AppMgmt) -- File not found SRV - (JavaQuickStarterService) -- D:\Programme\Java\bin\jqs.exe (Sun Microsystems, Inc.) SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) SRV - (CyberLink Media Library Service) -- C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe (Cyberlink) SRV - (CLSched) CyberLink Task Scheduler (CTS) -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe () SRV - (CLCapSvc) CyberLink Background Capture Service (CBCS) -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe () SRV - (OwnershipProtocol) -- C:\Programme\Intel\Wireless\Bin\OProtSvc.exe (Intel Corporation) SRV - (x10nets) -- C:\Programme\Common Files\X10\Common\X10nets.exe (X10) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (DCamUSBSTK02N) -- C:\WINDOWS\system32\drivers\STK02NW2.sys (Syntek Ltd.) DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation) DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation) DRV - (IWCA) -- C:\WINDOWS\system32\drivers\iwca.sys (Intel Corporation) DRV - (bcm4sbxp) -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys (Broadcom Corporation) DRV - (XUIF) -- C:\WINDOWS\system32\drivers\x10ufx2.sys (X10 Wireless Technology, Inc.) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems) DRV - (tifm21) -- C:\WINDOWS\system32\drivers\tifm21.sys (Texas Instruments) DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.) DRV - (Hotkey) -- C:\WINDOWS\System32\drivers\HOTKEY.sys () ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: D:\Programme\Java\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\jqs@sun.com: D:\Programme\Java\lib\deploy\jqs\ff [2011.11.09 09:38:36 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: D:\Programme\Firefox\components [2011.11.08 23:19:54 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: D:\Programme\Firefox\plugins [2011.12.13 11:05:44 | 000,000,000 | ---D | M] [2011.11.09 14:54:36 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Mozilla\Extensions [2011.11.10 13:36:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Mozilla\Firefox\Profiles\67qcxqkf.default\extensions O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\bin\jp2ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.) O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O3 - HKCU\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe (Wistron) O4 - HKLM..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe (Intel Corporation) O4 - HKLM..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe (Wistron) O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation) O4 - HKLM..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe () O4 - HKLM..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe (Wistron) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] D:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [PCMService] C:\Programme\Home Cinema\PowerCinema\PCMService.exe (CyberLink Corp.) O4 - HKLM..\Run: [RemoteControl] C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe (Cyberlink Corp.) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.) O4 - HKLM..\Run: [Wbutton] C:\Programme\Launch Manager\Wbutton.exe () O4 - HKCU..\Run: [Lmdudf] C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Lmdudf.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: &Google Search - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O8 - Extra context menu item: Backward Links - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O8 - Extra context menu item: Cached Snapshot of Page - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm () O8 - Extra context menu item: Similar Pages - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O8 - Extra context menu item: Translate into English - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_05) O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{296DEE5C-0B75-4D62-8DF8-46D37E15B38F}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O20 - Winlogon\Notify\IntelWireless: DllName - (C:\Programme\Intel\Wireless\Bin\LgNotify.dll) - C:\Programme\Intel\Wireless\Bin\LgNotify.dll (Intel Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2011.11.08 19:57:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2011.11.07 10:32:58 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ FAT32 ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.12.14 14:29:50 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sven\Desktop\OTL.exe [2011.12.14 12:11:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Desktop\bilder2 [2011.12.14 12:10:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Desktop\bilder [2011.12.12 19:15:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\GHISLER [2011.12.12 18:27:14 | 000,193,024 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\fsquirt.exe [2011.12.12 15:28:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss [2011.12.12 10:00:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\.rbs [2011.12.10 11:53:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\Ahead [2011.12.09 15:33:47 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Sven\Recent [2011.11.20 23:12:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\calibre [2011.11.20 19:37:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Ahead [2011.11.19 17:47:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1 [2011.11.17 16:28:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe [2011.11.17 16:11:41 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR [2011.11.15 16:01:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Tinypic [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.12.14 14:39:19 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2011.12.14 14:29:54 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sven\Desktop\OTL.exe [2011.12.14 11:59:42 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\asyck.sys [2011.12.14 09:05:28 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2011.12.14 09:05:27 | 000,094,720 | ---- | M] () -- C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.12.14 00:39:01 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2011.12.13 19:43:28 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2011.12.13 19:37:27 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.12.09 10:36:09 | 000,134,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2011.12.05 15:34:20 | 000,000,266 | ---- | M] () -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\wklnhst.dat [2011.11.29 22:48:05 | 000,000,137 | ---- | M] () -- C:\Dokumente und Einstellungen\Sven\default.pls [2011.11.28 13:52:26 | 000,000,046 | ---- | M] () -- C:\Dokumente und Einstellungen\Sven\Eigene Dateien\PDVD_MediaDisc.PlayList [2011.11.17 16:51:43 | 003,540,552 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011.11.15 13:54:38 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.12.14 11:59:42 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\asyck.sys [2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\UC.PIF [2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\RAR.PIF [2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\PKZIP.PIF [2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\PKUNZIP.PIF [2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\NOCLOSE.PIF [2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\LHA.PIF [2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\ARJ.PIF [2011.11.28 13:51:10 | 000,000,046 | ---- | C] () -- C:\Dokumente und Einstellungen\Sven\Eigene Dateien\PDVD_MediaDisc.PlayList [2011.11.20 19:37:24 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\Sven\default.pls [2011.11.17 16:11:49 | 000,000,708 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Help.lnk [2011.11.15 14:25:49 | 000,000,266 | ---- | C] () -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\wklnhst.dat [2011.11.10 14:54:00 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL [2011.11.09 00:32:17 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2011.11.09 00:31:17 | 000,094,720 | ---- | C] () -- C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.11.08 21:13:00 | 000,009,867 | ---- | C] () -- C:\WINDOWS\System32\drivers\HOTKEY.sys [2011.11.08 20:52:57 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2011.11.08 20:24:12 | 000,073,845 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat [2011.11.08 20:18:04 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll [2011.11.08 20:18:04 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe [2011.11.08 20:18:01 | 000,001,160 | ---- | C] () -- C:\WINDOWS\System32\drivers\alcxinit.dat [2011.11.08 20:07:32 | 000,127,184 | ---- | C] () -- C:\WINDOWS\Unwise.exe [2011.11.08 20:06:16 | 000,004,184 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2011.11.08 20:05:43 | 000,001,208 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini [2011.11.08 20:05:43 | 000,000,024 | ---- | C] () -- C:\WINDOWS\magix.ini [2011.11.08 20:00:15 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2011.11.08 19:54:39 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2011.11.08 18:50:12 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2011.11.08 18:48:49 | 003,540,552 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2004.09.28 22:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll [2004.08.12 08:44:10 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\iwca.dll [2004.08.04 13:00:00 | 000,755,200 | ---- | C] () -- C:\WINDOWS\System32\ir50_32.dll [2004.08.04 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2004.08.04 13:00:00 | 000,467,118 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2004.08.04 13:00:00 | 000,447,948 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2004.08.04 13:00:00 | 000,338,432 | ---- | C] () -- C:\WINDOWS\System32\ir41_qcx.dll [2004.08.04 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2004.08.04 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2004.08.04 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2004.08.04 13:00:00 | 000,200,192 | ---- | C] () -- C:\WINDOWS\System32\ir50_qc.dll [2004.08.04 13:00:00 | 000,183,808 | ---- | C] () -- C:\WINDOWS\System32\ir50_qcx.dll [2004.08.04 13:00:00 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\ir41_qc.dll [2004.08.04 13:00:00 | 000,088,390 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2004.08.04 13:00:00 | 000,073,930 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2004.08.04 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2004.08.04 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2004.08.04 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2004.08.04 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2004.08.04 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2004.08.04 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2001.09.04 14:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2001.09.04 14:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat < End of report > |
|
14.12.2011, 15:13
| #6 |
| | Ordner auf Speicherkarte nur noch Verknüpfung und hier dasa zweite Otl-File: OTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 14.12.2011 14:30:53 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Sven\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
510,98 Mb Total Physical Memory | 104,02 Mb Available Physical Memory | 20,36% Memory free
1,75 Gb Paging File | 0,81 Gb Available in Paging File | 46,16% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 15,63 Gb Total Space | 6,95 Gb Free Space | 44,46% Space Free | Partition Type: NTFS
Drive D: | 77,52 Gb Total Space | 54,95 Gb Free Space | 70,88% Space Free | Partition Type: NTFS
Drive F: | 7,47 Gb Total Space | 7,40 Gb Free Space | 99,09% Space Free | Partition Type: FAT32
Computer Name: GRADESBRETT | User Name: Sven | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe" = C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe:*:Enabled:PowerCinema -- (CyberLink Corp.)
"D:\Programme\Winamp\winamp.exe" = D:\Programme\Winamp\winamp.exe:*:Enabled:Winamp -- (Nullsoft, Inc.)
"C:\Programme\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe" = C:\Programme\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe:*:Enabled:Camfrog Video Chat -- (Camshare Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}" = Microsoft_VC90_ATL_x86
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}" = mLogView
"{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}" = Microsoft_VC80_ATL_x86
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = PowerCinema 4.0
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java(TM) 6 Update 29
"{28DA872A-0848-48CF-B749-19A198157A2A}" = mDriver
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3521BDBD-D453-5D9F-AA55-44B75D214629}" = Adobe Community Help
"{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA
"{3F424493-B0F2-43A4-A892-DFA447B2A59D}" = STK02N 2.4.1
"{425ECED4-23ED-4E05-A88A-B59700DAF2AD}" = TIxx21/x515
"{46C045BF-2B3F-4BC4-8E4C-00E0CF8BD9DB}" = Adobe AIR
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{52504CE6-E909-4113-B232-4AFEC6543A61}" = Broadcom 440x 10/100 Integrated Controller
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}" = Microsoft_VC90_MFC_x86
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6B103F43-069C-11D6-9EA2-0050BAE317E1}" = Home Cinema
"{6DE14BE4-6F04-4935-8ABD-A0A19FE2E55A}" = mCore
"{6DED41BC-C9EF-4330-B4E5-46CB2C5C6E2D}" = No23 Recorder
"{6FFFE74E-3FBD-4E2E-97F9-5E9A2A077626}" = mIWCA
"{7148F0A8-6813-11D6-A77B-00B0D0142050}" = Java 2 Runtime Environment, SE v1.4.2_05
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Pro Trial
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8C6BB412-D3A8-4AAE-A01B-35B681789D68}" = mHelp
"{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{94658027-9F16-4509-BBD7-A59FE57C3023}" = mZConfig
"{95140000-00AF-0407-0000-0000000FF1CE}" = Microsoft PowerPoint Viewer
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Deutsch
"{B26E3B0D-C2FA-4370-B068-7C476766F029}" = Microsoft Works
"{B502B428-3386-40A9-98DB-079AAB72E64F}" = mEoU.msi
"{B6D38690-755E-4F40-A35A-23F8BC2B86AC}" = Microsoft_VC90_MFCLOC_x86
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C438DF2B-C5DF-4783-9CA5-9B89E501FA62}" = Works Update
"{C6A12D9B-D86A-4ee6-B980-95E4B26A2E13}" = Microsoft Works Suite-Add-Ins für Microsoft Word
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0846526-66DD-4DC9-A02C-98F9A2806812}" = Launch Manager V1.2.9
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{E3723A04-A894-4036-A78E-282E18F43C0A}_is1" = Tinypic 3.17a
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F6090A17-0967-4A8A-B3C3-422A1B514D49}" = mDrWiFi
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira Free Antivirus
"Camfrog 6.1" = Camfrog Video Chat 6.1
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"ClearProg" = ClearProg 1.6.1 Beta 4
"Combined Community Codec Pack_is1" = Combined Community Codec Pack 2011-07-30
"Creatix 2.0 AC'97 Soft Modem" = Creatix 2.0 AC'97 Modem
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.11.923
"HyperCam 2" = HyperCam 2
"ie8" = Windows Internet Explorer 8
"InstallShield_{425ECED4-23ED-4E05-A88A-B59700DAF2AD}" = Texas Instruments PCIxx21/x515 drivers.
"InstallShield_{52504CE6-E909-4113-B232-4AFEC6543A61}" = Broadcom 440x 10/100 Integrated Controller
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 8.0 (x86 de)" = Mozilla Firefox 8.0 (x86 de)
"NeroMultiInstaller!UninstallKey" = Nero Suite
"No23 Recorder" = No23 Recorder
"ProInst" = Intel(R) PROSet/Wireless Software
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR 4.01 (32-Bit)
"Works2005Setup" = Setup-Start von Microsoft Works 2005
"X10Hardware" = X10 Hardware(TM)
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 04.12.2011 17:42:51 | Computer Name = GRADESBRETT | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung mpc-hc.exe, Version 1.5.3.3514, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 07.12.2011 05:35:50 | Computer Name = GRADESBRETT | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 09.12.2011 03:42:36 | Computer Name = GRADESBRETT | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
Modul mshtml.dll, Version 8.0.6001.19154, Fehleradresse 0x00067a38.
Error - 11.12.2011 23:47:08 | Computer Name = GRADESBRETT | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
Modul mshtml.dll, Version 8.0.6001.19154, Fehleradresse 0x00067a38.
Error - 12.12.2011 04:32:15 | Computer Name = GRADESBRETT | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung mpc-hc.exe, Version 1.5.3.3514, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
[ System Events ]
Error - 12.12.2011 13:31:38 | Computer Name = GRADESBRETT | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
Error - 12.12.2011 13:31:53 | Computer Name = GRADESBRETT | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
IntelIde
< End of report >
|
|
14.12.2011, 15:15
| #7 |
| | Ordner auf Speicherkarte nur noch Verknüpfung Auf der Speicherkarte scheint nichts gefunden zu sein. Hier sind aber eindeutig Ordner und Dateien drauf, die dort nicht hingehören. seltsam... |
|
14.12.2011, 16:52
| #8 |
| | Ordner auf Speicherkarte nur noch Verknüpfung Hi, Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\System32\drivers\asyck.sys
C:\WINDOWS\UC.PIF
Wenn die UC.PIF nicht erkannt wird, bite das Feete aus dem Script rausnehmen
 Code:
ATTFilter :OTL
SRV - (HidServ) -- File not found
SRV - (AppMgmt) -- File not found
O4 - HKLM..\Run: [] File not found
O32 - AutoRun File - [2011.11.07 10:32:58 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ FAT32 ]
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\UC.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\RAR.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\PKZIP.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\PKUNZIP.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\NOCLOSE.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\LHA.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\ARJ.PIF
:Commands
[emptytemp]
[EMPTYFLASH]
[Reboot]
Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Stürzt GMER ab, bitte im abgesicherten Modus (F8 beim Booten) probieren! TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Nach dem Start erscheint ein Fenster, dort dann "Start Scan". Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten... So und jetzt rücken wir der Speicherkarte zu leibe... Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen... http://www.techsupportforum.com/sect...isinfector.exe oder http://download.bleepingcomputer.com...isinfector.exe Trenne den Rechner physikalisch vom Netz. Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer. Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden). Die Shift-Taste solange gedrückt halten, bis die Laufwerke erkannt sind! Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen. Wenn der Scan zuende ist, kannst du das Programm schließen. Starte Deinen Rechner neu. Es werden u. a. dabei Dateien erstellt, die nicht so einfach überschrieben werden können (von Trojanern/Viren), also nicht wundern wenn was auf der Karte steht... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
14.12.2011, 17:35
| #9 |
| | Ordner auf Speicherkarte nur noch Verknüpfung virsutotal ergebnis: File name: asyck.sys Submission date: 2011-12-14 16:20:31 (UTC) Current status: queued queued analysing finished Result: 2/ 42 (4.8%) Antivirus Version Last Update Result AhnLab-V3 2011.12.13.01 2011.12.14 - AntiVir 7.11.19.106 2011.12.14 - Antiy-AVL 2.0.3.7 2011.12.14 - Avast 6.0.1289.0 2011.12.14 - AVG 10.0.0.1190 2011.12.14 - BitDefender 7.2 2011.12.14 - ByteHero 1.0.0.1 2011.12.07 - CAT-QuickHeal 12.00 2011.12.14 - ClamAV 0.97.3.0 2011.12.14 - Commtouch 5.3.2.6 2011.12.14 - Comodo 10955 2011.12.14 - DrWeb 5.0.2.03300 2011.12.14 - Emsisoft 5.1.0.11 2011.12.14 - eSafe 7.0.17.0 2011.12.13 Win32.TrojanHorse eTrust-Vet 37.0.9623 2011.12.14 - F-Prot 4.6.5.141 2011.12.13 - F-Secure 9.0.16440.0 2011.12.14 - Fortinet 4.3.388.0 2011.12.14 - GData 22.307/22.576 2011.12.14 - Ikarus T3.1.1.109.0 2011.12.14 - Jiangmin 13.0.900 2011.12.14 - K7AntiVirus 9.119.5684 2011.12.14 - Kaspersky 9.0.0.837 2011.12.14 - McAfee 5.400.0.1158 2011.12.14 - McAfee-GW-Edition 2010.1E 2011.12.14 - Microsoft 1.7903 2011.12.14 - Norman 6.07.13 2011.12.14 - nProtect 2011-12-14.01 2011.12.14 - Panda 10.0.3.5 2011.12.14 Trj/Hupigon.BDH PCTools 8.0.0.5 2011.12.14 - Prevx 3.0 2011.12.14 - Rising 23.88.02.02 2011.12.14 - Sophos 4.72.0 2011.12.14 - SUPERAntiSpyware 4.40.0.1006 2011.12.14 - Symantec 20111.2.0.82 2011.12.14 - TheHacker 6.7.0.1.356 2011.12.11 - TrendMicro 9.500.0.1008 2011.12.14 - TrendMicro-HouseCall 9.500.0.1008 2011.12.14 - VBA32 3.12.16.4 2011.12.14 - VIPRE 11249 2011.12.14 - ViRobot 2011.12.14.4825 2011.12.14 - VirusBuster 14.1.115.0 2011.12.14 - Additional informationShow all MD5 : e6d35f3aa51a65eb35c1f2340154a25e SHA1 : aabbd57e20d2e7041f9e7abce6cfd8a53c366537 SHA256: 3da4f51682e7d42c5569f1fb1adc6295182962e36f748219e1d0c8f2389ba516 ssdeep: 768:Bosx0q2ph6P2Jpz8ftoSUiJP7hYTCMrhwYKUzY4q:j076P2Jpz8ftBUMPaCMrhwY File size : 54016 bytes First seen: 2009-09-18 00:44:25 Last seen : 2011-12-14 16:20:31 TrID: Clipper DOS Executable (33.3%) Generic Win/DOS Executable (33.0%) DOS Executable Generic (33.0%) VXD Driver (0.5%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned PEInfo: PE structure information [[ basic data ]] entrypointaddress: 0xC505 timedatestamp....: 0x4A9EE5B5 (Wed Sep 02 21:37:57 2009) machinetype......: 0x14c (I386) [[ 5 section(s) ]] name, viradd, virsiz, rawdsiz, ntropy, md5 .text, 0x480, 0xBD9F, 0xBE00, 5.83, 9474f39576a0e15bdbaa2ea3355f0a4a .rdata, 0xC280, 0x126, 0x180, 3.78, 375b710d9f213cfced30e9fdb29567e1 .data, 0xC400, 0xC0, 0x100, 0.33, 786971ca2b109729eda604b44d6c72ad INIT, 0xC500, 0x3C8, 0x400, 5.20, eea49a93a73afb6afc178455582133c6 .reloc, 0xC900, 0x9EC, 0xA00, 6.62, bddd5a40c508bfc84ec87de5f8e6a5d3 [[ 1 import(s) ]] ntoskrnl.exe: ZwWriteFile, RtlUpcaseUnicodeChar, ZwClose, ZwCreateFile, RtlInitUnicodeString, _wcsicmp, ZwQueryValueKey, ZwOpenKey, ZwDeleteKey, swprintf, ZwEnumerateKey, ExFreePoolWithTag, DbgPrint, ExAllocatePool, RtlPrefixUnicodeString, memcpy, RtlDeleteRegistryValue, ZwSetValueKey, RtlWriteRegistryValue, ZwEnumerateValueKey, ZwSetInformationFile, ZwQueryInformationFile, ZwQueryDirectoryFile, ZwOpenFile, KeTickCount, KeBugCheck, MmGetSystemRoutineAddress, ZwFlushKey, PsTerminateSystemThread, KeSetPriorityThread, KeGetCurrentThread, RtlCheckRegistryKey, KeDelayExecutionThread, ZwReadFile, PsCreateSystemThread, PsGetVersion, KeBugCheckEx ExifTool: file metadata CodeSize: 49664 EntryPoint: 0xc505 FileSize: 53 kB FileType: Win32 EXE ImageVersion: 6.0 InitializedDataSize: 3200 LinkerVersion: 8.0 MIMEType: application/octet-stream MachineType: Intel 386 or later, and compatibles OSVersion: 6.0 PEType: PE32 Subsystem: Native SubsystemVersion: 5.1 TimeStamp: 2009:09:02 23:37:57+02:00 UninitializedDataSize: 0 |
|
14.12.2011, 17:46
| #10 |
| | Ordner auf Speicherkarte nur noch Verknüpfung und noch die andere uc.pif datei: File name: UC.PIF Submission date: 2011-12-14 16:38:12 (UTC) Current status: queued (#1) queued (#1) analysing finished Result: 0/ 43 (0.0%) Antivirus Version Last Update Result AhnLab-V3 2011.12.13.01 2011.12.14 - AntiVir 7.11.19.106 2011.12.14 - Antiy-AVL 2.0.3.7 2011.12.14 - Avast 6.0.1289.0 2011.12.14 - AVG 10.0.0.1190 2011.12.14 - BitDefender 7.2 2011.12.14 - ByteHero 1.0.0.1 2011.12.07 - CAT-QuickHeal 12.00 2011.12.14 - ClamAV 0.97.3.0 2011.12.14 - Commtouch 5.3.2.6 2011.12.14 - Comodo 10955 2011.12.14 - DrWeb 5.0.2.03300 2011.12.14 - Emsisoft 5.1.0.11 2011.12.14 - eSafe 7.0.17.0 2011.12.13 - eTrust-Vet 37.0.9623 2011.12.14 - F-Prot 4.6.5.141 2011.12.13 - F-Secure 9.0.16440.0 2011.12.14 - Fortinet 4.3.388.0 2011.12.14 - GData 22.307/22.576 2011.12.14 - Ikarus T3.1.1.109.0 2011.12.14 - Jiangmin 13.0.900 2011.12.14 - K7AntiVirus 9.119.5684 2011.12.14 - Kaspersky 9.0.0.837 2011.12.14 - McAfee 5.400.0.1158 2011.12.14 - McAfee-GW-Edition 2010.1E 2011.12.14 - Microsoft 1.7903 2011.12.14 - NOD32 6711 2011.12.14 - Norman 6.07.13 2011.12.14 - nProtect 2011-12-14.01 2011.12.14 - Panda 10.0.3.5 2011.12.14 - PCTools 8.0.0.5 2011.12.14 - Prevx 3.0 2011.12.14 - Rising 23.88.02.02 2011.12.14 - Sophos 4.72.0 2011.12.14 - SUPERAntiSpyware 4.40.0.1006 2011.12.14 - Symantec 20111.2.0.82 2011.12.14 - TheHacker 6.7.0.1.356 2011.12.11 - TrendMicro 9.500.0.1008 2011.12.14 - TrendMicro-HouseCall 9.500.0.1008 2011.12.14 - VBA32 3.12.16.4 2011.12.14 - VIPRE 11249 2011.12.14 - ViRobot 2011.12.14.4825 2011.12.14 - VirusBuster 14.1.115.0 2011.12.14 - Additional informationShow all MD5 : cd372c250481170d0f873f42f73a0518 SHA1 : 74d16ce1900815a60c381aff2d1d43f0f5c3af87 SHA256: 086ac279465159a880a51e51aca53bda6d9adc20fded83e0e4d4e343dea03ddd ssdeep: 3:d/nlHvF9/V/3/UwllllX2qjDUgCsGBqGk3t/t8famVlaXkdl3Sf/l:d/JiQ/PjggCxqGkdlTG a0m File size : 545 bytes First seen: 2009-03-26 02:59:26 Last seen : 2011-12-14 16:38:12 TrID: Windows Program Information (100.0%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned ExifTool: file metadata Error: Unknown file type FileSize: 545 bytes |
|
14.12.2011, 17:58
| #11 |
| | Ordner auf Speicherkarte nur noch Verknüpfung Hi, Datei hochladen: http://www.trojaner-board.de/54791-a...ner-board.html Folge den Anweisungen dort und lade die Datei: Code:
ATTFilter C:\WINDOWS\System32\drivers\asyck.sys
C:\WINDOWS\UC.PIF
Bitte den Rest ebenfalls noch ausführen... Die PIF-Dateien aus dem Script rausnehmen...(Obwohl die mir nicht sauber erscheinen)... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
14.12.2011, 18:11
| #12 |
| | Ordner auf Speicherkarte nur noch Verknüpfung log file von gmer: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-12-14 18:09:05
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 HTS541010G9AT00 rev.MBZOA60A
Running: zhl6thsv.exe; Driver: C:\DOKUME~1\Sven\LOKALE~1\Temp\uwliqpog.sys
---- System - GMER 1.0.15 ----
SSDT F8C5D1B4 ZwClose
SSDT F8C5D16E ZwCreateKey
SSDT F8C5D1BE ZwCreateSection
SSDT F8C5D164 ZwCreateThread
SSDT F8C5D173 ZwDeleteKey
SSDT F8C5D17D ZwDeleteValueKey
SSDT F8C5D1AF ZwDuplicateObject
SSDT F8C5D182 ZwLoadKey
SSDT F8C5D150 ZwOpenProcess
SSDT F8C5D155 ZwOpenThread
SSDT F8C5D1D7 ZwQueryValueKey
SSDT F8C5D18C ZwReplaceKey
SSDT F8C5D1C8 ZwRequestWaitReplyPort
SSDT F8C5D187 ZwRestoreKey
SSDT F8C5D1C3 ZwSetContextThread
SSDT F8C5D1CD ZwSetSecurityObject
SSDT F8C5D178 ZwSetValueKey
SSDT F8C5D1D2 ZwSystemDebugControl
SSDT F8C5D15F ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF81E4F80]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 411954D5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41365397 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 413652C9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41365334 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136519A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413651FC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413653FA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 4136525E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 411954D5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AD1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D10D C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D464E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41365397 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 413652C9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41365334 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 4136519A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413651FC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413653FA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 4136525E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] ole32.dll!CoCreateInstance 774CF1AC 5 Bytes JMP 4126DBA0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\iexplore.exe[3300] ole32.dll!OleLoadFromStream 774F981B 5 Bytes JMP 413656FF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Programme\Internet Explorer\iexplore.exe[3300] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs B7034400
---- EOF - GMER 1.0.15 ----
|
|
14.12.2011, 18:20
| #13 |
| | Ordner auf Speicherkarte nur noch Verknüpfung Hallo ich kann die den Report vom TDSS nicht kopieren. Ich habs mit makieren und Rechtsklick versucht. Da passiert nichts. Eine andere Möglichkeit sehe ich da nicht, oder schnalle ich da was nicht? Gefunden hat TDSS jedenfalls nichts. Die Ergebnisse von Virustotal habe ich doch Hochgeladen. Habe ich das was nicht Verstanden? |
|
14.12.2011, 18:29
| #14 |
| | Ordner auf Speicherkarte nur noch Verknüpfung Habs nun mit dem hochladen gecheckt. hab asyck.sys und UC.PIF hochgeladen. aber was meinst du mit aus dem script rausnehmen? |
|
14.12.2011, 19:02
| #15 |
| | Ordner auf Speicherkarte nur noch Verknüpfung Hi, nur ad hier von OTL durchfürehn lassen... Code:
ATTFilter
:OTL
SRV - (HidServ) -- File not found
SRV - (AppMgmt) -- File not found
O4 - HKLM..\Run: [] File not found
O32 - AutoRun File - [2011.11.07 10:32:58 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ FAT32 ]
Danach noch den Flashdesinfector... (sieh postings)... chris chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Ordner auf Speicherkarte nur noch Verknüpfung |
| befindet, beheben, bilder, cmd.exe, computer, datei, digitalkamera, ersetzt, fehler, laufen, namens, neue, nicht mehr, ordner, recht, recycler, recycler\, recycler\470a1245.exe, schön, speicherkarte, start, system, system32, unsicher, usb/speicherkarten nur och verknüpfungen, verknüpfung, versteckter ordner, wahrscheinlich |
Linear-Darstellung
