Antivir findet EXP/CVE-2010-4452.CE

TheBurli · 01.01.2012, 13:13

Vorweg, gutes neues Jahr und ein Hallo an alle!

Hab heute einen Systemvollcheck gemacht und den Fund: EXP/CVE-2010-4452.CE erhalten.

Jetzt will ich auf Nummer sicher gehen und das ganze System mal gründlich durchchecken zu lassen, da ich "Angst" habe, es könnte ein Spyware Trojaner oder sonst was schlimmes dahinter stecken.

Wäre super wenn mir hier ein erfahrener Moderator helfen könnte, da ich keine Ahnung habe was ich außer "in quarantäne verschieben" machen kann.

Vielen Dank schonmal für eure Mühen, im Anhang der Antivir Scanbericht.

Zitat:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 1. Januar 2012 10:57

Es wird nach 3000859 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : BURLI-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 21.07.2011 11:08:11
AVSCAN.DLL : 10.0.5.0 57192 Bytes 21.07.2011 11:10:57
LUKE.DLL : 10.3.0.5 45416 Bytes 21.07.2011 11:09:32
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 13:22:40
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 21.07.2011 11:08:11
AVREG.DLL : 10.3.0.9 90472 Bytes 21.07.2011 11:08:05
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 11:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 06:52:59
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 12:06:52
VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 12:06:52
VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 12:06:52
VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 12:06:52
VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 12:06:52
VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 12:06:52
VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 12:06:52
VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 12:06:52
VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 12:06:52
VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 12:06:53
VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 12:06:53
VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 20:26:15
VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 20:26:15
VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 20:31:23
VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 13:39:21
VBASE017.VDF : 7.11.20.71 2048 Bytes 29.12.2011 13:39:21
VBASE018.VDF : 7.11.20.72 2048 Bytes 29.12.2011 13:39:21
VBASE019.VDF : 7.11.20.73 2048 Bytes 29.12.2011 13:39:21
VBASE020.VDF : 7.11.20.74 2048 Bytes 29.12.2011 13:39:21
VBASE021.VDF : 7.11.20.75 2048 Bytes 29.12.2011 13:39:21
VBASE022.VDF : 7.11.20.76 2048 Bytes 29.12.2011 13:39:21
VBASE023.VDF : 7.11.20.77 2048 Bytes 29.12.2011 13:39:21
VBASE024.VDF : 7.11.20.78 2048 Bytes 29.12.2011 13:39:21
VBASE025.VDF : 7.11.20.79 2048 Bytes 29.12.2011 13:39:21
VBASE026.VDF : 7.11.20.80 2048 Bytes 29.12.2011 13:39:21
VBASE027.VDF : 7.11.20.81 2048 Bytes 29.12.2011 13:39:21
VBASE028.VDF : 7.11.20.82 2048 Bytes 29.12.2011 13:39:21
VBASE029.VDF : 7.11.20.83 2048 Bytes 29.12.2011 13:39:22
VBASE030.VDF : 7.11.20.84 2048 Bytes 29.12.2011 13:39:22
VBASE031.VDF : 7.11.20.97 132608 Bytes 30.12.2011 13:39:22
Engineversion : 8.2.8.18
AEVDF.DLL : 8.1.2.2 106868 Bytes 26.10.2011 17:13:47
AESCRIPT.DLL : 8.1.3.95 479612 Bytes 31.12.2011 13:39:29
AESCN.DLL : 8.1.7.2 127349 Bytes 21.04.2011 06:52:28
AESBX.DLL : 8.2.4.5 434549 Bytes 03.12.2011 11:22:38
AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 17:05:01
AEPACK.DLL : 8.2.15.1 770423 Bytes 17.12.2011 12:23:01
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 31.12.2011 13:39:28
AEHEUR.DLL : 8.1.3.14 4260216 Bytes 31.12.2011 13:39:28
AEHELP.DLL : 8.1.18.0 254327 Bytes 26.10.2011 17:13:37
AEGEN.DLL : 8.1.5.17 405877 Bytes 12.12.2011 17:19:25
AEEMU.DLL : 8.1.3.0 393589 Bytes 21.04.2011 06:52:17
AECORE.DLL : 8.1.24.3 201079 Bytes 31.12.2011 13:39:22
AEBB.DLL : 8.1.1.0 53618 Bytes 21.04.2011 06:52:16
AVWINLL.DLL : 10.0.0.0 19304 Bytes 21.04.2011 06:52:39
AVPREF.DLL : 10.0.3.2 44904 Bytes 21.07.2011 11:08:05
AVREP.DLL : 10.0.0.10 174120 Bytes 21.07.2011 11:08:06
AVARKT.DLL : 10.0.26.1 255336 Bytes 21.07.2011 11:07:41
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 21.07.2011 11:07:59
SQLITE3.DLL : 3.6.19.0 355688 Bytes 21.07.2011 14:12:30
AVSMTP.DLL : 10.0.0.17 63848 Bytes 21.04.2011 06:52:38
NETNT.DLL : 10.0.0.0 11624 Bytes 21.04.2011 06:52:50
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 21.07.2011 11:11:03
RCTEXT.DLL : 10.0.64.0 98664 Bytes 21.07.2011 11:11:03

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Sonntag, 1. Januar 2012 10:57

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesPDLR.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'KiesTrayAgent.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '149' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\70ea99d5-28101fd4
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.CE
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\70ea99d5-3ef1edf3
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.CE
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\70ea99d5-4949e664
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.CE
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\70ea99d5-5355048e
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.CE
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\70ea99d5-6735ad93
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.CE
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\70ea99d5-7bec3105
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.CE
Beginne mit der Suche in 'D:\' <RECOVERY>

Beginne mit der Desinfektion:
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\70ea99d5-7bec3105
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.CE
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ba2e5dc.qua' verschoben!
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\70ea99d5-6735ad93
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.CE
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5335ca7b.qua' verschoben!
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\70ea99d5-5355048e
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.CE
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '016a9093.qua' verschoben!
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\70ea99d5-4949e664
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.CE
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '675ddf51.qua' verschoben!
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\70ea99d5-3ef1edf3
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.CE
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '22d9f26f.qua' verschoben!
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\70ea99d5-28101fd4
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-4452.CE
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5dc2c00e.qua' verschoben!

Ende des Suchlaufs: Sonntag, 1. Januar 2012 12:43
Benötigte Zeit: 1:42:59 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

51414 Verzeichnisse wurden überprüft
826262 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
826256 Dateien ohne Befall
5553 Archive wurden durchsucht
0 Warnungen
6 Hinweise
608165 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

TheBurli · 01.01.2012, 16:27

Update... HILFE!!!
Es ploppte gerade ne found meldung von antivir auf.
Ich verschob in quarantäne und adobe reader wollte admin rechte was ich ablehnte.
Nun startete plötzlich system check und fand zahlreiche sachen. Jedoch ist hier alles englisch mir kommt es so vor als wäre das evtl vom virus ein fake programm.
Danach kam meldung harddisk problem und auto neustart.
Jetzt fehlen einige desktop icons,(zb. Computer), und unter start fehlen netzwerk uns systemsteuerung icons..
Alles irgendwie verstellt!!

Weiteres neben der uhr ne warnung: stealth intrusion, infection detected in the background. Your computer is now attacked by spyware and rogue software. blabla

Da ploppen grad andauernd neue fehler meldungen auf.. Critical error, windows os cant detect a free hard space. Hard drive error...

Ram memory is extremly low. This problem may cause ram memory reliability

Malware intrussion, sensetive areas of your system were found to be under attack.
Komm garned zum mitschreiben am handy...

Hab inet verbindung gekappt und schreib vom handy...

Was kam ich tun.. Hilfe!!

TheBurli · 01.01.2012, 16:37

Update..
Es lief gerade ein win 7 security 2012 - untegistrtred version scan ohne das ich ihn startete.
Founds:31
Antivir kann ich nicht mehr öffnen, hier kommt
alert meldung von diesem win 7 security das ich dieses aktivieren müsse weil avcenter.exe mit trojan-bnk.win32.keylogger.gen infiziert ist

Kenn mich nicht mehr aus!! Hilfe :-(

cosinus · 04.01.2012, 18:27

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

TheBurli · 05.01.2012, 14:56

Hallo Cosinus, vielen Dank das du dich meinem Problem annimmst!

Kann mit dem PC leider keine Internetseiten mehr aufrufen.
Nach dem Starten erscheint direkt wieder die Windows 7 Security (die in meinen Augen gefaked ist) und beginnt mit nem Systemscan.
Im Hintergrund am Desktop öffnen sich ca. 25 Fenster mit jeweils ander lautender System32 Fehlermeldung:
"Windows-Delayed Write Failed
Failed to save all the components for the file \\System32\00003132. The file is corrupted or unreadable. This error may be caused by a PC hardware problem.
[Canel] [Try Again] [Continue]

Wenn ich Firefox starten will erscheint ein Fenster:
"Win 7 Security 2012 has blocked a Progrann from accessing the Internet -
Firefox is infected with Trojan-BNK.Win32.Keylogger.gen
blablabla

[Yes] Activate Win 7 Security 2012 (Recommended)
[No] Continue unprotected (Dangerous)

Klicke ich auf no, startet firefox, öffnet aber keine Seiten sondern schreibt nur:
"Firefox allert. Visiting thes site may pose a security threat to your system"

Ein evtl. zweiter Rechner wäre greifbar um evtl per stick Programm übertragen zu können.

Danke!

cosinus · 05.01.2012, 15:48

Dann probier es im abgesicherten Modus mit Netzwerktreibern

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

TheBurli · 05.01.2012, 17:47

Auch im abgesicherten modus mit netzwerktreibern wird mir das internet verwehrt :-(
Gleiche symptome wie oben!

EDIT:
Konnte nun Malwarebytes downloaden. kann aber die mbam-setup-1.60.0.1800.exe nicht ausführen da unten sofort der pop up kommt: potenziell gefährliche software erkannt, klicken sie hier um zu prüfen und aktionen auszuführen.

TheBurli · 05.01.2012, 18:13

EDIT 2:
Bin im benutzer account. Brauch antimb evtl admin rechte für installation?
Sorry das ich hier lauter verunsicherte fragen stelle, aber bevor ich was falsch mache und noch mehr kaputt frag ich lieber..

Danke!

cosinus · 05.01.2012, 21:35

Ja wir brauchen für alle Analysetools und alle Programminstallationen Adminrechte.

Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

TheBurli · 06.01.2012, 02:22

Malwarebyte Logbericht:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.05.05

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
Burli :: BURLI-PC [Administrator]

06.01.2012 01:02:50
mbam-log-2012-01-06 (01-02-50).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 481746
Laufzeit: 1 Stunde(n), 12 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 9
C:\Users\Surfen\AppData\Local\kky.exe (Trojan.ExeShell.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Surfen\AppData\Local\Temp\FA3B.tmp (Rootkit.TDSS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Surfen\AppData\Local\Temp\Install.exe (Rootkit.TDSS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Surfen\AppData\Local\Temp\msimg32.dll (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Surfen\AppData\Local\Temp\oiu0.8195133751409391.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Surfen\AppData\Local\Temp\wera0.5184535501028313.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Surfen\AppData\Local\Temp\~!#209.tmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\6e76df1-35505077 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Surfen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\6e76df1-73fb085e (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

TheBurli · 06.01.2012, 11:51

Guten Morgen :-)
Hier der ESET Log

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=14c8c6dd0107384489d995ea948429f0
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-06 03:22:24
# local_time=2012-01-06 04:22:24 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775166 100 94 401802 62338039 397917 0
# compatibility_mode=5893 16776573 100 94 207 78278426 0 0
# compatibility_mode=8192 67108863 100 0 99 99 0 0
# scanned=354894
# found=7
# cleaned=0
# scan_time=6768
C:\ProgramData\quh3l3SOHmDGU2.exe	a variant of Win32/Kryptik.YKP trojan (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\rojcXnmSQnPTbrc.exe	a variant of Win32/Kryptik.YKP trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\quh3l3SOHmDGU2.exe	a variant of Win32/Kryptik.YKP trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\rojcXnmSQnPTbrc.exe	a variant of Win32/Kryptik.YKP trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Surfen\AppData\Local\Temp\hA9RO0JjfJuEgR.exe.tmp	a variant of Win32/Kryptik.YKP trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Surfen\AppData\Local\Temp\jar_cache14966211894977449.tmp	Java/Agent.DZ trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Surfen\AppData\Local\Temp\~!#157A.tmp	Win32/PSW.Delf.OBN trojan (unable to clean)	00000000000000000000000000000000	I
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=14c8c6dd0107384489d995ea948429f0
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-06 10:47:35
# local_time=2012-01-06 11:47:35 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775166 100 94 429030 62365267 425145 0
# compatibility_mode=5893 16776573 100 94 83 78305654 0 0
# compatibility_mode=8192 67108863 100 0 27327 27327 0 0
# scanned=359537
# found=7
# cleaned=0
# scan_time=6251
C:\ProgramData\quh3l3SOHmDGU2.exe	a variant of Win32/Kryptik.YKP trojan (unable to clean)	00000000000000000000000000000000	I
C:\ProgramData\rojcXnmSQnPTbrc.exe	a variant of Win32/Kryptik.YKP trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\quh3l3SOHmDGU2.exe	a variant of Win32/Kryptik.YKP trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\All Users\rojcXnmSQnPTbrc.exe	a variant of Win32/Kryptik.YKP trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Surfen\AppData\Local\Temp\hA9RO0JjfJuEgR.exe.tmp	a variant of Win32/Kryptik.YKP trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Surfen\AppData\Local\Temp\jar_cache14966211894977449.tmp	Java/Agent.DZ trojan (unable to clean)	00000000000000000000000000000000	I
C:\Users\Surfen\AppData\Local\Temp\~!#157A.tmp	Win32/PSW.Delf.OBN trojan (unable to clean)	00000000000000000000000000000000	I

cosinus · 06.01.2012, 14:45

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

TheBurli · 06.01.2012, 23:55

Hab den Scan wie von dir beschrieben zweimal so ausgeführt, jedes mal erscheint ein OTL Pop up: "Out of memory"
Klicke dann auf OK, finde jedoch nicht die OTL.TXT datei?!
Wird die mir angezeigt oder wo versteckt sich diese?!
Befinde mich nach wie vor im Abgesicherten Modus mit Netzwerktreibern.

EDIT:
Im Windows-Explorer unter C: finde ich die otl.txt nicht, auch nicht über die Suche.

cosinus · 07.01.2012, 00:21

Dann mach erstmal ein normales neues Log mit OTL

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

TheBurli · 07.01.2012, 01:08

OTL.txt
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 07.01.2012 01:01:18 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Users\Surfen\Desktop
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,13 Gb Available Physical Memory | 78,36% Memory free
7,99 Gb Paging File | 7,14 Gb Available in Paging File | 89,31% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 451,76 Gb Total Space | 375,24 Gb Free Space | 83,06% Space Free | Partition Type: NTFS
Drive D: | 14,00 Gb Total Space | 2,12 Gb Free Space | 15,11% Space Free | Partition Type: NTFS
 
Computer Name: BURLI-PC | User Name: Burli | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Surfen\Desktop\OTL.exe (OldTimer Tools)
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (hpsrv) -- C:\Windows\SysNative\hpservice.exe (Hewlett-Packard Company)
SRV:64bit: - (STacSV) -- C:\Windows\SysNative\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_960c1f056a541068\stacsv64.exe (IDT, Inc.)
SRV:64bit: - (AMD External Events Utility) -- C:\Windows\SysNative\atiesrxx.exe (AMD)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV:64bit: - (AESTFilters) -- C:\Windows\SysNative\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_960c1f056a541068\AESTSr64.exe (Andrea Electronics Corporation)
SRV - (CDMA Device Service) -- C:\Program Files (x86)\Samsung\USB Drivers\26_VIA_driver2\amd64\VIAService.exe ()
SRV - (AntiVirService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AdobeARMservice) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (AntiVirSchedulerService) -- C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH)
DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH)
DRV:64bit: - (sscdmdm) -- C:\Windows\SysNative\drivers\sscdmdm.sys (MCCI Corporation)
DRV:64bit: - (sscdbus) SAMSUNG USB Composite Device driver (WDM) -- C:\Windows\SysNative\drivers\sscdbus.sys (MCCI Corporation)
DRV:64bit: - (sscdmdfl) -- C:\Windows\SysNative\drivers\sscdmdfl.sys (MCCI Corporation)
DRV:64bit: - (ssadmdm) -- C:\Windows\SysNative\drivers\ssadmdm.sys (MCCI Corporation)
DRV:64bit: - (ssadbus) SAMSUNG Android USB Composite Device driver (WDM) -- C:\Windows\SysNative\drivers\ssadbus.sys (MCCI Corporation)
DRV:64bit: - (ssadmdfl) SAMSUNG Android USB Modem (Filter) -- C:\Windows\SysNative\drivers\ssadmdfl.sys (MCCI Corporation)
DRV:64bit: - (hpdskflt) -- C:\Windows\SysNative\drivers\hpdskflt.sys (Hewlett-Packard Company)
DRV:64bit: - (Accelerometer) -- C:\Windows\SysNative\drivers\Accelerometer.sys (Hewlett-Packard Company)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (sdbus) -- C:\Windows\SysNative\drivers\sdbus.sys (Microsoft Corporation)
DRV:64bit: - (SynTP) -- C:\Windows\SysNative\drivers\SynTP.sys (Synaptics Incorporated)
DRV:64bit: - (STHDA) -- C:\Windows\SysNative\drivers\stwrt64.sys (IDT, Inc.)
DRV:64bit: - (athr) -- C:\Windows\SysNative\drivers\athrx.sys (Atheros Communications, Inc.)
DRV:64bit: - (atikmdag) -- C:\Windows\SysNative\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek Corporation                                            )
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = CA FA D6 FC CE 61 CC 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: C:\Windows\system32\Wat\npWatWeb.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: C:\Windows\system32\Wat\npWatWeb.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: C:\Program Files (x86)\Veetle\plugins\npVeetle.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Program Files (x86)\Veetle\Player\npvlc.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2011.09.04 01:00:23 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0.1\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2011.10.06 13:01:55 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 6.0.2\extensions\\Components: C:\Program Files (x86)\Mozilla Thunderbird\components [2011.09.22 19:57:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 6.0.2\extensions\\Plugins: C:\Program Files (x86)\Mozilla Thunderbird\plugins
 
[2011.08.23 21:02:18 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Burli\AppData\Roaming\mozilla\Extensions
[2011.08.26 15:16:58 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2011.08.26 15:16:58 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.09.04 01:00:23 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2011.07.11 22:48:12 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files (x86)\mozilla firefox\plugins\npwachk.dll
[2011.08.12 05:19:37 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.08.12 05:14:12 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2011.08.12 05:19:37 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2011.08.12 05:19:37 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.08.12 05:19:37 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.08.12 05:19:37 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.12.12 22:56:25 | 000,000,027 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O4:64bit: - HKLM..\Run: [KiesTrayAgent] C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe (Samsung Electronics Co., Ltd.)
O4:64bit: - HKLM..\Run: [SysTrayApp] C:\Programme\IDT\WDM\sttray64.exe (IDT, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [KiesHelper] C:\Program Files (x86)\Samsung\Kies\KiesHelper.exe (Samsung)
O4 - HKLM..\Run: [KiesTrayAgent] C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKLM..\Run: [WinampAgent] C:\Program Files (x86)\Winamp\winampa.exe (Nullsoft, Inc.)
O4:64bit: - HKLM..\RunOnce: [BrowserChoice] C:\Windows\SysNative\browserchoice.exe (Microsoft Corporation)
O4:64bit: - HKLM..\RunOnce: [MSKSSRV] rundll32.exe streamci,StreamingDeviceSetup {96E080C7-143C-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196},{3C0D501A-140B-11D1-B40F-00A0C9223196} File not found
O4:64bit: - HKLM..\RunOnce: [MSPCLOCK] rundll32.exe streamci,StreamingDeviceSetup {97ebaacc-95bd-11d0-a3ea-00a0c9223196},{53172480-4791-11D0-A5D6-28DB04C10000},{53172480-4791-11D0-A5D6-28DB04C10000} File not found
O4:64bit: - HKLM..\RunOnce: [MSPQM] rundll32.exe streamci,StreamingDeviceSetup {DDF4358E-BB2C-11D0-A42F-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196},{97EBAACB-95BD-11D0-A3EA-00A0C9223196} File not found
O4:64bit: - HKLM..\RunOnce: [MSTEE.CxTransform] rundll32.exe streamci,StreamingDeviceSetup {cfd669f1-9bc2-11d0-8299-0000f822fe8a},{CF1DDA2C-9743-11D0-A3EE-00A0C9223196},{CF1DDA2C-9743-11D0-A3EE-00A0C9223196},C:\Windows\inf\ksfilter.inf,MSTEE.Interface.Install File not found
O4:64bit: - HKLM..\RunOnce: [MSTEE.Splitter] rundll32.exe streamci,StreamingDeviceSetup {cfd669f1-9bc2-11d0-8299-0000f822fe8a},{0A4252A0-7E70-11D0-A5D6-28DB04C10000},{0A4252A0-7E70-11D0-A5D6-28DB04C10000},C:\Windows\inf\ksfilter.inf,MSTEE.Interface.Install File not found
O4:64bit: - HKLM..\RunOnce: [WDM_DRMKAUD] rundll32.exe streamci,StreamingDeviceSetup {EEC12DB6-AD9C-4168-8658-B03DAEF417FE},{ABD61E00-9350-47e2-A632-4438B90C6641},{FFBB6E3F-CCFE-4D84-90D9-421418B03A8E},C:\Windows\inf\WDMAUDIO.inf,WDM_DRMKAUD.Interface.Install File not found
O4 - HKLM..\RunOnce: [EBUReboot] C:\Program Files (x86)\Microsoft Games\Train Simulator\UNINSTAL.EXE ()
O4 - HKLM..\RunOnce: [EBUSetup] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware  (cleanup)] C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll (Malwarebytes Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O1364bit: - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A0258087-FC52-4109-A0F5-9794F8244547}: DhcpNameServer = 192.168.178.1
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) -C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.01.06 02:27:57 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET
[2011.12.18 20:17:22 | 000,000,000 | ---D | C] -- C:\Users\Burli\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games
[2011.12.18 20:16:49 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Airline Tycoon
[2011.12.18 20:16:48 | 000,000,000 | ---D | C] -- C:\Users\Burli\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Airline Tycoon
[2011.12.17 13:44:49 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2011.12.17 13:44:49 | 000,000,000 | ---D | C] -- C:\Users\Burli\AppData\Local\temp
[2011.12.17 13:18:32 | 000,723,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\EncDec.dll
[2011.12.17 13:18:32 | 000,534,528 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\EncDec.dll
[2011.12.14 17:48:33 | 000,702,464 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msfeeds.dll
[2011.12.14 17:48:31 | 000,247,808 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ieui.dll
[2011.12.14 17:48:29 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ieui.dll
[2011.12.14 17:48:25 | 000,097,280 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mshtmled.dll
[2011.12.14 17:48:24 | 000,067,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mshtmled.dll
[2011.12.14 17:48:19 | 000,134,144 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\url.dll
[2011.12.14 17:48:19 | 000,132,096 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\url.dll
[2011.12.14 17:48:09 | 000,043,520 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\csrsrv.dll
[2011.12.12 22:44:56 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
 
========== Files - Modified Within 30 Days ==========
 
[2012.01.07 00:59:18 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.01.07 00:59:08 | 3219,521,536 | -HS- | M] () -- C:\hiberfil.sys
[2012.01.06 23:18:18 | 000,019,184 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.01.06 23:18:18 | 000,019,184 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.01.06 01:01:59 | 000,001,109 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.01.06 00:56:40 | 000,010,798 | -HS- | M] () -- C:\ProgramData\uf0hd51mqs87866fu1i28h2h408k0m864462i0q7f6vqq
[2012.01.06 00:56:26 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.01.05 06:42:52 | 000,000,272 | -H-- | M] () -- C:\ProgramData\~quh3l3SOHmDGU2
[2012.01.05 06:42:52 | 000,000,160 | -H-- | M] () -- C:\ProgramData\~quh3l3SOHmDGU2r
[2012.01.01 16:10:11 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.01.01 16:09:57 | 000,000,448 | -H-- | M] () -- C:\ProgramData\quh3l3SOHmDGU2
[2012.01.01 16:07:26 | 000,366,462 | -H-- | M] () -- C:\ProgramData\quh3l3SOHmDGU2.exe
[2012.01.01 15:58:40 | 000,456,574 | -HS- | M] () -- C:\ProgramData\rojcXnmSQnPTbrc.exe
[2011.12.18 21:13:01 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2011.12.18 21:13:01 | 000,654,166 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2011.12.18 21:13:01 | 000,616,008 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2011.12.18 21:13:01 | 000,130,006 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2011.12.18 21:13:01 | 000,106,388 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2011.12.18 20:41:05 | 000,000,038 | ---- | M] () -- C:\Windows\wininit.ini
[2011.12.14 22:02:45 | 000,293,624 | ---- | M] () -- C:\Windows\SysNative\FNTCACHE.DAT
[2011.12.12 22:56:25 | 000,000,027 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts
[2011.12.10 15:24:08 | 000,023,152 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
 
========== Files Created - No Company Name ==========
 
[2012.01.06 01:01:59 | 000,001,109 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.01.05 06:42:52 | 000,000,272 | -H-- | C] () -- C:\ProgramData\~quh3l3SOHmDGU2
[2012.01.05 06:42:52 | 000,000,160 | -H-- | C] () -- C:\ProgramData\~quh3l3SOHmDGU2r
[2012.01.01 16:07:44 | 000,000,448 | -H-- | C] () -- C:\ProgramData\quh3l3SOHmDGU2
[2012.01.01 16:07:26 | 000,366,462 | -H-- | C] () -- C:\ProgramData\quh3l3SOHmDGU2.exe
[2012.01.01 16:01:53 | 000,456,574 | -HS- | C] () -- C:\ProgramData\rojcXnmSQnPTbrc.exe
[2012.01.01 16:00:01 | 000,010,798 | -HS- | C] () -- C:\ProgramData\uf0hd51mqs87866fu1i28h2h408k0m864462i0q7f6vqq
[2011.12.18 20:41:05 | 000,000,038 | ---- | C] () -- C:\Windows\wininit.ini
[2011.09.19 14:39:19 | 000,000,000 | ---- | C] () -- C:\Users\Burli\AppData\Roaming\FileOut.cns
[2011.09.19 14:39:19 | 000,000,000 | ---- | C] () -- C:\Users\Burli\AppData\Roaming\FileIn.cns
[2011.08.23 20:14:50 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2011.07.26 17:26:48 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe
[2011.07.26 17:26:46 | 000,974,848 | ---- | C] () -- C:\Windows\SysWow64\cis-2.4.dll
[2011.07.26 17:26:46 | 000,081,920 | ---- | C] () -- C:\Windows\SysWow64\issacapi_bs-2.3.dll
[2011.07.26 17:26:46 | 000,065,536 | ---- | C] () -- C:\Windows\SysWow64\issacapi_pe-2.3.dll
[2011.07.26 17:26:46 | 000,057,344 | ---- | C] () -- C:\Windows\SysWow64\issacapi_se-2.3.dll
[2009.07.14 06:38:36 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 03:35:51 | 000,000,741 | ---- | C] () -- C:\Windows\SysWow64\NOISE.DAT
[2009.07.14 03:34:42 | 000,215,943 | ---- | C] () -- C:\Windows\SysWow64\dssec.dat
[2009.07.14 01:10:29 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll
[2009.07.13 22:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2009.06.10 22:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\SysWow64\mlang.dat

< End of report >

--- --- ---

Extras.txt
OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 07.01.2012 01:01:18 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Users\Surfen\Desktop
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7601.17514)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,13 Gb Available Physical Memory | 78,36% Memory free
7,99 Gb Paging File | 7,14 Gb Available in Paging File | 89,31% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 451,76 Gb Total Space | 375,24 Gb Free Space | 83,06% Space Free | Partition Type: NTFS
Drive D: | 14,00 Gb Total Space | 2,12 Gb Free Space | 15,11% Space Free | Partition Type: NTFS
 
Computer Name: BURLI-PC | User Name: Burli | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl[@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\SysWow64\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %SystemRoot%\system32\mshtml.dll,PrintHTML "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\SysWow64\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Program Files (x86)\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Program Files (x86)\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Program Files (x86)\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\SysWow64\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\SysWow64\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Program Files (x86)\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Program Files (x86)\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Program Files (x86)\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirewallDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
========== Firewall Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"SynTPDeinstKey" = Synaptics Pointing Device Driver
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{22B0E143-2B0B-435B-9F56-136A3D16065F}" = No23 Recorder
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 22
"{2934DCB0-F8EE-11E0-A4A5-B8AC6F97B88E}" = Google Earth Plug-in
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"{80AE0E0A-5579-4015-9C1A-35F2F2CE5673}" = Emergency 4
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Deutsch
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"ESET Online Scanner" = ESET Online Scanner v3
"FUSSBALL MANAGER 08" = FUSSBALL MANAGER 08
"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.0.1800
"Mozilla Firefox 6.0.1 (x86 de)" = Mozilla Firefox 6.0.1 (x86 de)
"Mozilla Thunderbird (6.0.2)" = Mozilla Thunderbird (6.0.2)
"Mp3tag" = Mp3tag v2.49
"SopCast" = SopCast 3.4.0
"STP DB ICE T 411 V1.0" = STP DB ICE T 411 V1.0
"Train Simulator 1.0" = Microsoft Train Simulator
"Veetle TV" = Veetle TV
"Winamp" = Winamp
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Winamp Detect" = Winamp Erkennungs-Plug-in
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 25.09.2011 13:16:47 | Computer Name = Burli-PC | Source = Software Protection Platform Service | ID = 8200
Description = Lizenzerwerb-Fehlerdetails.   hr=0xC004C533
 
Error - 25.09.2011 13:16:47 | Computer Name = Burli-PC | Source = Software Protection Platform Service | ID = 8208
Description = Fehler bei der Erfassung des authentischen Tickets (hr=0xC004C533)
 für die Vorlagen-ID 66c92734-d682-4d71-983e-d6ec3f16059f.
 
Error - 06.10.2011 20:01:05 | Computer Name = Burli-PC | Source = Application Hang | ID = 1002
Description = Programm firefox.exe, Version 6.0.1.4259 kann nicht mehr unter Windows
 ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: da4    Startzeit: 
01cc84839e486556    Endzeit: 31    Anwendungspfad: C:\Program Files (x86)\Mozilla Firefox\firefox.exe

Berichts-ID:
 69590f76-f077-11e0-beb9-00269e8d3cb7  
 
Error - 31.10.2011 07:22:59 | Computer Name = Burli-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Manager08.exe, Version: 0.0.0.0, 
Zeitstempel: 0x476843b8  Name des fehlerhaften Moduls: Manager08.exe, Version: 0.0.0.0,
 Zeitstempel: 0x476843b8  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0075d031  ID des fehlerhaften
 Prozesses: 0x708  Startzeit der fehlerhaften Anwendung: 0x01cc97a163987880  Pfad der
 fehlerhaften Anwendung: C:\Program Files (x86)\EA SPORTS\FUSSBALL MANAGER 08\Manager08.exe
Pfad
 des fehlerhaften Moduls: C:\Program Files (x86)\EA SPORTS\FUSSBALL MANAGER 08\Manager08.exe
Berichtskennung:
 af86e984-03b2-11e1-85f9-00269e8d3cb7
 
Error - 31.10.2011 07:23:20 | Computer Name = Burli-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Manager08.exe, Version: 0.0.0.0, 
Zeitstempel: 0x476843b8  Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7601.17514,
 Zeitstempel: 0x4ce7ba58  Ausnahmecode: 0xc0000005  Fehleroffset: 0x0002e39e  ID des fehlerhaften
 Prozesses: 0x708  Startzeit der fehlerhaften Anwendung: 0x01cc97a163987880  Pfad der
 fehlerhaften Anwendung: C:\Program Files (x86)\EA SPORTS\FUSSBALL MANAGER 08\Manager08.exe
Pfad
 des fehlerhaften Moduls: C:\Windows\SysWOW64\ntdll.dll  Berichtskennung: bbf61c76-03b2-11e1-85f9-00269e8d3cb7
 
Error - 26.11.2011 11:26:01 | Computer Name = Burli-PC | Source = Application Hang | ID = 1002
Description = Programm firefox.exe, Version 6.0.1.4259 kann nicht mehr unter Windows
 ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: ec8    Startzeit: 
01ccac42adc2813d    Endzeit: 29    Anwendungspfad: C:\Program Files (x86)\Mozilla Firefox\firefox.exe

Berichts-ID:
 efd924c6-1842-11e1-b96e-00269e8d3cb7  
 
Error - 12.12.2011 17:45:21 | Computer Name = Burli-PC | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: pev.3XE, Version: 0.0.0.0, Zeitstempel:
 0x4e06cfe8  Name des fehlerhaften Moduls: pev.3XE, Version: 0.0.0.0, Zeitstempel:
 0x4e06cfe8  Ausnahmecode: 0x40000015  Fehleroffset: 0x0008d1c0  ID des fehlerhaften Prozesses:
 0xc7c  Startzeit der fehlerhaften Anwendung: 0x01ccb91757a4506a  Pfad der fehlerhaften
 Anwendung: C:\ComboFix\pev.3XE  Pfad des fehlerhaften Moduls: C:\ComboFix\pev.3XE
Berichtskennung:
 96611adb-250a-11e1-89a2-00269e8d3cb7
 
Error - 05.01.2012 23:23:08 | Computer Name = Burli-PC | Source = Microsoft-Windows-CAPI2 | ID = 512
Description = Vom Kryptografiedienst konnte das VSS-Sicherungsobjekt "System Writer"
 nicht initialisiert werden.  Details: Could not query the status of the EventSystem
 service.  System Error: Der Computer wird heruntergefahren.  .
 
Error - 06.01.2012 14:15:17 | Computer Name = Burli-PC | Source = System Restore | ID = 8193
Description = 
 
Error - 06.01.2012 18:26:20 | Computer Name = Burli-PC | Source = System Restore | ID = 8193
Description = 
 
[ System Events ]
Error - 06.01.2012 19:59:47 | Computer Name = Burli-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 06.01.2012 19:59:47 | Computer Name = Burli-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 06.01.2012 19:59:47 | Computer Name = Burli-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 06.01.2012 19:59:47 | Computer Name = Burli-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 06.01.2012 19:59:57 | Computer Name = Burli-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 06.01.2012 19:59:57 | Computer Name = Burli-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 06.01.2012 19:59:57 | Computer Name = Burli-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 06.01.2012 20:01:28 | Computer Name = Burli-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "PnP-X-IP-Busenumerator" ist vom Dienst "Funktionssuchanbieter-Host"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 06.01.2012 20:01:47 | Computer Name = Burli-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
Error - 06.01.2012 20:01:47 | Computer Name = Burli-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:   %%1068
 
 
< End of report >

--- --- ---

05.01.2012, 15:48	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Antivir findet EXP/CVE-2010-4452.CE Dann probier es im abgesicherten Modus mit Netzwerktreibern Abgesicherter Modus zur Bereinigung Windows mit F8-Taste beim Start in den abgesicherten Modus bringen. Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern: __________________ --> Antivir findet EXP/CVE-2010-4452.CE

Antivir findet EXP/CVE-2010-4452.CE

Log-Analyse und Auswertung: Antivir findet EXP/CVE-2010-4452.CE