Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 21.12.2011, 14:33   #1
Mephisto_
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



Hallo TB Team,

Weihnachtsurlaub bei den Eltern und bei der Überprüfung des PCs dann eine böse Überraschung. Der PC ist offen wie ein Scheunentor. Völlig veraltete Programme, automatische Updates waren deaktiviert, mein Vater hat die Avira Scans abgebrochen zum Teil, weil es ihn gestört hat etc. pp. Da werde ich über die Feiertage mal versuchen alles wieder hinzukriegen und ein Bewusstsein für PC Sicherheit zu schaffen.

Also es sieht so aus: Denke an einer Neuaufsetzung führt kein Weg vorbei.

AntiVir findet folgendes:


Code:
ATTFilter


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 21. Dezember 2011  13:08

Es wird nach 3592199 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000****6-AD***-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ***

Versionsinformationen:
BUILD.DAT      : 10.2.0.704     35934 Bytes  28.09.2011 13:14:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  03.07.2011 10:22:58
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  03.07.2011 10:22:58
LUKE.DLL       : 10.3.0.5       45416 Bytes  03.07.2011 10:22:58
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  03.07.2011 10:22:58
AVREG.DLL      : 10.3.0.9       88833 Bytes  13.07.2011 19:12:19
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 16:13:54
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 16:45:51
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 16:25:33
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 15:44:34
VBASE005.VDF   : 7.11.10.251  1788416 Bytes  07.07.2011 08:02:25
VBASE006.VDF   : 7.11.13.60   6411776 Bytes  16.08.2011 10:06:27
VBASE007.VDF   : 7.11.15.106  2389504 Bytes  05.10.2011 16:04:10
VBASE008.VDF   : 7.11.18.32   2132992 Bytes  24.11.2011 10:07:13
VBASE009.VDF   : 7.11.18.33      2048 Bytes  24.11.2011 10:07:13
VBASE010.VDF   : 7.11.18.34      2048 Bytes  24.11.2011 10:07:13
VBASE011.VDF   : 7.11.18.35      2048 Bytes  24.11.2011 10:07:13
VBASE012.VDF   : 7.11.18.36      2048 Bytes  24.11.2011 10:07:13
VBASE013.VDF   : 7.11.18.89    204800 Bytes  28.11.2011 10:46:18
VBASE014.VDF   : 7.11.18.145   143872 Bytes  01.12.2011 10:46:19
VBASE015.VDF   : 7.11.18.180   173056 Bytes  02.12.2011 10:46:20
VBASE016.VDF   : 7.11.18.208   164864 Bytes  05.12.2011 17:08:12
VBASE017.VDF   : 7.11.18.239   177152 Bytes  06.12.2011 17:10:17
VBASE018.VDF   : 7.11.19.36    171520 Bytes  09.12.2011 14:57:04
VBASE019.VDF   : 7.11.19.77    144896 Bytes  13.12.2011 18:45:14
VBASE020.VDF   : 7.11.19.115   177664 Bytes  15.12.2011 15:59:32
VBASE021.VDF   : 7.11.19.137   139776 Bytes  16.12.2011 15:59:32
VBASE022.VDF   : 7.11.19.138     2048 Bytes  16.12.2011 15:59:32
VBASE023.VDF   : 7.11.19.139     2048 Bytes  16.12.2011 15:59:33
VBASE024.VDF   : 7.11.19.140     2048 Bytes  16.12.2011 15:59:33
VBASE025.VDF   : 7.11.19.141     2048 Bytes  16.12.2011 15:59:33
VBASE026.VDF   : 7.11.19.142     2048 Bytes  16.12.2011 15:59:33
VBASE027.VDF   : 7.11.19.143     2048 Bytes  16.12.2011 15:59:33
VBASE028.VDF   : 7.11.19.144     2048 Bytes  16.12.2011 15:59:33
VBASE029.VDF   : 7.11.19.145     2048 Bytes  16.12.2011 15:59:33
VBASE030.VDF   : 7.11.19.146     2048 Bytes  16.12.2011 15:59:33
VBASE031.VDF   : 7.11.19.162   105472 Bytes  19.12.2011 00:14:20
Engineversion  : 8.2.8.8   
AEVDF.DLL      : 8.1.2.2       106868 Bytes  29.10.2011 15:15:08
AESCRIPT.DLL   : 8.1.3.92      495996 Bytes  17.12.2011 15:59:38
AESCN.DLL      : 8.1.7.2       127349 Bytes  28.11.2010 17:04:26
AESBX.DLL      : 8.2.4.5       434549 Bytes  04.12.2011 10:46:33
AERDL.DLL      : 8.1.9.15      639348 Bytes  10.09.2011 13:51:43
AEPACK.DLL     : 8.2.15.1      770423 Bytes  13.12.2011 18:45:16
AEOFFICE.DLL   : 8.1.2.24      201084 Bytes  17.12.2011 15:59:37
AEHEUR.DLL     : 8.1.3.8      4231543 Bytes  17.12.2011 15:59:37
AEHELP.DLL     : 8.1.18.0      254327 Bytes  29.10.2011 15:15:04
AEGEN.DLL      : 8.1.5.17      405877 Bytes  09.12.2011 14:57:06
AEEMU.DLL      : 8.1.3.0       393589 Bytes  28.11.2010 17:03:40
AECORE.DLL     : 8.1.24.2      201080 Bytes  17.12.2011 15:59:34
AEBB.DLL       : 8.1.1.0        53618 Bytes  22.09.2010 08:34:27
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  03.07.2011 10:22:58
AVREP.DLL      : 10.0.0.10     174120 Bytes  17.05.2011 18:47:31
AVARKT.DLL     : 10.0.26.1     255336 Bytes  03.07.2011 10:22:58
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  03.07.2011 10:22:58
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  03.07.2011 10:22:57
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  03.07.2011 10:22:57

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Mittwoch, 21. Dezember 2011  13:08

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIFBE.EXE' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'EEventManager.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIAAE.EXE' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '152' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '13' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '418' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U4ARI2DI\animate[1].js
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akt
C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJPDP8MI\dot-it-yourself[2].htm
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akt

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJPDP8MI\dot-it-yourself[2].htm
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akt
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dc17678.qua' verschoben!
C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Temporary Internet Files\Content.IE5\U4ARI2DI\animate[1].js
  [FUND]      Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.akt
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '556959de.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 21. Dezember 2011  13:35
Benötigte Zeit: 24:10 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   2961 Verzeichnisse wurden überprüft
 163412 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 163410 Dateien ohne Befall
   1020 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise
 258395 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         
Malwarebytes (hier wird es böse)

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 911122103

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

21.12.2011 14:12:10
mbam-log-2011-12-21 (14-12-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 209385
Laufzeit: 17 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programme\icqtoolbar\toolbaru.dll (Trojan.BHO) -> Delete on reboot.
         
Die Dateien konnten NICHT gelöscht werden, sie befinden sich immer noch in Quarantäne.


Defogger

Code:
ATTFilter
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:42 on 21/12/2011 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
         
OTL


Code:
ATTFilter
OTL logfile created on: 21.12.2011 13:43:56 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\Metzger\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,94 Gb Total Physical Memory | 1,38 Gb Available Physical Memory | 71,05% Memory free
3,79 Gb Paging File | 3,31 Gb Available in Paging File | 87,51% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 224,52 Gb Free Space | 96,41% Space Free | Partition Type: NTFS
 
Computer Name: *** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.12.21 13:43:13 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Metzger\Desktop\OTL.exe
PRC - [2011.12.21 13:39:32 | 000,471,664 | ---- | M] (Google Inc.) -- C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Temp\Google Toolbar\gtb14A.tmp.exe
PRC - [2011.07.03 11:22:58 | 000,400,040 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avcenter.exe
PRC - [2011.07.03 11:22:58 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.04.28 18:41:22 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.11.07 16:59:30 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe
PRC - [2008.12.04 13:24:30 | 000,665,424 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\Programme\Epson Software\Event Manager\EEventManager.exe
PRC - [2008.09.27 00:00:00 | 000,199,680 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIFBE.EXE
PRC - [2007.06.13 14:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2005.01.25 05:00:00 | 000,098,304 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIAAE.EXE
PRC - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2010.01.28 12:57:53 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe
MOD - [2008.12.03 14:05:26 | 000,135,168 | ---- | M] () -- C:\Programme\Epson Software\Event Manager\Assistants\Scan Assistant\ScanEngine.dll
MOD - [2008.11.26 10:56:02 | 000,057,344 | ---- | M] () -- C:\Programme\Epson Software\Event Manager\Assistants\Scan Assistant\Satwain.dll
MOD - [2007.09.20 17:34:58 | 000,129,024 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
MOD - [2007.04.20 20:32:00 | 000,466,944 | ---- | M] () -- C:\WINDOWS\system32\nvshell.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.07.03 11:22:58 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.04.28 18:41:22 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () [Auto | Running] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)
SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.20 00:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.07.03 11:22:58 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.03 11:22:58 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 11:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.05.11 09:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2007.05.10 17:28:08 | 004,419,584 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007.03.06 11:27:32 | 000,019,968 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2007.03.06 11:27:28 | 000,058,752 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2005.05.22 01:00:00 | 000,015,104 | R--- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmunet.sys -- (AVMUNET)
DRV - [2005.03.16 07:23:54 | 000,013,696 | R--- | M] (BIOSTAR Group) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\BIOS.sys -- (BIOS)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
O1 HOSTS File: ([2006.02.28 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (XTTBPos00 Class) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll (IE Toolbar)
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKCU\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Germany GmbH)
O3 - HKCU\..\Toolbar\WebBrowser: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKCU\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [EEventManager] C:\Programme\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKCU..\Run: [EPSON SX110 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE (SEIKO EPSON CORPORATION)
O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil10p_ActiveX.exe (Adobe Systems, Inc.)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe File not found
O9 - Extra 'Tools' menuitem : Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe File not found
O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6.5\ICQ.exe File not found
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6.5\ICQ.exe File not found
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190145332640 (WUWebControl Class)
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} hxxp://static.ak.schuelervz.net/photouploader/ImageUploader4.cab (Image Uploader Control)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1CA1DDC1-4698-4D9A-A007-D91B17EFEEED}: DhcpNameServer = 192.168.2.1 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.09.16 23:46:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpReg: NvCplDaemon - hkey= - key= -  File not found
MsConfig - StartUpReg: NvMediaCenter - hkey= - key= -  File not found
MsConfig - StartUpReg: nwiz - hkey= - key= -  File not found
MsConfig - StartUpReg: SkyTel - hkey= - key= - C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.12.21 13:43:10 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Metzger\Desktop\OTL.exe
[2011.12.21 13:35:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Metzger\Desktop\Reinigung des PC
[2011.12.21 13:08:14 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2011.12.21 12:52:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\Avira
[9 C:\Dokumente und Einstellungen\Metzger\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\Metzger\Desktop\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.12.21 13:43:13 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Metzger\Desktop\OTL.exe
[2011.12.21 13:42:28 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Metzger\defogger_reenable
[2011.12.21 12:40:23 | 000,464,842 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.12.21 12:40:23 | 000,442,812 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.12.21 12:40:23 | 000,099,276 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.12.21 12:40:23 | 000,089,408 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.12.21 12:35:57 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.12.21 12:35:56 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.12.18 16:27:29 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\Metzger\Desktop\Microsoft Office Word 2003.lnk
[2011.12.17 18:52:48 | 000,002,235 | ---- | M] () -- C:\Dokumente und Einstellungen\Metzger\Desktop\Skype.lnk
[2011.11.27 19:34:53 | 000,098,182 | ---- | M] () -- C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\388479_10150482762255229_583355228_10546421_2143923001_n.jpg
[9 C:\Dokumente und Einstellungen\Metzger\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\Metzger\Desktop\*.tmp -> ]
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.12.21 13:42:28 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Metzger\defogger_reenable
[2011.11.27 19:33:25 | 000,098,182 | ---- | C] () -- C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\388479_10150482762255229_583355228_10546421_2143923001_n.jpg
[2009.12.18 12:06:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\EEventManager.INI
[2009.12.18 11:46:37 | 000,111,932 | ---- | C] () -- C:\WINDOWS\System32\EPPICPrinterDB.dat
[2009.12.18 11:46:37 | 000,031,053 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern131.dat
[2009.12.18 11:46:37 | 000,027,417 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern121.dat
[2009.12.18 11:46:37 | 000,026,154 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern1.dat
[2009.12.18 11:46:37 | 000,024,903 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern3.dat
[2009.12.18 11:46:37 | 000,021,390 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern5.dat
[2009.12.18 11:46:37 | 000,020,148 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern2.dat
[2009.12.18 11:46:37 | 000,011,811 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern4.dat
[2009.12.18 11:46:37 | 000,004,943 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern6.dat
[2009.12.18 11:46:37 | 000,001,146 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_DU.dat
[2009.12.18 11:46:37 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_PT.dat
[2009.12.18 11:46:37 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_BP.dat
[2009.12.18 11:46:37 | 000,001,136 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_ES.dat
[2009.12.18 11:46:37 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_FR.dat
[2009.12.18 11:46:37 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_CF.dat
[2009.12.18 11:46:37 | 000,001,120 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_IT.dat
[2009.12.18 11:46:37 | 000,001,107 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_GE.dat
[2009.12.18 11:46:37 | 000,001,104 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_EN.dat
[2009.12.18 11:46:37 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2009.12.07 16:41:06 | 000,000,025 | ---- | C] () -- C:\WINDOWS\CDED68PE.ini
[2009.01.02 14:20:58 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2008.06.10 16:42:10 | 000,067,104 | ---- | C] () -- C:\WINDOWS\unTMV.exe
[2008.01.14 17:24:19 | 000,007,680 | ---- | C] () -- C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.01.14 17:24:19 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007.09.18 22:47:25 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.09.18 22:39:27 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_Start.INI
[2007.09.18 18:11:31 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2007.09.18 18:09:41 | 000,001,732 | ---- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin
[2007.09.17 00:25:11 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2007.09.17 00:24:05 | 000,259,048 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007.09.16 23:48:13 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2007.09.16 23:43:35 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2007.04.20 20:32:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007.04.20 20:32:00 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2007.04.20 20:32:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007.04.20 20:32:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2007.04.20 20:32:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007.04.20 20:32:00 | 001,018,748 | ---- | C] () -- C:\WINDOWS\System32\nvucode.bin
[2007.04.20 20:32:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007.04.20 20:32:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2007.04.20 20:32:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2007.04.20 20:32:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.02.28 13:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2006.02.28 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2006.02.28 13:00:00 | 000,464,842 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2006.02.28 13:00:00 | 000,442,812 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2006.02.28 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2006.02.28 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2006.02.28 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2006.02.28 13:00:00 | 000,099,276 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2006.02.28 13:00:00 | 000,089,408 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2006.02.28 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2006.02.28 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2006.02.28 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2006.02.28 13:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2006.02.28 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.02.28 13:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2006.02.28 13:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2006.02.28 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.02.20 14:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
========== LOP Check ==========
 
[2009.12.18 11:54:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2010.02.16 19:54:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2009.12.16 12:17:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSScanAppDataDir
[2009.12.18 11:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2011.09.03 09:46:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\Epson
[2007.11.11 16:06:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\ICQ
[2010.02.11 21:32:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\ICQ Toolbar
[2009.01.03 16:27:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\TeamViewer
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011.04.25 12:27:53 | 000,000,000 | -HSD | M] -- C:\Config.Msi
[2007.09.17 01:01:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2007.09.28 08:55:40 | 000,000,000 | ---D | M] -- C:\f22196ec7894280848db3f
[2008.07.14 18:10:00 | 000,000,000 | ---D | M] -- C:\Poker
[2010.09.22 09:27:55 | 000,000,000 | R--D | M] -- C:\Programme
[2007.09.18 22:49:51 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011.12.21 13:32:46 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.12.07 06:37:06 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.manifest /3 >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: AFD.SYS  >
[2006.02.28 13:00:00 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=5AC495F4CB807B2B98AD2AD591E6D92E -- C:\WINDOWS\system32\dllcache\afd.sys
[2006.02.28 13:00:00 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=5AC495F4CB807B2B98AD2AD591E6D92E -- C:\WINDOWS\system32\drivers\afd.sys
 
< MD5 for: EXPLORER.EXE  >
[2006.02.28 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
[2007.06.13 14:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
[2007.06.13 14:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\explorer.exe
[2007.06.13 14:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\system32\dllcache\explorer.exe
 
< MD5 for: IPSEC.SYS  >
[2006.02.28 13:00:00 | 000,074,752 | ---- | M] (Microsoft Corporation) MD5=64537AA5C003A6AFEEE1DF819062D0D1 -- C:\WINDOWS\system32\dllcache\ipsec.sys
[2006.02.28 13:00:00 | 000,074,752 | ---- | M] (Microsoft Corporation) MD5=64537AA5C003A6AFEEE1DF819062D0D1 -- C:\WINDOWS\system32\drivers\ipsec.sys
 
< MD5 for: REGEDIT.EXE  >
[2006.02.28 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\regedit.exe
[2006.02.28 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\system32\dllcache\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2007.03.08 16:32:24 | 001,843,712 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2007-09-28 07:13:24
 
<           >

< End of report >
         

Extras

Code:
ATTFilter
OTL Extras logfile created on: 21.12.2011 13:43:56 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\Metzger\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,94 Gb Total Physical Memory | 1,38 Gb Available Physical Memory | 71,05% Memory free
3,79 Gb Paging File | 3,31 Gb Available in Paging File | 87,51% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 224,52 Gb Free Space | 96,41% Space Free | Partition Type: NTFS
 
Computer Name: *** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6\ICQ.exe" = C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6\ICQ.exe:*:Enabled:ICQ6
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\Epson Software\Event Manager\EEventManager.exe" = C:\Programme\Epson Software\Event Manager\EEventManager.exe:*:Enabled:EEventManager Application -- (SEIKO EPSON CORPORATION)
"C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6.5\ICQ.exe" = C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6.5\ICQ.exe:*:Enabled:ICQ6
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1E04F83B-2AB9-4301-9EF7-E86307F79C72}" = Google Earth
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4781569D-5404-1F26-4B2B-6DF444441031}" = Nero 7 Ultra Edition
"{48F22622-1CC2-4A83-9C1E-644DD96F832D}" = Epson Event Manager
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}" = EPSON Web-To-Page
"{87C2248A-C7DD-49ED-9BCD-B312A9D0819E}" = Epson Easy Photo Print 2
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint
"{DBEA1034-5882-4A88-8033-81C4EF0CFA29}" = Google Toolbar for Internet Explorer
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"DynGate" = DynGate
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"EPSON Scanner" = EPSON Scan
"Epson Stylus SX110_TX110 Benutzerhandbuch" = Epson Stylus SX110_TX110 Handbuch
"EPSON SX110 Series" = EPSON SX110 Series Printer Uninstall
"ER Mapper ECW JPEG 2000 Plug-in for Internet Explorer" = ER Mapper ECW JPEG 2000 Plug-in for Internet Explorer [3.4.0.242]
"ICQToolbar" = ICQ Toolbar
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"Picasa2" = Picasa 2
"TeamViewer" = TeamViewer
"TeamViewer 4" = TeamViewer 4
"Titan Poker" = Titan Poker
"WinRAR archiver" = WinRAR
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 12.08.2010 13:43:05 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 14.08.2010 07:54:50 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 14.08.2010 07:54:50 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 14.08.2010 07:54:50 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 15.08.2010 07:19:17 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 15.08.2010 07:19:17 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 15.08.2010 07:19:17 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 17.08.2010 14:37:54 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.08.2010 14:37:54 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.08.2010 14:37:54 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
[ Application Events ]
Error - 12.08.2010 13:43:05 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 14.08.2010 07:54:50 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 14.08.2010 07:54:50 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 14.08.2010 07:54:50 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 15.08.2010 07:19:17 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 15.08.2010 07:19:17 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 15.08.2010 07:19:17 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 17.08.2010 14:37:54 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.08.2010 14:37:54 | Computer Name = *** | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.08.2010 14:37:54 | Computer Name = *** | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
[ System Events ]
Error - 29.08.2011 06:08:11 | Computer Name = *** | Source = System Error | ID = 1003
Description = Fehlercode 0000004e, 1. Parameter 00000099, 2. Parameter 000355e2,
 3. Parameter 00000001, 4. Parameter 00000000.
 
Error - 03.09.2011 04:42:23 | Computer Name = *** | Source = System Error | ID = 1003
Description = Fehlercode 0000004e, 1. Parameter 00000099, 2. Parameter 00035454,
 3. Parameter 00000001, 4. Parameter 00000000.
 
Error - 21.12.2011 08:21:04 | Computer Name = *** | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
 Sie chkdsk auf Volume "C:" aus.
 
 
< End of report >
         

Ein großes Dankeschön von mir und meinen Eltern im Voraus.

Grüße
mephisto

Alt 21.12.2011, 15:45   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________

__________________

Alt 21.12.2011, 16:51   #3
Mephisto_
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



Hallo Arne,

beim Start des PCs kam vorhin folgende Meldung, die ersten beiden Zeilen mehrfach untereinander gereiht:

"Ein Indexeintrag wird aus dem Index $0 in der Datei 25 gelöscht.
Ein Indexeintrag wird in Index $0 der Datei 25 eingefügt.
Indexüberprüfung beendet.
CHKDSK wird geprüft." ( und noch einiges mehr, das ging zu schnell)

Hier das ESET Log:


Code:
ATTFilter
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=7.00.6000.17055 (vista_gdr.100414-0533)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4378e0338f181f4b9c9fa244425f78a8
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-21 03:48:15
# local_time=2011-12-21 04:48:15 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1280 16777215 100 0 134328711 134328711 0 0
# compatibility_mode=1797 16775141 100 93 287249 61017921 137385 0
# compatibility_mode=8192 67108863 100 0 3753 3753 0 0
# scanned=62676
# found=1
# cleaned=0
# scan_time=1431
C:\Dokumente und Einstellungen\Metzger\Lokale Einstellungen\Temp\ptu7_tmp.exe	Win32/PTCasino application (unable to clean)	00000000000000000000000000000000	I
         

Dankeschön!
__________________

Alt 21.12.2011, 19:14   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:
ATTFilter
:OTL
PRC - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe
MOD - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe
SRV - [2009.06.01 22:20:12 | 000,222,968 | ---- | M] () [Auto | Running] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKCU\..\Toolbar\WebBrowser: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O9 - Extra Button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe File not found
O9 - Extra 'Tools' menuitem : Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.09.16 23:46:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2010.02.11 21:32:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\ICQ Toolbar
[2007.09.28 08:55:40 | 000,000,000 | ---D | M] -- C:\f22196ec7894280848db3f
:Files
C:\Programme\ICQ6Toolbar
:Commands
[emptytemp]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.12.2011, 19:56   #5
Mephisto_
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



Im Anschluss an den Fix mit OTL kam nach dem Neustart 4-5 Mal die Fehlermeldung " Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt." Weiterhin tauchten auf dem Desktop durchsichtige Dateien auf, die vorher nicht da waren. Nach 2-3 Minuten verschwanden diese aber wieder.

Was mir gerade Sorgen macht: In den logfiles von Avira, ESET und OTL bin ich nun öfter über den User "Metzger" gestolpert. Der PC hat nur ein Konto und das heisst anders! Ich habs nochmal in der Benutzerkontensteuerung nachgesehen. Ein Gastkonto ist ebenfalls nicht aktiviert. Das "Metzger"Konto taucht bei den gefunden Viren auch oft auf. Wie ist das möglich? Hat da jemand Zugriff oder wie kann sowas sein?

Das log file vom OTL Fix:


Code:
ATTFilter
 All processes killed
========== OTL ==========
No active process named ICQ Service.exe was found!
Service ICQ Service stopped successfully!
Service ICQ Service deleted successfully!
C:\Programme\ICQ6Toolbar\ICQ Service.exe moved successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ deleted successfully.
C:\Programme\ICQ6Toolbar\ICQToolBar.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ not found.
File C:\Programme\ICQ6Toolbar\ICQToolBar.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}\ not found.
File C:\Programme\ICQ6Toolbar\ICQToolBar.dll not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{49783ED4-258D-4f9f-BE11-137C18D3E543}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49783ED4-258D-4f9f-BE11-137C18D3E543}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{49783ED4-258D-4f9f-BE11-137C18D3E543}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{49783ED4-258D-4f9f-BE11-137C18D3E543}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
C:\Dokumente und Einstellungen\Metzger\Anwendungsdaten\ICQ Toolbar folder moved successfully.
C:\f22196ec7894280848db3f\update folder moved successfully.
C:\f22196ec7894280848db3f\iem folder moved successfully.
C:\f22196ec7894280848db3f folder moved successfully.
========== FILES ==========
C:\Programme\ICQ6Toolbar folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 13602187 bytes
 
User: Metzger
->Temp folder emptied: 135695662 bytes
->Temporary Internet Files folder emptied: 582891667 bytes
->Flash cache emptied: 18701 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2219449 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16488615 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 716,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.31.0 log created on 12212011_194142

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
         


Alt 21.12.2011, 20:41   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
--> Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry

Alt 22.12.2011, 09:22   #7
Mephisto_
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



TDSS Killer:


Code:
ATTFilter
09:10:27.0375 3868	TDSS rootkit removing tool 2.6.23.0 Dec 13 2011 10:39:31
09:10:27.0453 3868	============================================================
09:10:27.0453 3868	Current date / time: 2011/12/22 09:10:27.0453
09:10:27.0453 3868	SystemInfo:
09:10:27.0453 3868	
09:10:27.0453 3868	OS Version: 5.1.2600 ServicePack: 2.0
09:10:27.0453 3868	Product type: Workstation
09:10:27.0453 3868	ComputerName: ***
09:10:27.0453 3868	UserName: ***
09:10:27.0453 3868	Windows directory: C:\WINDOWS
09:10:27.0453 3868	System windows directory: C:\WINDOWS
09:10:27.0453 3868	Processor architecture: Intel x86
09:10:27.0453 3868	Number of processors: 2
09:10:27.0453 3868	Page size: 0x1000
09:10:27.0453 3868	Boot type: Normal boot
09:10:27.0453 3868	============================================================
09:10:28.0187 3868	Initialize success
09:12:12.0750 3124	============================================================
09:12:12.0750 3124	Scan started
09:12:12.0750 3124	Mode: Manual; SigCheck; TDLFS; 
09:12:12.0750 3124	============================================================
09:12:13.0421 3124	Abiosdsk - ok
09:12:13.0421 3124	abp480n5 - ok
09:12:13.0453 3124	ACPI            (94b4741d2cf9ed38140b831293d1601a) C:\WINDOWS\system32\DRIVERS\ACPI.sys
09:12:13.0625 3124	ACPI - ok
09:12:13.0656 3124	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
09:12:13.0765 3124	ACPIEC - ok
09:12:13.0781 3124	adpu160m - ok
09:12:13.0812 3124	aec             (1ee7b434ba961ef845de136224c30fec) C:\WINDOWS\system32\drivers\aec.sys
09:12:14.0046 3124	aec - ok
09:12:14.0078 3124	AFD             (55e6e1c51b6d30e54335750955453702) C:\WINDOWS\System32\drivers\afd.sys
09:12:14.0078 3124	AFD - ok
09:12:14.0093 3124	Aha154x - ok
09:12:14.0093 3124	aic78u2 - ok
09:12:14.0109 3124	aic78xx - ok
09:12:14.0125 3124	AliIde - ok
09:12:14.0125 3124	amsint - ok
09:12:14.0140 3124	asc - ok
09:12:14.0156 3124	asc3350p - ok
09:12:14.0156 3124	asc3550 - ok
09:12:14.0203 3124	AsyncMac        (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
09:12:14.0312 3124	AsyncMac - ok
09:12:14.0343 3124	atapi           (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
09:12:14.0453 3124	atapi - ok
09:12:14.0453 3124	Atdisk - ok
09:12:14.0468 3124	Atmarpc         (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
09:12:14.0578 3124	Atmarpc - ok
09:12:14.0609 3124	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
09:12:14.0734 3124	audstub - ok
09:12:14.0890 3124	avgio           (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
09:12:14.0906 3124	avgio - ok
09:12:15.0140 3124	avgntflt        (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
09:12:15.0187 3124	avgntflt - ok
09:12:15.0218 3124	avipbb          (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys
09:12:15.0234 3124	avipbb - ok
09:12:15.0250 3124	AVMUNET         (077b3692f4376d1539755761feef659a) C:\WINDOWS\system32\DRIVERS\avmunet.sys
09:12:15.0281 3124	AVMUNET - ok
09:12:15.0312 3124	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
09:12:15.0421 3124	Beep - ok
09:12:15.0468 3124	BIOS            (be5d50529799b9bab6be879ec768b6cf) C:\WINDOWS\system32\drivers\BIOS.sys
09:12:15.0500 3124	BIOS ( UnsignedFile.Multi.Generic ) - warning
09:12:15.0500 3124	BIOS - detected UnsignedFile.Multi.Generic (1)
09:12:15.0531 3124	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
09:12:15.0640 3124	cbidf2k - ok
09:12:15.0640 3124	cd20xrnt - ok
09:12:15.0671 3124	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
09:12:15.0781 3124	Cdaudio - ok
09:12:15.0828 3124	Cdfs            (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
09:12:15.0953 3124	Cdfs - ok
09:12:15.0984 3124	Cdrom           (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
09:12:16.0093 3124	Cdrom - ok
09:12:16.0109 3124	Changer - ok
09:12:16.0125 3124	CmdIde - ok
09:12:16.0140 3124	Cpqarray - ok
09:12:16.0156 3124	dac2w2k - ok
09:12:16.0156 3124	dac960nt - ok
09:12:16.0187 3124	Disk            (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
09:12:16.0296 3124	Disk - ok
09:12:16.0328 3124	dmboot          (5789b83ba87fc84c3568cf86cacef8ce) C:\WINDOWS\system32\drivers\dmboot.sys
09:12:16.0453 3124	dmboot - ok
09:12:16.0468 3124	dmio            (084eb0a50a4f7b4705c8a57f234e5291) C:\WINDOWS\system32\drivers\dmio.sys
09:12:16.0578 3124	dmio - ok
09:12:16.0593 3124	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
09:12:16.0687 3124	dmload - ok
09:12:16.0734 3124	DMusic          (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
09:12:16.0843 3124	DMusic - ok
09:12:16.0843 3124	dpti2o - ok
09:12:16.0859 3124	drmkaud         (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
09:12:16.0968 3124	drmkaud - ok
09:12:17.0015 3124	Fastfat         (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
09:12:17.0125 3124	Fastfat - ok
09:12:17.0156 3124	Fdc             (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\DRIVERS\fdc.sys
09:12:17.0265 3124	Fdc - ok
09:12:17.0296 3124	Fips            (9e9af89f9b14aa6249065c309ce73bd8) C:\WINDOWS\system32\drivers\Fips.sys
09:12:17.0406 3124	Fips - ok
09:12:17.0437 3124	Flpydisk        (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
09:12:17.0546 3124	Flpydisk - ok
09:12:17.0578 3124	FltMgr          (3d234fb6d6ee875eb009864a299bea29) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
09:12:17.0859 3124	FltMgr - ok
09:12:17.0859 3124	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
09:12:17.0968 3124	Fs_Rec - ok
09:12:18.0015 3124	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
09:12:18.0125 3124	Ftdisk - ok
09:12:18.0156 3124	Gpc             (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
09:12:18.0265 3124	Gpc - ok
09:12:18.0312 3124	HDAudBus        (3fcc124b6e08ee0e9351f717dd136939) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
09:12:18.0328 3124	HDAudBus - ok
09:12:18.0359 3124	hidusb          (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
09:12:18.0453 3124	hidusb - ok
09:12:18.0453 3124	hpn - ok
09:12:18.0484 3124	HTTP            (cb77bb47e67e84deb17ba29632501730) C:\WINDOWS\system32\Drivers\HTTP.sys
09:12:18.0781 3124	HTTP - ok
09:12:18.0796 3124	i2omgmt - ok
09:12:18.0796 3124	i2omp - ok
09:12:18.0843 3124	i8042prt        (7c575018d0413440d75432a78b88c899) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
09:12:18.0984 3124	i8042prt - ok
09:12:19.0000 3124	Imapi           (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
09:12:19.0109 3124	Imapi - ok
09:12:19.0125 3124	InCDFs - ok
09:12:19.0140 3124	InCDPass - ok
09:12:19.0140 3124	InCDRm - ok
09:12:19.0156 3124	ini910u - ok
09:12:19.0343 3124	IntcAzAudAddService (a799e941c3d19bcf6f93cbe12b55bc17) C:\WINDOWS\system32\drivers\RtkHDAud.sys
09:12:19.0468 3124	IntcAzAudAddService - ok
09:12:19.0734 3124	IntelIde - ok
09:12:19.0765 3124	Ip6Fw           (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
09:12:19.0875 3124	Ip6Fw - ok
09:12:19.0921 3124	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
09:12:20.0031 3124	IpFilterDriver - ok
09:12:20.0046 3124	IpInIp          (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
09:12:20.0171 3124	IpInIp - ok
09:12:20.0203 3124	IpNat           (e2168cbc7098ffe963c6f23f472a3593) C:\WINDOWS\system32\DRIVERS\ipnat.sys
09:12:20.0484 3124	IpNat - ok
09:12:20.0515 3124	IPSec           (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
09:12:20.0640 3124	IPSec - ok
09:12:20.0671 3124	IRENUM          (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
09:12:20.0734 3124	IRENUM - ok
09:12:20.0765 3124	isapnp          (ce9b7afdf0a3d7dd8d1487262316b959) C:\WINDOWS\system32\DRIVERS\isapnp.sys
09:12:20.0875 3124	isapnp - ok
09:12:20.0906 3124	Kbdclass        (b128fc0a5cd83f669d5de4b58f77c7d6) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
09:12:21.0000 3124	Kbdclass - ok
09:12:21.0015 3124	kbdhid          (7ec877aa899323b92874fe62c7ddcde7) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
09:12:21.0140 3124	kbdhid - ok
09:12:21.0171 3124	kmixer          (ba5deda4d934e6288c2f66caf58d2562) C:\WINDOWS\system32\drivers\kmixer.sys
09:12:21.0453 3124	kmixer - ok
09:12:21.0484 3124	KSecDD          (674d3e5a593475915dc6643317192403) C:\WINDOWS\system32\drivers\KSecDD.sys
09:12:21.0500 3124	KSecDD - ok
09:12:21.0515 3124	lbrtfdc - ok
09:12:21.0531 3124	MBAMSwissArmy - ok
09:12:21.0578 3124	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
09:12:21.0687 3124	mnmdd - ok
09:12:21.0718 3124	Modem           (91a3da4b12f6f1d760463a7f7857f748) C:\WINDOWS\system32\drivers\Modem.sys
09:12:21.0828 3124	Modem - ok
09:12:21.0859 3124	Mouclass        (71e15ca47fd947552054afb28536268f) C:\WINDOWS\system32\DRIVERS\mouclass.sys
09:12:21.0968 3124	Mouclass - ok
09:12:21.0968 3124	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
09:12:22.0078 3124	mouhid - ok
09:12:22.0093 3124	MountMgr        (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
09:12:22.0203 3124	MountMgr - ok
09:12:22.0218 3124	mraid35x - ok
09:12:22.0218 3124	MRxDAV          (46edcc8f2db2f322c24f48785cb46366) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
09:12:22.0328 3124	MRxDAV - ok
09:12:22.0375 3124	MRxSmb          (fb6c89bb3ce282b08bdb1e3c179e1c39) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
09:12:22.0390 3124	MRxSmb - ok
09:12:22.0406 3124	Msfs            (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
09:12:22.0515 3124	Msfs - ok
09:12:22.0546 3124	MSKSSRV         (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
09:12:22.0656 3124	MSKSSRV - ok
09:12:22.0671 3124	MSPCLOCK        (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
09:12:22.0765 3124	MSPCLOCK - ok
09:12:22.0781 3124	MSPQM           (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
09:12:22.0890 3124	MSPQM - ok
09:12:22.0921 3124	mssmbios        (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
09:12:23.0015 3124	mssmbios - ok
09:12:23.0062 3124	Mup             (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
09:12:23.0171 3124	Mup - ok
09:12:23.0203 3124	NDIS            (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
09:12:23.0312 3124	NDIS - ok
09:12:23.0343 3124	NdisTapi        (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
09:12:23.0453 3124	NdisTapi - ok
09:12:23.0484 3124	Ndisuio         (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
09:12:23.0609 3124	Ndisuio - ok
09:12:23.0625 3124	NdisWan         (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
09:12:23.0718 3124	NdisWan - ok
09:12:23.0750 3124	NDProxy         (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
09:12:23.0859 3124	NDProxy - ok
09:12:23.0875 3124	NetBIOS         (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS\netbios.sys
09:12:23.0984 3124	NetBIOS - ok
09:12:24.0015 3124	NetBT           (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS\netbt.sys
09:12:24.0125 3124	NetBT - ok
09:12:24.0156 3124	Npfs            (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
09:12:24.0250 3124	Npfs - ok
09:12:24.0281 3124	Ntfs            (19a811ef5f1ed5c926a028ce107ff1af) C:\WINDOWS\system32\drivers\Ntfs.sys
09:12:24.0578 3124	Ntfs - ok
09:12:24.0609 3124	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
09:12:24.0703 3124	Null - ok
09:12:24.0859 3124	nv              (f43b110e1e97eb5606ab51aea2a26247) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
09:12:25.0171 3124	nv - ok
09:12:25.0453 3124	NVENETFD        (d875346596bd48d74ac9b9be791b8d69) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
09:12:25.0484 3124	NVENETFD - ok
09:12:25.0765 3124	nvnetbus        (f02c1c5e84c37667ecd3eea5958449bc) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
09:12:25.0796 3124	nvnetbus - ok
09:12:26.0078 3124	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
09:12:26.0187 3124	NwlnkFlt - ok
09:12:26.0468 3124	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
09:12:26.0578 3124	NwlnkFwd - ok
09:12:26.0859 3124	Parport         (b2f17a2edb5450e61973a037f63a595b) C:\WINDOWS\system32\DRIVERS\parport.sys
09:12:26.0968 3124	Parport - ok
09:12:27.0250 3124	PartMgr         (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
09:12:27.0359 3124	PartMgr - ok
09:12:27.0625 3124	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
09:12:27.0750 3124	ParVdm - ok
09:12:28.0031 3124	PCI             (6fb463e5b243fbd6f3d3c83f914d94fb) C:\WINDOWS\system32\DRIVERS\pci.sys
09:12:28.0140 3124	PCI - ok
09:12:28.0390 3124	PCIDump - ok
09:12:28.0687 3124	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
09:12:28.0796 3124	PCIIde - ok
09:12:29.0078 3124	Pcmcia          (e2363f4c1daff89abee5f593e13d8a05) C:\WINDOWS\system32\drivers\Pcmcia.sys
09:12:29.0187 3124	Pcmcia - ok
09:12:29.0453 3124	PDCOMP - ok
09:12:29.0468 3124	PDFRAME - ok
09:12:29.0468 3124	PDRELI - ok
09:12:29.0484 3124	PDRFRAME - ok
09:12:29.0500 3124	perc2 - ok
09:12:29.0500 3124	perc2hib - ok
09:12:29.0546 3124	PptpMiniport    (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERS\raspptp.sys
09:12:29.0656 3124	PptpMiniport - ok
09:12:29.0671 3124	Processor       (3d7f196e77f986c106e9320b81a5ebbf) C:\WINDOWS\system32\DRIVERS\processr.sys
09:12:29.0781 3124	Processor - ok
09:12:29.0781 3124	PSched          (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
09:12:29.0890 3124	PSched - ok
09:12:29.0890 3124	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
09:12:30.0000 3124	Ptilink - ok
09:12:30.0031 3124	PxHelp20        (f7bb4e7a7c02ab4a2672937e124e306e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
09:12:30.0046 3124	PxHelp20 ( UnsignedFile.Multi.Generic ) - warning
09:12:30.0046 3124	PxHelp20 - detected UnsignedFile.Multi.Generic (1)
09:12:30.0046 3124	ql1080 - ok
09:12:30.0062 3124	Ql10wnt - ok
09:12:30.0062 3124	ql12160 - ok
09:12:30.0078 3124	ql1240 - ok
09:12:30.0093 3124	ql1280 - ok
09:12:30.0109 3124	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
09:12:30.0218 3124	RasAcd - ok
09:12:30.0250 3124	Rasl2tp         (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
09:12:30.0359 3124	Rasl2tp - ok
09:12:30.0375 3124	RasPppoe        (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
09:12:30.0468 3124	RasPppoe - ok
09:12:30.0500 3124	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
09:12:30.0609 3124	Raspti - ok
09:12:30.0625 3124	Rdbss           (03b965b1ca47f6ef60eb5e51cb50e0af) C:\WINDOWS\system32\DRIVERS\rdbss.sys
09:12:30.0937 3124	Rdbss - ok
09:12:30.0968 3124	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
09:12:31.0078 3124	RDPCDD - ok
09:12:31.0125 3124	rdpdr           (a2cae2c60bc37e0751ef9dda7ceaf4ad) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
09:12:31.0250 3124	rdpdr - ok
09:12:31.0281 3124	RDPWD           (b54cd38a9ebfbf2b3561426e3fe26f62) C:\WINDOWS\system32\drivers\RDPWD.sys
09:12:31.0578 3124	RDPWD - ok
09:12:31.0609 3124	redbook         (aa56702e230860565cb8d43680f57f33) C:\WINDOWS\system32\DRIVERS\redbook.sys
09:12:31.0718 3124	redbook - ok
09:12:31.0765 3124	Secdrv          (d26e26ea516450af9d072635c60387f4) C:\WINDOWS\system32\DRIVERS\secdrv.sys
09:12:31.0828 3124	Secdrv - ok
09:12:31.0843 3124	serenum         (a2d868aeeff612e70e213c451a70cafb) C:\WINDOWS\system32\DRIVERS\serenum.sys
09:12:31.0953 3124	serenum - ok
09:12:31.0968 3124	Serial          (cd5b9995afcdb466c9efc048d167e3be) C:\WINDOWS\system32\DRIVERS\serial.sys
09:12:32.0078 3124	Serial - ok
09:12:32.0093 3124	Sfloppy         (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\drivers\Sfloppy.sys
09:12:32.0187 3124	Sfloppy - ok
09:12:32.0203 3124	Simbad - ok
09:12:32.0218 3124	Sparrow - ok
09:12:32.0250 3124	splitter        (0ce218578fff5f4f7e4201539c45c78f) C:\WINDOWS\system32\drivers\splitter.sys
09:12:32.0531 3124	splitter - ok
09:12:32.0578 3124	sr              (e4200cb2f418d8fc4acdd7e38c419d6a) C:\WINDOWS\system32\DRIVERS\sr.sys
09:12:32.0656 3124	sr - ok
09:12:32.0687 3124	Srv             (7a4f147cc6b133f905f6e65e2f8669fb) C:\WINDOWS\system32\DRIVERS\srv.sys
09:12:32.0718 3124	Srv - ok
09:12:32.0750 3124	ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
09:12:32.0750 3124	ssmdrv - ok
09:12:32.0796 3124	swenum          (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
09:12:32.0906 3124	swenum - ok
09:12:32.0937 3124	swmidi          (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
09:12:33.0031 3124	swmidi - ok
09:12:33.0046 3124	symc810 - ok
09:12:33.0062 3124	symc8xx - ok
09:12:33.0062 3124	sym_hi - ok
09:12:33.0078 3124	sym_u3 - ok
09:12:33.0093 3124	sysaudio        (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
09:12:33.0203 3124	sysaudio - ok
09:12:33.0234 3124	Tcpip           (2a5554fc5b1e04e131230e3ce035c3f9) C:\WINDOWS\system32\DRIVERS\tcpip.sys
09:12:33.0296 3124	Tcpip - ok
09:12:33.0328 3124	TDPIPE          (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
09:12:33.0421 3124	TDPIPE - ok
09:12:33.0437 3124	TDTCP           (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
09:12:33.0546 3124	TDTCP - ok
09:12:33.0562 3124	TermDD          (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS\termdd.sys
09:12:33.0671 3124	TermDD - ok
09:12:33.0687 3124	TosIde - ok
09:12:33.0718 3124	Udfs            (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
09:12:33.0812 3124	Udfs - ok
09:12:33.0828 3124	ultra - ok
09:12:33.0843 3124	Update          (aff2e5045961bbc0a602bb6f95eb1345) C:\WINDOWS\system32\DRIVERS\update.sys
09:12:33.0937 3124	Update - ok
09:12:33.0968 3124	usbccgp         (bffd9f120cc63bcbaa3d840f3eef9f79) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
09:12:34.0078 3124	usbccgp - ok
09:12:34.0093 3124	usbehci         (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
09:12:34.0203 3124	usbehci - ok
09:12:34.0218 3124	usbhub          (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
09:12:34.0312 3124	usbhub - ok
09:12:34.0343 3124	usbohci         (bdfe799a8531bad8a5a985821fe78760) C:\WINDOWS\system32\DRIVERS\usbohci.sys
09:12:34.0453 3124	usbohci - ok
09:12:34.0468 3124	usbprint        (a42369b7cd8886cd7c70f33da6fcbcf5) C:\WINDOWS\system32\DRIVERS\usbprint.sys
09:12:34.0578 3124	usbprint - ok
09:12:34.0593 3124	usbscan         (a6bc71402f4f7dd5b77fd7f4a8ddba85) C:\WINDOWS\system32\DRIVERS\usbscan.sys
09:12:34.0703 3124	usbscan - ok
09:12:34.0718 3124	USBSTOR         (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
09:12:34.0828 3124	USBSTOR - ok
09:12:34.0859 3124	VgaSave         (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
09:12:34.0953 3124	VgaSave - ok
09:12:34.0968 3124	ViaIde - ok
09:12:34.0984 3124	VolSnap         (d6888520ff56d72a50437e371ca25fc9) C:\WINDOWS\system32\drivers\VolSnap.sys
09:12:35.0093 3124	VolSnap - ok
09:12:35.0125 3124	Wanarp          (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
09:12:35.0234 3124	Wanarp - ok
09:12:35.0250 3124	WDICA - ok
09:12:35.0281 3124	wdmaud          (efd235ca22b57c81118c1aeb4798f1c1) C:\WINDOWS\system32\drivers\wdmaud.sys
09:12:35.0578 3124	wdmaud - ok
09:12:35.0625 3124	WmiAcpi         (ae2c8544e747c20062db27456ea2d67a) C:\WINDOWS\system32\DRIVERS\wmiacpi.sys
09:12:35.0734 3124	WmiAcpi - ok
09:12:35.0765 3124	MBR (0x1B8)     (72b8ce41af0de751c946802b3ed844b4) \Device\Harddisk0\DR0
09:12:36.0000 3124	\Device\Harddisk0\DR0 - ok
09:12:36.0000 3124	Boot (0x1200)   (83a5a5484bc1aa32316a1bce9a916a4a) \Device\Harddisk0\DR0\Partition0
09:12:36.0000 3124	\Device\Harddisk0\DR0\Partition0 - ok
09:12:36.0000 3124	============================================================
09:12:36.0000 3124	Scan finished
09:12:36.0000 3124	============================================================
09:12:36.0109 3004	Detected object count: 2
09:12:36.0109 3004	Actual detected object count: 2
09:12:52.0968 3004	BIOS ( UnsignedFile.Multi.Generic ) - skipped by user
09:12:52.0968 3004	BIOS ( UnsignedFile.Multi.Generic ) - User select action: Skip 
09:12:52.0968 3004	PxHelp20 ( UnsignedFile.Multi.Generic ) - skipped by user
09:12:52.0968 3004	PxHelp20 ( UnsignedFile.Multi.Generic ) - User select action: Skip
         

Unhide hab ich ausgeführt. Es tauchen wieder die selben Dateien auf, wie gestern kurzzeitig bei dem Neustart. Es handelt sich um die Art von Worddateien, die geöffnet werden, wenn man in einem richtigen Word Dokument arbeitet. Falls du nun weißt, wie ich das meine. Weiterhin befinden sich mehrere WRL2476.tmp (nach diesem Muster, verschiedene Zahlen) auf dem Desktop.

Alt 22.12.2011, 13:58   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 22.12.2011, 21:37   #9
Mephisto_
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



Combofix:


Combofix Logfile:
Code:
ATTFilter
ComboFix 11-12-22.04 - *** 22.12.2011  21:28:04.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1982.1495 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Metzger\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programme\driver
c:\windows\system32\oobe\isperror
c:\windows\system32\oobe\isperror\ispcnerr.htm
c:\windows\system32\oobe\isperror\ispdtone.htm
c:\windows\system32\oobe\isperror\isphdshk.htm
c:\windows\system32\oobe\isperror\ispins.htm
c:\windows\system32\oobe\isperror\ispnoanw.htm
c:\windows\system32\oobe\isperror\isppberr.htm
c:\windows\system32\oobe\isperror\ispphbsy.htm
c:\windows\system32\oobe\isperror\ispsbusy.htm
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-11-22 bis 2011-12-22  ))))))))))))))))))))))))))))))
.
.
2011-12-21 18:41 . 2011-12-21 18:41	--------	d-----w-	C:\_OTL
2011-12-21 15:21 . 2011-12-21 15:21	--------	d-----w-	c:\programme\ESET
2011-12-21 13:43 . 2011-12-21 13:43	--------	d-----w-	c:\windows\ServicePackFiles
2011-12-21 13:24 . 2008-06-14 17:57	273024	-c----w-	c:\windows\system32\dllcache\bthport.sys
2011-12-21 13:24 . 2008-06-14 17:57	273024	------w-	c:\windows\system32\drivers\bthport.sys
2011-12-21 13:19 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe
2011-12-21 12:51 . 2011-12-21 12:51	--------	d-----w-	c:\dokumente und einstellungen\Metzger\Anwendungsdaten\Malwarebytes
2011-12-21 12:51 . 2011-12-21 12:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-12-21 12:51 . 2011-12-21 12:51	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-12-21 12:51 . 2011-08-31 16:00	22216	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-12-21 12:35 . 2011-12-21 12:36	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Eigene Dateien
2011-12-21 12:08 . 2011-12-21 12:31	--------	d-----w-	c:\windows\system32\NtmsData
2011-12-21 11:52 . 2011-12-21 11:52	--------	d-----w-	c:\dokumente und einstellungen\Metzger\Anwendungsdaten\Avira
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-21 68856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 16342528]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2005-09-25 155648]
"EPSON Stylus D68 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 98304]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-20 8429568]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2008-12-04 665424]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-04-20 19:32	8429568	----a-w-	c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-04-20 19:32	81920	----a-w-	c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2007-04-20 19:32	1626112	----a-w-	c:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2007-05-07 16:51	1826816	----a-w-	c:\windows\SkyTel.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Epson Software\\Event Manager\\EEventManager.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R1 BIOS;BIOS;c:\windows\system32\drivers\BIOS.sys [18.09.2007 18:08 13696]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.09.2010 09:27 136360]
S3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [28.09.2007 13:21 15104]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-12-22 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2011-12-21 21:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-ICQToolbar - c:\programme\ICQ6Toolbar\ICQUnToolbar.exe
AddRemove-Titan Poker - c:\poker\Titan Poker\_SetupPoker.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-12-22 21:30
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-12-22  21:31:09
ComboFix-quarantined-files.txt  2011-12-22 20:31
.
Vor Suchlauf: 6 Verzeichnis(se), 239.804.616.704 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 239.766.519.808 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - B73C3FC570F4BD691EB6CEB79169FC73
         
--- --- ---






ausgeführt von:: c:\dokumente und einstellungen\Metzger\Desktop\ComboFix.exe

Könntest du dazu vielleicht kurz was sagen? Wie erwähnt, sollte es diesen Benutzer nicht geben.


Grüße

Alt 23.12.2011, 16:38   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



Zitat:
Wie erwähnt, sollte es diesen Benutzer nicht geben.
Tut es aber. Und du bist mit diesem Konto sogar eingeloggt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 23.12.2011, 17:05   #11
Mephisto_
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



Okay ich werd da gleich nochmal nachfragen, warum das nun so heisst. Ergibt halt keinen Sinn, aber ist eben nicht mein eigener PC. Solange da nun niemand anders rumwurschtelt, ist es ja auch egal wie das Konto heisst!

Wie geht es ansonsten weiter?

Alt 23.12.2011, 17:37   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 23.12.2011, 20:03   #13
Mephisto_
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



GMER:




GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-12-23 19:32:17
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e SAMSUNG_HD250HJ rev.FH100-05
Running: rx7m49yx.exe; Driver: C:\DOKUME~1\Metzger\LOKALE~1\Temp\pxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT   BA78AF04                                                                              ZwClose
SSDT   BA78AEBE                                                                              ZwCreateKey
SSDT   BA78AF0E                                                                              ZwCreateSection
SSDT   BA78AEB4                                                                              ZwCreateThread
SSDT   BA78AEC3                                                                              ZwDeleteKey
SSDT   BA78AECD                                                                              ZwDeleteValueKey
SSDT   BA78AEFF                                                                              ZwDuplicateObject
SSDT   BA78AED2                                                                              ZwLoadKey
SSDT   BA78AEA0                                                                              ZwOpenProcess
SSDT   BA78AEA5                                                                              ZwOpenThread
SSDT   BA78AEDC                                                                              ZwReplaceKey
SSDT   BA78AED7                                                                              ZwRestoreKey
SSDT   BA78AF13                                                                              ZwSetContextThread
SSDT   BA78AEC8                                                                              ZwSetValueKey
SSDT   BA78AEAF                                                                              ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                              section is writeable [0xB95C7380, 0x2F2537, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text  C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!DialogBoxParamW          7E37555F 5 Bytes  JMP 4115F4B9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!DialogBoxIndirectParamW  7E382032 5 Bytes  JMP 412D203E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!MessageBoxIndirectA      7E38A04A 5 Bytes  JMP 412D1FBF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!DialogBoxParamA          7E38B10C 5 Bytes  JMP 412D2003 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!MessageBoxExW            7E3A05D8 5 Bytes  JMP 412D1F4B C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!MessageBoxExA            7E3A05FC 5 Bytes  JMP 412D1F85 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!DialogBoxIndirectParamA  7E3A6B50 5 Bytes  JMP 412D2079 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\Internet Explorer\iexplore.exe[1664] USER32.dll!MessageBoxIndirectW      7E3B62AB 5 Bytes  JMP 4118176A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text  C:\Programme\Internet Explorer\iexplore.exe[1664] ole32.dll!OleLoadFromStream         774FA257 5 Bytes  JMP 412D223B C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
         
--- --- ---






OSAM




OSAM Logfile:
Code:
ATTFilter
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 19:40:10 on 23.12.2011

OS: Windows XP Professional Service Pack 2 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 7.00.6000.17055

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Common]
-----( %SystemRoot%\Tasks )-----
"WGASetup.job" - "Microsoft Corporation" - C:\WINDOWS\system32\KB905474\wgasetup.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl
"nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira AntiVir Personal" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl
"Nero BurnRights" - "Ahead Software AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"BIOS" (BIOS) - "BIOSTAR Group" - C:\WINDOWS\system32\drivers\BIOS.sys
"catchme" (catchme) - ? - C:\DOKUME~1\Metzger\LOKALE~1\Temp\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"InCD Reader" (InCDRm) - ? - C:\WINDOWS\System32\drivers\InCDRm.sys  (File not found)
"InCDPass" (InCDPass) - ? - C:\WINDOWS\System32\drivers\InCDPass.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"MBAMSwissArmy" (MBAMSwissArmy) - ? - C:\WINDOWS\system32\drivers\mbamswissarmy.sys  (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys
"pxtdqpow" (pxtdqpow) - ? - C:\DOKUME~1\Metzger\LOKALE~1\Temp\pxtdqpow.sys  (Hidden registry entry, rootkit activity | File not found)
"Secdrv" (Secdrv) - ? - C:\WINDOWS\System32\DRIVERS\secdrv.sys  (File signed by Microsoft | File found, but it contains no detailed information)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
-----( HKLM\Software\Classes\Protocols\Filter )-----
{807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
-----( HKLM\Software\Classes\Protocols\Handler )-----
{32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
{0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -   (File not found | COM-object registry key not found)
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll
{993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL
{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll
{1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll
{0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -   (File not found | COM-object registry key not found)
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll  (File found, but it contains no detailed information)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
<binary data> "&Google" - "Google Germany GmbH" - c:\programme\google\googletoolbar1.dll
<binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
<binary data> "ITBar7Layout" - ? -   (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -   (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{6E5E167B-1566-4316-B27F-0DDAB3484CF7} "Image Uploader Control" - "Aurigma, Inc." - C:\WINDOWS\Downloaded Program Files\ImageUploader4.ocx / hxxp://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
{7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / hxxp://download.eset.com/special/eos/OnlineScanner.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10p.ocx / hxxp://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ6" - ? - C:\Dokumente und Einstellungen\Metzger\Eigene Dateien\Atrium\ICQ6.5\ICQ.exe  (File not found)
{FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
{77BF5300-1474-4EC7-9980-D32B190E9B07} "Skype" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
<binary data> "&Google" - "Google Germany GmbH" - c:\programme\google\googletoolbar1.dll
{9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll
<binary data> "EPSON Web-To-Page" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
{9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} "EpsonToolBandKicker Class" - "SEIKO EPSON CORPORATION" - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Germany GmbH" - c:\programme\google\googletoolbar1.dll
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
{22BF413B-C6D2-4d91-82A9-A0F997BA588C} "Skype add-on (mastermind)" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Metzger\Startmenü\Programme\Autostart\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"EEventManager" - "SEIKO EPSON CORPORATION" - C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
"NeroFilterCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\mdimon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Google Updater Service" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
"Machine Debug Manager" (MDM) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
"Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===
         
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru





aswMBR:


Code:
ATTFilter
aswMBR version 0.9.9.1116 Copyright(c) 2011 AVAST Software
Run date: 2011-12-23 19:44:08
-----------------------------
19:44:08.109    OS Version: Windows 5.1.2600 Service Pack 2
19:44:08.109    Number of processors: 2 586 0x6B01
19:44:08.109    ComputerName: ***  UserName: ***
19:44:08.546    Initialize success
19:45:57.531    AVAST engine defs: 11122300
19:46:02.109    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e
19:46:02.109    Disk 0 Vendor: SAMSUNG_HD250HJ FH100-05 Size: 238475MB BusType: 3
19:46:04.140    Disk 0 MBR read successfully
19:46:04.140    Disk 0 MBR scan
19:46:04.140    Disk 0 Windows XP default MBR code
19:46:04.156    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       238464 MB offset 63
19:46:04.171    Disk 0 scanning sectors +488376000
19:46:04.265    Disk 0 scanning C:\WINDOWS\system32\drivers
19:46:18.734    Service scanning
19:46:19.671    Modules scanning
19:46:40.515    Disk 0 trace - called modules:
19:46:40.531    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
19:46:40.531    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a2edab8]
19:46:40.531    3 CLASSPNP.SYS[ba0e905b] -> nt!IofCallDriver -> \Device\0000006b[0x8a2cc9e8]
19:46:40.531    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-e[0x8a2cbd98]
19:46:40.968    AVAST engine scan C:\WINDOWS
19:47:28.531    AVAST engine scan C:\WINDOWS\system32
19:50:44.531    AVAST engine scan C:\WINDOWS\system32\drivers
19:51:25.500    AVAST engine scan C:\Dokumente und Einstellungen\Metzger
19:54:41.406    AVAST engine scan C:\Dokumente und Einstellungen\All Users
19:55:31.828    Scan finished successfully
19:56:11.343    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Metzger\Desktop\MBR.dat"
19:56:11.343    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Metzger\Desktop\aswMBR.txt"
         



Die Metzger Geschichte scheint vom Vorbesitzer zu kommen. Wurde dann wohl einfach der Benutzername geändert.

Alt 23.12.2011, 21:15   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.12.2011, 17:29   #15
Mephisto_
 
Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Standard

Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry



Malwarebytes:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 911122403

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

24.12.2011 16:02:05
mbam-log-2011-12-24 (16-02-04).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 194409
Laufzeit: 16 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         


SUPERAntispyware:

Anmerkung: Von 227 Funden waren 226 Cookies. Diese habe ich nun nicht im Log mit aufgeführt, das wäre zu viel Arbeit gewesen die alle auszusternen.

Leider habe ich, wie ich im Nachhinein gelesen habe, fälschlicherweise "Threats Remove" geklickt. Ich hoffe ich habe die Arbeit damit nun nicht unnötigerweise erschwert.

Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 12/24/2011 at 04:31 PM

Application Version : 5.0.1142

Core Rules Database Version : 8087
Trace Rules Database Version: 5899

Scan type       : Complete Scan
Total Scan Time : 00:23:29

Operating System Information
Windows XP Professional 32-bit, Service Pack 2 (Build 5.01.2600)
Administrator

Memory items scanned      : 440
Memory threats detected   : 0
Registry items scanned    : 35889
Registry threats detected : 0
File items scanned        : 40897
File threats detected     : 227

Adware.Tracking Cookie
.
.
.

Trojan.Agent/Gen-Malintent
	C:\PROGRAMME\WINRAR\DEFAULT.SFX
         


ESET:

Anm: Hier lief der Avira Scanner noch 15 Minuten mit. Habe ihn dann deaktiviert, während des Scans. Ist das Log verwendbar oder soll ich lieber nochmal scannen?


Code:
ATTFilter
# version=7
# iexplore.exe=7.00.6000.17055 (vista_gdr.100414-0533)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4378e0338f181f4b9c9fa244425f78a8
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-24 04:15:30
# local_time=2011-12-24 05:15:30 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=1280 16777215 100 0 134588814 134588814 0 0
# compatibility_mode=1797 16775129 100 93 547352 61278024 397488 0
# compatibility_mode=8192 67108863 100 0 263856 263856 0 0
# scanned=40848
# found=0
# cleaned=0
# scan_time=2163
         


Avira hat dann während der normalen Arbeit folgenden Trojaner angezeigt, den ich in Quarantäne verschoben habe:


Code:
ATTFilter


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 24. Dezember 2011  15:52

Es wird nach 3592199 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 000014***-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 2)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : ***

Versionsinformationen:
BUILD.DAT      : 10.2.0.704     35934 Bytes  28.09.2011 13:14:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  03.07.2011 10:22:58
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  03.07.2011 10:22:58
LUKE.DLL       : 10.3.0.5       45416 Bytes  03.07.2011 10:22:58
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  03.07.2011 10:22:58
AVREG.DLL      : 10.3.0.9       88833 Bytes  13.07.2011 19:12:19
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 16:13:54
VBASE002.VDF   : 7.11.3.0     1950720 Bytes  09.02.2011 16:45:51
VBASE003.VDF   : 7.11.5.225   1980416 Bytes  07.04.2011 16:25:33
VBASE004.VDF   : 7.11.8.178   2354176 Bytes  31.05.2011 15:44:34
VBASE005.VDF   : 7.11.10.251  1788416 Bytes  07.07.2011 08:02:25
VBASE006.VDF   : 7.11.13.60   6411776 Bytes  16.08.2011 10:06:27
VBASE007.VDF   : 7.11.15.106  2389504 Bytes  05.10.2011 16:04:10
VBASE008.VDF   : 7.11.18.32   2132992 Bytes  24.11.2011 10:07:13
VBASE009.VDF   : 7.11.18.33      2048 Bytes  24.11.2011 10:07:13
VBASE010.VDF   : 7.11.18.34      2048 Bytes  24.11.2011 10:07:13
VBASE011.VDF   : 7.11.18.35      2048 Bytes  24.11.2011 10:07:13
VBASE012.VDF   : 7.11.18.36      2048 Bytes  24.11.2011 10:07:13
VBASE013.VDF   : 7.11.18.89    204800 Bytes  28.11.2011 10:46:18
VBASE014.VDF   : 7.11.18.145   143872 Bytes  01.12.2011 10:46:19
VBASE015.VDF   : 7.11.18.180   173056 Bytes  02.12.2011 10:46:20
VBASE016.VDF   : 7.11.18.208   164864 Bytes  05.12.2011 17:08:12
VBASE017.VDF   : 7.11.18.239   177152 Bytes  06.12.2011 17:10:17
VBASE018.VDF   : 7.11.19.36    171520 Bytes  09.12.2011 14:57:04
VBASE019.VDF   : 7.11.19.77    144896 Bytes  13.12.2011 18:45:14
VBASE020.VDF   : 7.11.19.115   177664 Bytes  15.12.2011 15:59:32
VBASE021.VDF   : 7.11.19.137   139776 Bytes  16.12.2011 15:59:32
VBASE022.VDF   : 7.11.19.138     2048 Bytes  16.12.2011 15:59:32
VBASE023.VDF   : 7.11.19.139     2048 Bytes  16.12.2011 15:59:33
VBASE024.VDF   : 7.11.19.140     2048 Bytes  16.12.2011 15:59:33
VBASE025.VDF   : 7.11.19.141     2048 Bytes  16.12.2011 15:59:33
VBASE026.VDF   : 7.11.19.142     2048 Bytes  16.12.2011 15:59:33
VBASE027.VDF   : 7.11.19.143     2048 Bytes  16.12.2011 15:59:33
VBASE028.VDF   : 7.11.19.144     2048 Bytes  16.12.2011 15:59:33
VBASE029.VDF   : 7.11.19.145     2048 Bytes  16.12.2011 15:59:33
VBASE030.VDF   : 7.11.19.146     2048 Bytes  16.12.2011 15:59:33
VBASE031.VDF   : 7.11.19.162   105472 Bytes  19.12.2011 00:14:20
Engineversion  : 8.2.8.8   
AEVDF.DLL      : 8.1.2.2       106868 Bytes  29.10.2011 15:15:08
AESCRIPT.DLL   : 8.1.3.92      495996 Bytes  17.12.2011 15:59:38
AESCN.DLL      : 8.1.7.2       127349 Bytes  28.11.2010 17:04:26
AESBX.DLL      : 8.2.4.5       434549 Bytes  04.12.2011 10:46:33
AERDL.DLL      : 8.1.9.15      639348 Bytes  10.09.2011 13:51:43
AEPACK.DLL     : 8.2.15.1      770423 Bytes  13.12.2011 18:45:16
AEOFFICE.DLL   : 8.1.2.24      201084 Bytes  17.12.2011 15:59:37
AEHEUR.DLL     : 8.1.3.8      4231543 Bytes  17.12.2011 15:59:37
AEHELP.DLL     : 8.1.18.0      254327 Bytes  29.10.2011 15:15:04
AEGEN.DLL      : 8.1.5.17      405877 Bytes  09.12.2011 14:57:06
AEEMU.DLL      : 8.1.3.0       393589 Bytes  28.11.2010 17:03:40
AECORE.DLL     : 8.1.24.2      201080 Bytes  17.12.2011 15:59:34
AEBB.DLL       : 8.1.1.0        53618 Bytes  22.09.2010 08:34:27
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.3.2       44904 Bytes  03.07.2011 10:22:58
AVREP.DLL      : 10.0.0.10     174120 Bytes  17.05.2011 18:47:31
AVARKT.DLL     : 10.0.26.1     255336 Bytes  03.07.2011 10:22:58
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  03.07.2011 10:22:58
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  03.07.2011 10:22:57
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  03.07.2011 10:22:57

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_e9f17c1a\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Samstag, 24. Dezember 2011  15:52

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'gtb1.tmp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EEventManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIAAE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{402AC9A7-22A2-46BE-90B1-54E15AF30926}\RP147\A0331506.dll'
C:\System Volume Information\_restore{402AC9A7-22A2-46BE-90B1-54E15AF30926}\RP147\A0331506.dll
  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{402AC9A7-22A2-46BE-90B1-54E15AF30926}\RP147\A0331506.dll
  [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cd54cd6.qua' verschoben!


Ende des Suchlaufs: Samstag, 24. Dezember 2011  15:56
Benötigte Zeit: 00:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     34 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     33 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
         


Danke für eure tolle Arbeit und Frohe Weihnachten!

Antwort

Themen zu Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry
0x00000001, antivir, avira, browser, desktop, dllhost.exe, einstellungen, error, fehler, fehlercode 0, google, helper, homepage, internet, intranet, logfile, microsoft office word, nt.dll, picasa, plug-in, prozesse, realtek, registry, required, rundll, sched.exe, security, sicherheit, software, svchost.exe, system error, trojaner, udp, updates, verweise, win32k.sys, windows, windows internet




Ähnliche Themen: Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry


  1. Registry-Trojaner IME ?
    Plagegeister aller Art und deren Bekämpfung - 28.05.2015 (13)
  2. Windows 7: mehrere Registry Key-Funde (über 1000), Internet Explorer sehr langsam
    Log-Analyse und Auswertung - 09.06.2014 (12)
  3. Win7-64: Eltern-PC infiziert; ESET startet nicht, Malwarebytes updatet nicht
    Plagegeister aller Art und deren Bekämpfung - 31.12.2013 (11)
  4. Ist der PC meiner Eltern befallen?
    Log-Analyse und Auswertung - 01.10.2013 (9)
  5. Mehrere Funde von Malwarebytes: Hauptsächlich Registry keys!
    Log-Analyse und Auswertung - 15.06.2013 (25)
  6. GVU Trojaner in der Registry
    Plagegeister aller Art und deren Bekämpfung - 25.05.2013 (4)
  7. PUP Trojaner in der registry
    Plagegeister aller Art und deren Bekämpfung - 21.01.2013 (7)
  8. großbaustelle
    Log-Analyse und Auswertung - 05.04.2012 (1)
  9. Rest vom BKA Trojaner in Registry
    Plagegeister aller Art und deren Bekämpfung - 23.03.2012 (32)
  10. Trojaner - in file and registry key - cmd.exe?
    Log-Analyse und Auswertung - 05.12.2011 (21)
  11. Trojaner Registry drop.agent
    Plagegeister aller Art und deren Bekämpfung - 10.02.2011 (26)
  12. Unzählige Trojaner - Registry, Win32.. help please!
    Plagegeister aller Art und deren Bekämpfung - 07.07.2009 (13)
  13. Registry Trojaner?
    Log-Analyse und Auswertung - 06.06.2009 (1)
  14. Trojaner-Reste in der Registry
    Plagegeister aller Art und deren Bekämpfung - 27.04.2009 (1)
  15. trojaner in registry
    Plagegeister aller Art und deren Bekämpfung - 08.03.2008 (6)
  16. Trace.Registry.Autumn Waterfalls Screen Saver und Trace.Registry.Heavenly Hibiscus
    Plagegeister aller Art und deren Bekämpfung - 29.01.2008 (7)
  17. Verseuchter Rechner der Eltern! Pop-ups, etc
    Log-Analyse und Auswertung - 03.12.2006 (5)

Zum Thema Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry - Hallo TB Team, Weihnachtsurlaub bei den Eltern und bei der Überprüfung des PCs dann eine böse Überraschung. Der PC ist offen wie ein Scheunentor. Völlig veraltete Programme, automatische Updates waren - Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry...
Archiv
Du betrachtest: Großbaustelle: PC der Eltern - Mehrere Trojaner in der Registry auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.