|
Log-Analyse und Auswertung: 50€ virusWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.01.2012, 13:30 | #1 |
| 50€ virus Hallo, hab mir den 50€ Virus eingefangen. Sobald sich der PC ins internet eigeloggt hat, blockiert der Virus den PC und fordert wie bekannt zur Zahlung auf. Hab jetzt den PC vom Netz genommen und schreibe von einem anderen Laptop. Hab mir schon den OTL.exe auf einen stick runtergeladen. Wie soll ich weitermachen? |
24.01.2012, 13:48 | #2 |
| 50€ virus Hab mal mit OTL einen Scan durchgeführt und das kam rausOTL Logfile:
__________________Code:
ATTFilter OTL logfile created on: 24.01.2012 13:31:37 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = F:\ Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 502,42 Mb Total Physical Memory | 112,60 Mb Available Physical Memory | 22,41% Memory free 1,19 Gb Paging File | 0,83 Gb Available in Paging File | 69,23% Paging File free Paging file location(s): C:\pagefile.sys 753 1512 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 16,42 Gb Total Space | 1,34 Gb Free Space | 8,13% Space Free | Partition Type: FAT32 Drive D: | 16,91 Gb Total Space | 11,14 Gb Free Space | 65,91% Space Free | Partition Type: FAT32 Drive F: | 3,80 Gb Total Space | 0,96 Gb Free Space | 25,16% Space Free | Partition Type: FAT32 Computer Name: ACER-A9CE03BBC6 | User Name: Navigaton | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.01.24 13:22:04 | 000,584,192 | ---- | M] (OldTimer Tools) -- F:\OTL.exe PRC - [2011.07.03 13:59:20 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2011.04.30 16:20:16 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2011.01.10 14:22:56 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.02.18 11:43:18 | 000,248,040 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2010.01.14 21:10:54 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2008.04.14 03:22:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2008.04.14 03:22:46 | 000,058,880 | ---- | M] (Корпорация Майкрософт) -- C:\Dokumente und Einstellungen\Navigaton\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe PRC - [2006.01.24 18:00:08 | 000,397,312 | ---- | M] (acer Inc.) -- C:\Acer\Empowering Technology\eRecovery\Monitor.exe PRC - [2005.12.27 15:50:28 | 000,069,632 | ---- | M] (HiTRUST) -- C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe PRC - [2005.11.10 19:09:24 | 000,212,992 | ---- | M] (Acer Inc) -- C:\Acer\Empowering Technology\ePower\epm-dm.exe PRC - [2005.10.24 16:45:32 | 002,462,208 | ---- | M] (Avocent Inc.) -- C:\Acer\Empowering Technology\admtray.exe PRC - [2005.10.24 16:40:52 | 001,314,816 | ---- | M] (Avocent Inc.) -- C:\Acer\Empowering Technology\admServ.exe PRC - [2005.04.15 11:01:46 | 000,077,824 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\SOUNDMAN.EXE PRC - [2005.02.04 11:12:58 | 000,102,490 | ---- | M] (Synaptics, Inc.) -- C:\Programme\Synaptics\SynTP\SynTPLpr.exe ========== Modules (No Company Name) ========== MOD - [2010.06.17 14:27:04 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2009.02.27 17:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU MOD - [2005.12.27 15:50:26 | 000,010,752 | ---- | M] () -- C:\WINDOWS\system32\MSNChatHook.dll MOD - [2005.11.28 11:59:16 | 000,876,544 | ---- | M] () -- C:\Programme\Intel\Wireless\Bin\Libeay32.dll MOD - [2005.11.28 11:59:16 | 000,208,965 | ---- | M] () -- C:\Programme\Intel\Wireless\Bin\iWMSProv.dll MOD - [2005.11.28 11:59:16 | 000,053,322 | ---- | M] () -- C:\Programme\Intel\Wireless\Bin\IntStngs.dll MOD - [2005.09.05 16:31:56 | 000,229,472 | ---- | M] () -- C:\Acer\Empowering Technology\NetMonitor.dll MOD - [2003.12.29 20:45:08 | 000,040,960 | ---- | M] () -- C:\Acer\Empowering Technology\ServiceControl.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- -- (Automatisches LiveUpdate - Scheduler) SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt) SRV - [2011.07.03 13:59:20 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011.04.30 16:20:16 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2005.10.24 16:40:52 | 001,314,816 | ---- | M] (Avocent Inc.) [Auto | Running] -- C:\Acer\Empowering Technology\admServ.exe -- (AWService) SRV - [2005.02.24 15:30:50 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT) ========== Driver Services (SafeList) ========== DRV - [2011.07.03 13:59:28 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011.07.03 13:59:28 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010.06.17 14:27:04 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.06.17 14:26:54 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2006.04.06 01:00:00 | 000,264,704 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB) DRV - [2006.01.23 12:41:42 | 000,032,512 | ---- | M] (CACE Technologies) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\npf.sys -- (NPF) DRV - [2005.11.28 12:09:26 | 000,013,568 | ---- | M] (Intel Corporation) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\s24trans.sys -- (s24trans) DRV - [2005.11.08 15:12:18 | 000,997,376 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV) DRV - [2005.11.08 15:11:38 | 000,242,048 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWICH.sys -- (HSFHWICH) DRV - [2005.11.08 15:11:30 | 000,723,712 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf) DRV - [2005.10.15 18:20:44 | 000,012,106 | ---- | M] (OSA Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\OsaFsLoc.sys -- (OsaFsLoc) DRV - [2005.09.13 15:34:40 | 000,004,392 | ---- | M] (OSA Technologies) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NdisFilt.sys -- (NdisFilt) DRV - [2005.09.12 01:49:44 | 003,298,432 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w29n51.sys -- (w29n51) Intel(R) DRV - [2005.07.25 10:04:08 | 000,048,640 | ---- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ser2pl.sys -- (Ser2pl) DRV - [2005.06.30 16:58:24 | 000,007,296 | ---- | M] (OSA Technologies, An Avocent Company) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\osaio.sys -- (osaio) DRV - [2005.06.23 02:00:00 | 000,847,776 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\bfhubase.sys -- (bfhubase) BlueFRITZ! USB 2.5(WinXP/2000) DRV - [2005.06.23 02:00:00 | 000,374,144 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\capi_cip.sys -- (CAPI_CIP) DRV - [2005.06.23 02:00:00 | 000,061,056 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmbtser.sys -- (AVMBTSERIAL) DRV - [2005.06.23 02:00:00 | 000,060,288 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmbtpar.sys -- (AVMBTPARALLEL) DRV - [2005.06.23 02:00:00 | 000,053,248 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN) DRV - [2005.06.23 02:00:00 | 000,051,712 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmbtsnd.sys -- (AVMBTSND) DRV - [2005.06.23 02:00:00 | 000,033,354 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\netbfpan.sys -- (NETBFPAN) DRV - [2005.06.23 02:00:00 | 000,006,656 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\bfhu_cfg.sys -- (BFHU_CFG) DRV - [2005.05.02 12:13:42 | 000,009,600 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NETMNT.sys -- (NETMNT) DRV - [2005.04.19 10:40:52 | 002,317,504 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM) DRV - [2005.04.07 18:08:46 | 000,078,208 | ---- | M] (Acer Value Labs, USA) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\epm-shd.sys -- (EpmShd) DRV - [2005.01.14 15:57:16 | 000,004,010 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\osanbm.sys -- (osanbm) DRV - [2005.01.13 14:46:16 | 000,069,632 | ---- | M] () [Kernel | Auto | Running] -- C:\Acer\Empowering Technology\eRecovery\int15.sys -- (int15.sys) DRV - [2004.12.15 15:18:26 | 001,038,208 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\HSF_DP.sys -- (HSF_DP) DRV - [2004.12.02 16:36:08 | 000,070,912 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtlnicxp.sys -- (RTL8023xp) DRV - [2004.10.11 15:28:32 | 000,008,448 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\moufiltr.sys -- (moufiltr) DRV - [2004.07.19 13:10:00 | 000,004,096 | ---- | M] (Acer Value Labs, USA) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\epm-psd.sys -- (EpmPsd) DRV - [2003.12.05 18:46:36 | 000,010,368 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc) DRV - [2003.10.28 05:00:00 | 000,741,600 | R--- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\bfubase.sys -- (bfubase) BlueFRITZ! USB (WinXP/2000) DRV - [2003.03.27 13:55:48 | 000,011,776 | ---- | M] (WayTech Development, Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\kbfilter.sys -- (kbfilter) DRV - [2001.11.25 03:11:54 | 000,081,924 | ---- | M] (FUJI PHOTO FILM CO.,LTD.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\V4CB0115.SYS -- (FINEPIX_PCC) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Upgrade to Google Chrome IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Upgrade to Google Chrome IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Google IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = Upgrade to Google Chrome IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Upgrade to Google Chrome IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.defaulturl: "hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=" FF - prefs.js..browser.search.param.yahoo-fr: "moz2-ytff-" FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "moz2-ytff-" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.search.suggest.enabled: false FF - prefs.js..browser.startup.homepage: "hxxp://de.yahoo.com/?p=us" FF - prefs.js..extensions.enabledItems: {9AA46F4F-4DC7-4c06-97AF-5035170633FE}:20.1.0.4 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198 FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.6.20090220 FF - prefs.js..keyword.URL: "hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2 [2009.12.23 19:03:50 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.02.01 17:42:18 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2007.01.29 16:53:28 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2 [2009.12.23 19:03:50 | 000,000,000 | ---D | M] [2009.02.01 17:42:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Mozilla\Extensions [2007.01.29 17:56:02 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Mozilla\Firefox\Profiles\exfb1ve1.default\extensions [2009.10.26 08:20:40 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Mozilla\Firefox\Profiles\exfb1ve1.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.12.13 12:12:26 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Mozilla\Firefox\Profiles\exfb1ve1.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2009.02.28 15:35:36 | 000,000,681 | ---- | M] () -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Mozilla\Firefox\Profiles\exfb1ve1.default\searchplugins\ask.xml [2009.02.01 17:42:18 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2009.08.16 13:35:46 | 000,000,000 | ---D | M] (G Data WebFilter) -- C:\Programme\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE} [2010.04.13 20:37:04 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} [2010.05.01 23:03:12 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2012.01.09 15:22:12 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2010.05.01 23:03:10 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2011.11.24 10:55:14 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml [2011.11.24 10:55:14 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.11.24 10:55:14 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.11.24 10:55:14 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.11.24 10:55:14 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011.11.24 10:55:14 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml O1 HOSTS File: ([2004.08.04 05:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll (HiTRUST) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe (Acer Value Labs, Taiwan) O4 - HKLM..\Run: [ADMTray.exe] C:\Acer\Empowering Technology\admtray.exe (Avocent Inc.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe (HiTRUST) O4 - HKLM..\Run: [epm-dm] c:\Acer\Empowering Technology\ePower\epm-dm.exe (Acer Inc) O4 - HKLM..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe (acer Inc.) O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation) O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe () O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [preload] C:\WINDOWS\RUNXMLPL.EXE (Wistron) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.) O4 - HKCU..\Run: [Firefox helper] C:\Dokumente und Einstellungen\Navigaton\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe (Корпорация Майкрософт) O4 - HKCU..\Run: [PayPal.exe] C:\DOKUME~1\NAVIGA~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für Rechnung.zip\PayPal.exe File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{52890581-DF4D-46AA-A772-A4F2748AC750}: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7DA4BB7D-1337-45D8-96B6-E7CE1E95FE4A}: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{E55F7CB8-A057-4A09-9831-56AD2E65FB6C}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\mctp - No CLSID value found O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Navigaton\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Navigaton\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{bc239940-8773-11db-a92e-00166fa70d32}\Shell - "" = AutoRun O33 - MountPoints2\{bc239940-8773-11db-a92e-00166fa70d32}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{bc239940-8773-11db-a92e-00166fa70d32}\Shell\AutoRun\command - "" = F:\pushinst.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.01.24 13:29:18 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.01.24 13:29:02 | 000,000,451 | ---- | M] () -- C:\WINDOWS\System32\eRLog.ini [2012.01.24 13:27:18 | 000,000,097 | ---- | M] () -- C:\WINDOWS\ComponentList.xml [2012.01.24 13:26:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.01.24 13:26:36 | 526,897,152 | -HS- | M] () -- C:\hiberfil.sys [2012.01.24 11:39:38 | 000,002,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Navigaton\Desktop\Microsoft Word.lnk [2012.01.12 17:21:52 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.01.12 17:16:18 | 000,450,978 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.01.12 17:16:18 | 000,434,454 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.01.12 17:16:18 | 000,081,600 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.01.12 17:16:18 | 000,068,740 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.10.17 10:06:36 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI [2011.10.17 10:06:33 | 000,000,316 | ---- | C] () -- C:\WINDOWS\System32\drivers\yniuxbqh.dat [2010.04.13 20:42:48 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2010.01.13 12:13:39 | 000,078,195 | ---- | C] () -- C:\WINDOWS\hpqins05.dat [2009.12.23 18:54:57 | 000,216,952 | ---- | C] () -- C:\WINDOWS\hpwins22.dat [2009.12.23 18:54:56 | 000,002,979 | ---- | C] () -- C:\WINDOWS\hpwmdl22.dat [2007.05.30 22:55:02 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\HKLock.dll [2007.05.30 22:55:02 | 000,057,344 | ---- | C] () -- C:\WINDOWS\HKLock.dll [2007.04.25 06:02:17 | 000,000,783 | ---- | C] () -- C:\WINDOWS\NTIWVEDT.INI [2007.03.22 14:17:54 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2007.03.19 17:50:29 | 000,002,951 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Config.nt.bak [2007.03.19 17:50:29 | 000,001,806 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Autoexec.nt.bak [2007.03.19 17:50:28 | 000,000,820 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\hosts.bak [2007.03.18 21:31:47 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007.02.19 10:54:36 | 000,000,176 | ---- | C] () -- C:\WINDOWS\wininit.ini [2007.01.29 17:56:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2007.01.29 16:53:27 | 000,002,775 | ---- | C] () -- C:\WINDOWS\mozver.dat [2007.01.29 16:39:11 | 000,015,360 | ---- | C] () -- C:\Dokumente und Einstellungen\Navigaton\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2007.01.15 12:04:33 | 000,122,880 | ---- | C] () -- C:\WINDOWS\UnGins.exe [2006.12.11 11:48:16 | 000,002,508 | ---- | C] () -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\$_hpcst$.hpc [2006.12.09 11:55:17 | 000,097,312 | ---- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin [2006.12.08 17:35:16 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_Start.INI [2006.12.08 15:12:43 | 000,067,072 | ---- | C] () -- C:\WINDOWS\System32\HTCA_SelfExtract.bin [2006.12.08 15:12:37 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\SC_res.dll [2006.12.08 15:12:37 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\EN_res.dll [2006.12.08 15:12:37 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\TC_res.dll [2006.12.08 15:12:37 | 000,010,752 | ---- | C] () -- C:\WINDOWS\System32\MSNChatHook.dll [2006.12.08 15:12:36 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\APISlice.dll [2006.12.08 15:11:28 | 000,000,451 | ---- | C] () -- C:\WINDOWS\System32\eRLog.ini [2006.12.08 15:07:00 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll [2006.12.08 15:02:11 | 000,159,821 | ---- | C] () -- C:\WINDOWS\EMEAPAGE.exe [2006.05.10 23:40:44 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2006.05.10 23:33:08 | 000,450,978 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2006.05.10 23:33:08 | 000,434,454 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2006.05.10 23:33:08 | 000,081,600 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2006.05.10 23:33:08 | 000,068,740 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2006.05.10 23:28:30 | 000,210,488 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2006.04.06 12:23:04 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\unrar_mpfc.dll [2006.03.09 23:18:16 | 000,036,404 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2005.12.06 10:51:34 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIBUN4.dll [2005.12.06 10:50:50 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMPEG2.dll [2005.12.06 10:50:50 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMP3.dll [2005.12.06 10:50:50 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIFCD3.dll [2005.12.06 10:50:50 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTICDMK7.dll [2005.11.09 02:12:16 | 000,001,048 | ---- | C] () -- C:\WINDOWS\System32\drivers\alcxinit.dat [2005.07.05 08:09:06 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2005.06.02 11:27:08 | 000,000,215 | ---- | C] () -- C:\WINDOWS\FlashSaver.dat [2005.05.02 12:13:42 | 000,009,600 | ---- | C] () -- C:\WINDOWS\System32\drivers\NETMNT.sys [2005.01.21 11:48:06 | 000,225,280 | ---- | C] () -- C:\WINDOWS\Capsule.dll [2004.10.27 15:47:00 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe [2004.09.13 12:33:24 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2004.09.13 12:31:22 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2004.09.07 14:23:16 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2004.08.04 05:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2004.08.04 05:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2004.08.04 05:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2004.08.04 05:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2004.08.04 05:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2004.08.04 05:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2004.08.04 05:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2004.08.04 05:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2004.08.04 05:00:00 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini [2004.08.04 05:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2004.08.04 05:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2004.05.14 13:04:36 | 000,049,152 | ---- | C] () -- C:\WINDOWS\XMLaunch.exe [2003.12.29 20:45:08 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ServiceControl.dll [2003.11.24 15:55:48 | 000,743,424 | ---- | C] () -- C:\WINDOWS\libxml2.dll [2003.11.24 15:55:32 | 000,872,448 | ---- | C] () -- C:\WINDOWS\iconv.dll [2002.09.12 22:41:26 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2002.09.12 22:41:26 | 000,004,524 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2001.12.26 16:12:30 | 000,065,536 | R--- | C] () -- C:\WINDOWS\System32\multiplex_vcd.dll [2001.09.03 23:46:38 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\Hmpg12.dll [2001.07.30 16:33:56 | 000,118,784 | R--- | C] () -- C:\WINDOWS\System32\HMPV2_ENC.dll [2001.07.23 22:04:36 | 000,118,784 | R--- | C] () -- C:\WINDOWS\System32\HMPV2_ENC_MMX.dll [1999.01.22 19:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL < End of report > |
24.01.2012, 14:10 | #3 |
/// Malware-holic | 50€ virus hi
__________________starte mal neu, drücke f8 wähle abgesicherter modus mit netzwerk. dort solltest du internet haben und arbeiten können ohne fehler meldung dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user. wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. Code:
ATTFilter :OTL O4 - HKCU..\Run: [Firefox helper] C:\Dokumente und Einstellungen\Navigaton\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe (Корпорация Майкрософт) :Files C:\Dokumente und Einstellungen\Navigaton\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe :Commands [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren. starte in den normalen modus. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Drücke bitte die + E Taste.
__________________ |
24.01.2012, 15:47 | #4 |
| 50€ virus Hallo Markus, vielen Dank für deine Hilfe. Hat leider nicht ganz funktioniert. Nach dem Neustart kam der 50€ virus wieder sobald sich der Laptop mit dem Netzt verbunden hat. hätte ich wieder abgesichert starten sollen ? |
24.01.2012, 16:11 | #5 |
/// Malware-holic | 50€ virus starte noch mal in den abgesicherten modus und poste ein neues otl log. eig hätte es klappen müssen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
24.01.2012, 16:56 | #6 |
| 50€ virus Hier noch mals das log fileOTL Logfile: Code:
ATTFilter OTL logfile created on: 24.01.2012 16:51:50 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Navigaton\Eigene Dateien\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 502,42 Mb Total Physical Memory | 284,99 Mb Available Physical Memory | 56,72% Memory free 1,20 Gb Paging File | 1,05 Gb Available in Paging File | 87,87% Paging File free Paging file location(s): C:\pagefile.sys 753 1512 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 16,42 Gb Total Space | 1,97 Gb Free Space | 11,99% Space Free | Partition Type: FAT32 Drive D: | 16,91 Gb Total Space | 11,14 Gb Free Space | 65,91% Space Free | Partition Type: FAT32 Computer Name: ACER-A9CE03BBC6 | User Name: Navigaton | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Navigaton\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) ========== Modules (No Company Name) ========== MOD - C:\Programme\Mozilla Firefox\mozjs.dll () ========== Win32 Services (SafeList) ========== SRV - (Automatisches LiveUpdate - Scheduler) -- File not found SRV - (AppMgmt) -- File not found SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (AWService) -- C:\Acer\Empowering Technology\admServ.exe (Avocent Inc.) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH) DRV - (NPF) -- C:\WINDOWS\system32\drivers\npf.sys (CACE Technologies) DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation) DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.) DRV - (HSFHWICH) -- C:\WINDOWS\system32\drivers\HSFHWICH.sys (Conexant Systems, Inc.) DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.) DRV - (OsaFsLoc) -- C:\WINDOWS\system32\drivers\OsaFsLoc.sys (OSA Technologies) DRV - (NdisFilt) -- C:\WINDOWS\system32\drivers\NdisFilt.sys (OSA Technologies) DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation) DRV - (Ser2pl) -- C:\WINDOWS\system32\drivers\ser2pl.sys (Prolific Technology Inc.) DRV - (osaio) -- C:\WINDOWS\system32\drivers\osaio.sys (OSA Technologies, An Avocent Company) DRV - (bfhubase) BlueFRITZ! USB 2.5(WinXP/2000) -- C:\WINDOWS\system32\drivers\bfhubase.sys (AVM Berlin) DRV - (CAPI_CIP) -- C:\WINDOWS\system32\drivers\capi_cip.sys (AVM Berlin) DRV - (AVMBTSERIAL) -- C:\WINDOWS\system32\drivers\avmbtser.sys (AVM GmbH) DRV - (AVMBTPARALLEL) -- C:\WINDOWS\system32\drivers\avmbtpar.sys (AVM GmbH) DRV - (AVMCOWAN) -- C:\WINDOWS\system32\drivers\avmcowan.sys (AVM GmbH) DRV - (AVMBTSND) -- C:\WINDOWS\system32\drivers\avmbtsnd.sys (AVM GmbH) DRV - (NETBFPAN) -- C:\WINDOWS\system32\drivers\netbfpan.sys (AVM Berlin) DRV - (BFHU_CFG) -- C:\WINDOWS\system32\drivers\bfhu_cfg.sys (AVM Berlin) DRV - (NETMNT) -- C:\WINDOWS\system32\drivers\NETMNT.sys () DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.) DRV - (EpmShd) -- C:\WINDOWS\system32\drivers\epm-shd.sys (Acer Value Labs, USA) DRV - (osanbm) -- C:\WINDOWS\system32\drivers\osanbm.sys (Windows (R) 2000 DDK provider) DRV - (int15.sys) -- C:\Acer\Empowering Technology\eRecovery\int15.sys () DRV - (HSF_DP) -- C:\WINDOWS\system32\drivers\HSF_DP.sys (Conexant Systems, Inc.) DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtlnicxp.sys (Realtek Semiconductor Corporation ) DRV - (moufiltr) -- C:\WINDOWS\System32\drivers\moufiltr.sys (Windows (R) 2000 DDK provider) DRV - (EpmPsd) -- C:\WINDOWS\system32\drivers\epm-psd.sys (Acer Value Labs, USA) DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.) DRV - (bfubase) BlueFRITZ! USB (WinXP/2000) -- C:\WINDOWS\system32\drivers\bfubase.sys (AVM Berlin) DRV - (kbfilter) -- C:\WINDOWS\System32\drivers\kbfilter.sys (WayTech Development, Inc.) DRV - (FINEPIX_PCC) -- C:\WINDOWS\system32\drivers\V4CB0115.SYS (FUJI PHOTO FILM CO.,LTD.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.defaulturl: "hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=" FF - prefs.js..browser.search.param.yahoo-fr: "moz2-ytff-" FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "moz2-ytff-" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.search.suggest.enabled: false FF - prefs.js..browser.startup.homepage: "hxxp://de.yahoo.com/?p=us" FF - prefs.js..extensions.enabledItems: {9AA46F4F-4DC7-4c06-97AF-5035170633FE}:20.1.0.4 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198 FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.6.20090220 FF - prefs.js..keyword.URL: "hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2 [2009.12.23 19:03:50 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.02.01 17:42:18 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2007.01.29 16:53:28 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2 [2009.12.23 19:03:50 | 000,000,000 | ---D | M] [2009.02.01 17:42:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Mozilla\Extensions [2007.01.29 17:56:02 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Mozilla\Firefox\Profiles\exfb1ve1.default\extensions [2009.10.26 08:20:40 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Mozilla\Firefox\Profiles\exfb1ve1.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.12.13 12:12:26 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Mozilla\Firefox\Profiles\exfb1ve1.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2009.02.28 15:35:36 | 000,000,681 | ---- | M] () -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Mozilla\Firefox\Profiles\exfb1ve1.default\searchplugins\ask.xml [2009.02.01 17:42:18 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2009.08.16 13:35:46 | 000,000,000 | ---D | M] (G Data WebFilter) -- C:\Programme\Mozilla Firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170633FE} [2010.04.13 20:37:04 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} [2010.05.01 23:03:12 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2012.01.09 15:22:12 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2010.05.01 23:03:10 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2011.11.24 10:55:14 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml [2011.11.24 10:55:14 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.11.24 10:55:14 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.11.24 10:55:14 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.11.24 10:55:14 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011.11.24 10:55:14 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml O1 HOSTS File: ([2004.08.04 05:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll (HiTRUST) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe (Acer Value Labs, Taiwan) O4 - HKLM..\Run: [ADMTray.exe] C:\Acer\Empowering Technology\admtray.exe (Avocent Inc.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe (HiTRUST) O4 - HKLM..\Run: [epm-dm] c:\Acer\Empowering Technology\ePower\epm-dm.exe (Acer Inc) O4 - HKLM..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe (acer Inc.) O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation) O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe () O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [preload] C:\WINDOWS\RUNXMLPL.EXE (Wistron) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.) O4 - HKCU..\Run: [Firefox helper] C:\Dokumente und Einstellungen\Navigaton\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe (Корпорация Майкрософт) O4 - HKCU..\Run: [PayPal.exe] C:\DOKUME~1\NAVIGA~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für Rechnung.zip\PayPal.exe File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{52890581-DF4D-46AA-A772-A4F2748AC750}: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7DA4BB7D-1337-45D8-96B6-E7CE1E95FE4A}: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{E55F7CB8-A057-4A09-9831-56AD2E65FB6C}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\mctp - No CLSID value found O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Navigaton\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Navigaton\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{bc239940-8773-11db-a92e-00166fa70d32}\Shell - "" = AutoRun O33 - MountPoints2\{bc239940-8773-11db-a92e-00166fa70d32}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{bc239940-8773-11db-a92e-00166fa70d32}\Shell\AutoRun\command - "" = F:\pushinst.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2012.01.24 14:36:18 | 000,007,296 | ---- | C] (OSA Technologies, An Avocent Company) -- C:\WINDOWS\System32\drivers\osaio.sys [2012.01.24 14:28:58 | 000,000,000 | -HSD | C] -- C:\FOUND.008 [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.01.24 16:50:28 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.01.24 16:50:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.01.24 15:56:30 | 000,000,451 | ---- | M] () -- C:\WINDOWS\System32\eRLog.ini [2012.01.24 15:54:36 | 000,000,097 | ---- | M] () -- C:\WINDOWS\ComponentList.xml [2012.01.24 15:40:00 | 000,002,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Navigaton\Desktop\Microsoft Word.lnk [2012.01.24 15:28:12 | 000,210,488 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.01.12 17:21:52 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.01.12 17:16:18 | 000,450,978 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.01.12 17:16:18 | 000,434,454 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.01.12 17:16:18 | 000,081,600 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.01.12 17:16:18 | 000,068,740 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.10.17 10:06:36 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI [2011.10.17 10:06:33 | 000,000,316 | ---- | C] () -- C:\WINDOWS\System32\drivers\yniuxbqh.dat [2010.04.13 20:42:48 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2010.01.13 12:13:39 | 000,078,195 | ---- | C] () -- C:\WINDOWS\hpqins05.dat [2009.12.23 18:54:57 | 000,216,952 | ---- | C] () -- C:\WINDOWS\hpwins22.dat [2009.12.23 18:54:56 | 000,002,979 | ---- | C] () -- C:\WINDOWS\hpwmdl22.dat [2007.05.30 22:55:02 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\HKLock.dll [2007.05.30 22:55:02 | 000,057,344 | ---- | C] () -- C:\WINDOWS\HKLock.dll [2007.04.25 06:02:17 | 000,000,783 | ---- | C] () -- C:\WINDOWS\NTIWVEDT.INI [2007.03.22 14:17:54 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2007.03.19 17:50:29 | 000,002,951 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Config.nt.bak [2007.03.19 17:50:29 | 000,001,806 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Autoexec.nt.bak [2007.03.19 17:50:28 | 000,000,820 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\hosts.bak [2007.03.18 21:31:47 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007.02.19 10:54:36 | 000,000,176 | ---- | C] () -- C:\WINDOWS\wininit.ini [2007.01.29 17:56:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2007.01.29 16:53:27 | 000,002,775 | ---- | C] () -- C:\WINDOWS\mozver.dat [2007.01.29 16:39:11 | 000,015,360 | ---- | C] () -- C:\Dokumente und Einstellungen\Navigaton\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2007.01.15 12:04:33 | 000,122,880 | ---- | C] () -- C:\WINDOWS\UnGins.exe [2006.12.11 11:48:16 | 000,002,508 | ---- | C] () -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\$_hpcst$.hpc [2006.12.09 11:55:17 | 000,097,312 | ---- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin [2006.12.08 17:35:16 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_Start.INI [2006.12.08 15:12:43 | 000,067,072 | ---- | C] () -- C:\WINDOWS\System32\HTCA_SelfExtract.bin [2006.12.08 15:12:37 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\SC_res.dll [2006.12.08 15:12:37 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\EN_res.dll [2006.12.08 15:12:37 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\TC_res.dll [2006.12.08 15:12:37 | 000,010,752 | ---- | C] () -- C:\WINDOWS\System32\MSNChatHook.dll [2006.12.08 15:12:36 | 000,053,248 | ---- | C] () -- C:\WINDOWS\System32\APISlice.dll [2006.12.08 15:11:28 | 000,000,451 | ---- | C] () -- C:\WINDOWS\System32\eRLog.ini [2006.12.08 15:07:00 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll [2006.12.08 15:02:11 | 000,159,821 | ---- | C] () -- C:\WINDOWS\EMEAPAGE.exe [2006.05.10 23:40:44 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2006.05.10 23:33:08 | 000,450,978 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2006.05.10 23:33:08 | 000,434,454 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2006.05.10 23:33:08 | 000,081,600 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2006.05.10 23:33:08 | 000,068,740 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2006.05.10 23:28:30 | 000,210,488 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2006.04.06 12:23:04 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\unrar_mpfc.dll [2006.03.09 23:18:16 | 000,036,404 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2005.12.06 10:51:34 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIBUN4.dll [2005.12.06 10:50:50 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMPEG2.dll [2005.12.06 10:50:50 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIMP3.dll [2005.12.06 10:50:50 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIFCD3.dll [2005.12.06 10:50:50 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTICDMK7.dll [2005.11.09 02:12:16 | 000,001,048 | ---- | C] () -- C:\WINDOWS\System32\drivers\alcxinit.dat [2005.07.05 08:09:06 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2005.06.02 11:27:08 | 000,000,215 | ---- | C] () -- C:\WINDOWS\FlashSaver.dat [2005.05.02 12:13:42 | 000,009,600 | ---- | C] () -- C:\WINDOWS\System32\drivers\NETMNT.sys [2005.01.21 11:48:06 | 000,225,280 | ---- | C] () -- C:\WINDOWS\Capsule.dll [2004.10.27 15:47:00 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe [2004.09.13 12:33:24 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2004.09.13 12:31:22 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2004.09.07 14:23:16 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2004.08.04 05:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2004.08.04 05:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2004.08.04 05:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2004.08.04 05:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2004.08.04 05:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2004.08.04 05:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2004.08.04 05:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2004.08.04 05:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2004.08.04 05:00:00 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini [2004.08.04 05:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2004.08.04 05:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2004.05.14 13:04:36 | 000,049,152 | ---- | C] () -- C:\WINDOWS\XMLaunch.exe [2003.12.29 20:45:08 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ServiceControl.dll [2003.11.24 15:55:48 | 000,743,424 | ---- | C] () -- C:\WINDOWS\libxml2.dll [2003.11.24 15:55:32 | 000,872,448 | ---- | C] () -- C:\WINDOWS\iconv.dll [2002.09.12 22:41:26 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2002.09.12 22:41:26 | 000,004,524 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2001.12.26 16:12:30 | 000,065,536 | R--- | C] () -- C:\WINDOWS\System32\multiplex_vcd.dll [2001.09.03 23:46:38 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\Hmpg12.dll [2001.07.30 16:33:56 | 000,118,784 | R--- | C] () -- C:\WINDOWS\System32\HMPV2_ENC.dll [2001.07.23 22:04:36 | 000,118,784 | R--- | C] () -- C:\WINDOWS\System32\HMPV2_ENC_MMX.dll [1999.01.22 19:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL ========== LOP Check ========== [2006.12.08 15:11:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acer [2007.03.19 20:30:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems [2007.04.28 09:45:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations [2006.12.08 15:11:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Acer [2006.12.09 18:08:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Navigator [2007.04.01 12:46:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Ulead Systems [2007.04.28 09:46:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\PC Suite [2007.04.28 09:59:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Leadertech [2007.04.28 10:00:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\DataLayer [2007.04.28 10:03:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Nokia Multimedia Player [2007.05.12 21:41:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\FRITZ! [2009.02.28 15:27:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\GlarySoft [2009.04.26 12:06:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\Synchronizer [2009.04.26 12:16:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\aborange [2009.07.30 10:15:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Navigaton\Anwendungsdaten\TeamViewer ========== Purity Check ========== < End of report > |
24.01.2012, 17:02 | #7 |
/// Malware-holic | 50€ virus ok, versuchen wir mal dies: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
24.01.2012, 17:02 | #8 |
| 50€ virus Ich hatte den 2. file vergessenOTL EXTRAS Logfile: Code:
ATTFilter OTL Extras logfile created on: 24.01.2012 16:51:50 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Navigaton\Eigene Dateien\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 502,42 Mb Total Physical Memory | 284,99 Mb Available Physical Memory | 56,72% Memory free 1,20 Gb Paging File | 1,05 Gb Available in Paging File | 87,87% Paging File free Paging file location(s): C:\pagefile.sys 753 1512 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 16,42 Gb Total Space | 1,97 Gb Free Space | 11,99% Space Free | Partition Type: FAT32 Drive D: | 16,91 Gb Total Space | 11,14 Gb Free Space | 65,91% Space Free | Partition Type: FAT32 Computer Name: ACER-A9CE03BBC6 | User Name: Navigaton | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* .html [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found .url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 1 "FirewallDisableNotify" = 1 "UpdatesDisableNotify" = 1 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 "427:TCP" = 427:TCP:LocalSubNet:Enabled:SLP_Port(427)_TCP "427:UDP" = 427:UDP:LocalSubNet:Enabled:SLP_Port(427)_UDP [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 "427:TCP" = 427:TCP:LocalSubNet:Enabled:SLP_Port(427)_TCP "427:UDP" = 427:UDP:LocalSubNet:Enabled:SLP_Port(427)_UDP ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "E:\setup\hpznui01.exe" = E:\setup\hpznui01.exe:*:Enabled:hpznui01.exe "C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe" = C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\Digital Imaging\bin\hposfx08.exe" = C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\Acer\Acer Arcade\PCMService.exe" = C:\Program Files\Acer\Acer Arcade\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program "E:\setup\hpznui01.exe" = E:\setup\hpznui01.exe:*:Enabled:hpznui01.exe "C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe" = C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\Digital Imaging\bin\hposfx08.exe" = C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.) "C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium "{03A7C57A-B2C8-409b-92E5-524A0DFD0DD3}" = Status "{087A66B8-1F0F-4a8d-A649-0CFE276AA7C0}" = WebReg "{102CBC47-7FDE-4E6C-8A3A-67B79833FAC8}" = BPDSoftware_Ini "{11B2F891-91C8-47ce-945A-A91003EA27FB}" = BPDSoftware "{15B70821-7893-4607-805A-BB80F3EA8279}" = Acer Empowering Technology framework "{18AB082B-6584-4F74-8ABC-D5935CF46E4C}" = 8500A909_eDocs "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{216AB108-2AE1-4130-B3D5-20B2C4C80F8F}" = QuickTime "{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20 "{2EEA7AA4-C203-4b90-A34F-19FB7EF1C81C}" = BufferChm "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3700194C-C5DD-439A-BE06-A66960CA4C70}" = MSVCSetup "{432A850B-3558-4BFF-B1F9-30626835B523}" = BPD_DSWizards "{47ECCB1F-2811-49C0-B6A7-26778639ABA0}" = 32 Bit HP CIO Components Installer "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{4A70EF07-7F88-4434-BB61-D1DE8AE93DD4}" = SolutionCenter "{4D304678-738E-42a0-931A-2B022F49DEB8}" = TrayApp "{4DA416AE-6D1C-40D6-BCA3-A65A59DD60FC}" = Acer eDataSecurity Management "{4E7C28C7-D5DA-4E9F-A1CA-60490B54AE35}" = UnloadSupport "{57F60D52-630B-43C5-BD20-176F5CD4EED6}" = bpd_scan "{58E5844B-7CE2-413D-83D1-99294BF6C74F}" = Acer ePower Management "{624E7452-BA43-4f55-B9D5-FC75EEA0808B}" = Officejet Pro 8500 A909 Series "{63FF21C9-A810-464F-B60A-3111747B1A6D}" = GPBaseService2 "{6CA897D0-67F5-4F75-8261-DC8BFCA6DA42}" = Acer eLock Management "{800E784D-53E3-4948-B491-9E7FA5EACBDC}" = SmartWebPrinting "{818ABC3C-635C-4651-8183-D0E9640B7DD1}" = HP Update "{87A9A9A9-FAB7-4224-9328-0FA2058C0FD5}" = Network "{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}" = Bonjour "{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Graphics Media Accelerator Driver for Mobile "{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr "{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML "{9CCCFD9C-248F-47FE-9496-1680E3E5C163}" = Scan "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable "{A68F5365-B758-4FA6-8607-DDBA31AF19C5}" = Application Suite "{AC13BA3A-336B-45a4-B3FE-2D3058A7B533}" = Toolbox "{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.2 - Deutsch "{B495547C-01F8-4836-A2E6-749B5F3EA691}" = 8500A909_Help "{C06554A1-2C1E-4D20-B613-EE62C79927CC}" = Acer eNet Management "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C43326F5-F135-4551-8270-7F7ABA0462E1}" = HPProductAssistant "{CD8C5C7F-7C58-4F85-8977-A6C08C087912}" = MPM "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2 "{D5DEF057-D3BC-499f-99EE-884ED429B6D1}" = 8500A909g "{DA8BF070-1358-4a30-A68F-21E0E9421AEF}" = ProductContext "{DEE08946-40F0-4890-853E-60A6C3306041}" = Acer ePerformance Management "{E38BC648-883B-4EE5-966C-94C4B7AB3E0B}" = Acer eSettings Management "{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe "{E431C518-2EE2-471E-9234-BE995C36D513}" = Acer eDataSecurity Management 1.00.26 "{E81667C6-2856-46D6-ABEA-6A2F42166779}" = mCore "{E89B484C-B913-49A0-959B-89E836001658}" = GEAR 32bit Driver Installer "{ECC3713C-08A4-40E3-95F1-7D0704F1CE5E}" = PL-2303 USB-to-Serial "{EEEB604C-C1A7-4f8c-B03F-56F9C1C9C45F}" = Fax "{EF9E56EE-0243-4BAD-88F4-5E7508AA7D96}" = Destination Component "{F0312AC6-988B-11DA-9C49-000476F770CC}" = CIB pdf brewer 2.3.12 "{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse "{F769B78E-FF0E-4db5-95E2-9F4C8D6352FE}" = DeviceDiscovery "{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio "{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CNXT_MODEM_PCI_VEN_8086&DEV_266D&SUBSYS_006A1025" = SoftV90 Data Fax Modem with SmartCP "CNXT_MODEM_PCI_VEN_8086&DEV_266D_CplEFL5k" = Soft Data Fax Modem with SmartCP "ePresentation" = Acer ePresentation Management "GridVista" = Acer GridVista "HP Imaging Device Functions" = HP Imaging Device Functions 12.0 "HP Smart Web Printing" = HP Smart Web Printing "HP Solution Center & Imaging Support Tools" = HP Solution Center 13.0 "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "InstallShield_{15B70821-7893-4607-805A-BB80F3EA8279}" = Acer Empowering Technology framework "InstallShield_{6CA897D0-67F5-4F75-8261-DC8BFCA6DA42}" = Acer eLock Management "InstallShield_{DEE08946-40F0-4890-853E-60A6C3306041}" = Acer ePerformance Management "InstallShield_{E38BC648-883B-4EE5-966C-94C4B7AB3E0B}" = Acer eSettings Management "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox 9.0.1 (x86 de)" = Mozilla Firefox 9.0.1 (x86 de) "NeroMultiInstaller!UninstallKey" = Nero Suite "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "ProInst" = Intel(R) PROSet/Wireless Software "ShockwaveFlash" = Adobe Flash Player 9 ActiveX "Synchronizer_is1" = Synchronizer "SynTPDeinstKey" = Synaptics Pointing Device Driver "Windows Media Encoder 9" = Windows Media Encoder 9-Reihe "Windows XP Service Pack" = Windows XP Service Pack 3 "Worms for Pocket PC" = Worms for Pocket PC ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 24.01.2012 07:24:53 | Computer Name = ACER-A9CE03BBC6 | Source = VSS | ID = 4001 Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich. Error - 24.01.2012 07:29:11 | Computer Name = ACER-A9CE03BBC6 | Source = VSS | ID = 4001 Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich. Error - 24.01.2012 07:52:42 | Computer Name = ACER-A9CE03BBC6 | Source = VSS | ID = 4001 Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich. Error - 24.01.2012 07:53:55 | Computer Name = ACER-A9CE03BBC6 | Source = VSS | ID = 4001 Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich. Error - 24.01.2012 07:56:12 | Computer Name = ACER-A9CE03BBC6 | Source = VSS | ID = 4001 Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich. Error - 24.01.2012 07:56:42 | Computer Name = ACER-A9CE03BBC6 | Source = VSS | ID = 4001 Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich. Error - 24.01.2012 08:09:00 | Computer Name = ACER-A9CE03BBC6 | Source = VSS | ID = 4001 Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich. Error - 24.01.2012 08:12:21 | Computer Name = ACER-A9CE03BBC6 | Source = VSS | ID = 4001 Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich. Error - 24.01.2012 08:27:04 | Computer Name = ACER-A9CE03BBC6 | Source = PerfNet | ID = 2004 Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen werden nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0. Error - 24.01.2012 09:15:53 | Computer Name = ACER-A9CE03BBC6 | Source = VSS | ID = 4001 Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen von Schattenkopien nicht gefunden werden. Fügen Sie mindestens ein NTFS-Laufwerk mit ausreichend Speicherplatz dem System hinzu. Es sind mindestens 100 MB freier Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich. [ System Events ] Error - 24.01.2012 10:27:35 | Computer Name = ACER-A9CE03BBC6 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Error - 24.01.2012 10:29:14 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Automatisches LiveUpdate - Scheduler" wurde aufgrund folgenden Fehlers nicht gestartet: %%3 Error - 24.01.2012 10:35:06 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Automatisches LiveUpdate - Scheduler" wurde aufgrund folgenden Fehlers nicht gestartet: %%3 Error - 24.01.2012 10:55:22 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Automatisches LiveUpdate - Scheduler" wurde aufgrund folgenden Fehlers nicht gestartet: %%3 Error - 24.01.2012 11:31:40 | Computer Name = ACER-A9CE03BBC6 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Error - 24.01.2012 11:32:59 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7001 Description = Der Dienst "Fax" ist vom Dienst "Druckwarteschlange" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1068 Error - 24.01.2012 11:32:59 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: avgio avipbb Fips intelppm ssmdrv Error - 24.01.2012 11:50:44 | Computer Name = ACER-A9CE03BBC6 | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Error - 24.01.2012 11:51:58 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7001 Description = Der Dienst "Fax" ist vom Dienst "Druckwarteschlange" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1068 Error - 24.01.2012 11:51:58 | Computer Name = ACER-A9CE03BBC6 | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: avgio avipbb Fips intelppm ssmdrv < End of report > |
24.01.2012, 17:05 | #9 |
/// Malware-holic | 50€ virus ok, danke. bitte weiter mit combofix wie in post 6 beschrieben
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
24.01.2012, 17:39 | #10 |
| 50€ virus Hier ist die combofix log datei Combofix Logfile: Code:
ATTFilter ComboFix 12-01-23.02 - Navigaton 24.01.2012 17:24:18.1.1 - FAT32x86 NETWORK Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.502.241 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Navigaton\Eigene Dateien\Downloads\ComboFix.exe AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\dokumente und einstellungen\Navigaton\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe c:\dokumente und einstellungen\Navigaton\WINDOWS c:\programme\WinPCap c:\programme\WinPCap\daemon_mgm.exe c:\programme\WinPCap\npf_mgm.exe c:\programme\WinPCap\rpcapd.exe c:\windows\alcrmv.exe c:\windows\EventSystem.log c:\windows\IsUn0407.exe c:\windows\system32\drivers\etc\hosts.ics c:\windows\system32\drivers\npf.sys c:\windows\system32\Packet.dll c:\windows\system32\pthreadVC.dll c:\windows\system32\spool\prtprocs\w32x86\LXAIPP5C.DLL c:\windows\system32\WanPacket.dll c:\windows\system32\wpcap.dll c:\windows\unin0407.exe c:\windows\WindowsUpdate.log . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . . -------\Legacy_NPF -------\Service_NPF . . ((((((((((((((((((((((( Dateien erstellt von 2011-12-24 bis 2012-01-24 )))))))))))))))))))))))))))))) . . 2012-01-24 14:57 . 2012-01-24 14:57 -------- d-----w- c:\windows\LastGood.Tmp 2012-01-24 13:36 . 2005-06-30 15:58 7296 ----a-w- c:\windows\system32\drivers\osaio.sys 2012-01-24 13:28 . 2012-01-24 13:28 -------- d-----w- C:\FOUND.008 2012-01-09 14:22 . 2012-01-09 14:22 626688 ----a-w- c:\programme\Mozilla Firefox\msvcr80.dll 2012-01-09 14:22 . 2012-01-09 14:22 548864 ----a-w- c:\programme\Mozilla Firefox\msvcp80.dll 2012-01-09 14:22 . 2012-01-09 14:22 479232 ----a-w- c:\programme\Mozilla Firefox\msvcm80.dll 2012-01-09 14:22 . 2012-01-09 14:22 43992 ----a-w- c:\programme\Mozilla Firefox\mozutils.dll . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-11-25 21:57 . 2004-08-04 04:00 293888 ----a-w- c:\windows\system32\winsrv.dll 2011-11-23 14:40 . 2004-08-04 04:00 1859712 ----a-w- c:\windows\system32\win32k.sys 2011-11-20 06:12 . 2004-08-04 04:00 61952 ----a-w- c:\windows\system32\packager.exe 2011-11-03 15:28 . 2004-08-04 04:00 387072 ----a-w- c:\windows\system32\qdvd.dll 2011-11-03 15:28 . 2004-08-04 04:00 1297920 ----a-w- c:\windows\system32\quartz.dll 2011-11-01 16:07 . 2004-08-04 04:00 1288704 ----a-w- c:\windows\system32\ole32.dll 2011-10-31 23:36 . 2006-01-09 19:01 832512 ----a-w- c:\windows\system32\wininet.dll 2011-10-31 23:36 . 2004-08-04 04:00 1830912 ----a-w- c:\windows\system32\inetcpl.cpl 2011-10-31 23:36 . 2009-06-19 14:56 78336 ----a-w- c:\windows\system32\ieencode.dll 2011-10-31 23:36 . 2004-08-04 04:00 17408 ----a-w- c:\windows\system32\corpol.dll 2011-10-28 05:31 . 2004-08-04 04:00 33280 ----a-w- c:\windows\system32\csrsrv.dll 2012-01-09 14:22 . 2011-08-17 17:47 121816 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "preload"="c:\windows\RUNXMLPL.exe" [2005-05-19 32768] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "igfxtray"="c:\windows\system32\igfxtray.exe" [2005-08-24 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-08-24 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2005-08-24 114688] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-04 102490] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-02-04 708698] "SoundMan"="SOUNDMAN.EXE" [2005-04-15 77824] "Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2005-11-09 3084288] "eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312] "ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208] "eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "epm-dm"="c:\acer\Empowering Technology\ePower\epm-dm.exe" [2005-11-10 212992] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696] "HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040] "Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\ Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588] HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360] . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\1] ??:\programme\Messenger\msmsgs.exe [?] . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\2] ??:\programme\Messenger\msmsgs.exe [?] HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"= "c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= . R1 kbfilter;Keyboard Filter Driver;c:\windows\system32\drivers\kbfilter.sys [30.05.2007 22:55 11776] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.02.2011 10:42 136360] R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;c:\windows\system32\drivers\avmbtpar.sys [12.05.2007 21:32 60288] R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;c:\windows\system32\drivers\avmbtser.sys [12.05.2007 21:32 61056] R3 AVMBTSND;AVM Bluetooth Audio Driver;c:\windows\system32\drivers\avmbtsnd.sys [12.05.2007 21:32 51712] R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;c:\windows\system32\drivers\avmcowan.sys [12.05.2007 21:32 53248] R3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;c:\windows\system32\drivers\bfhu_cfg.sys [23.06.2005 02:00 6656] R3 CAPI_CIP;AVM Bluetooth CAPI-Controller;c:\windows\system32\drivers\capi_cip.sys [12.05.2007 21:31 374144] S1 MUsbFltr;WayTechUSBFilterDriver; [x] S1 UsbFltr;WayTechUSBFilterDriver; [x] S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?] S3 bfhubase;BlueFRITZ! USB 2.5(WinXP/2000);c:\windows\system32\drivers\bfhubase.sys [23.06.2005 02:00 847776] S3 bfubase;BlueFRITZ! USB (WinXP/2000);c:\windows\system32\drivers\bfubase.sys [12.05.2007 21:30 741600] S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [09.12.2006 11:55 264704] S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;c:\windows\system32\drivers\netbfpan.sys [12.05.2007 21:32 33354] S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS --> c:\windows\system32\DRIVERS\NETFRITZ.SYS [?] . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - WS2IFSL . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 HPService REG_MULTI_SZ HPSLPSVC hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uDefault_Search_URL = hxxp://www.google.com/ie uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s TCP: DhcpNameServer = 192.168.2.1 FF - ProfilePath - c:\dokumente und einstellungen\Navigaton\Anwendungsdaten\Mozilla\Firefox\Profiles\exfb1ve1.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p= FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://de.yahoo.com/?p=us FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p= FF - user.js: yahoo.homepage.dontask - true . - - - - Entfernte verwaiste Registrierungseinträge - - - - . HKCU-Run-Firefox helper - c:\dokumente und einstellungen\Navigaton\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\firefox.exe MSConfigStartUp-TomTomHOME - (no file) . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2012-01-24 17:32 Windows 5.1.2600 Service Pack 3 FAT NTAPI . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'explorer.exe'(3912) c:\windows\system32\MSNChatHook.dll c:\windows\system32\sysenv.dll c:\windows\system32\MSVCR71.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Intel\Wireless\Bin\EvtEng.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\windows\system32\LEXBCES.EXE c:\windows\system32\LEXPPS.EXE c:\programme\Avira\AntiVir Desktop\avguard.exe c:\acer\Empowering Technology\admServ.exe c:\programme\Avira\AntiVir Desktop\avshadow.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\windows\SOUNDMAN.EXE c:\windows\system32\wbem\wmiapsrv.exe c:\programme\HP\Digital Imaging\bin\hpqSTE08.exe c:\programme\HP\Digital Imaging\bin\hpqbam08.exe c:\programme\HP\Digital Imaging\bin\hpqgpc01.exe . ************************************************************************** . Zeit der Fertigstellung: 2012-01-24 17:36:30 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2012-01-24 16:36 . Vor Suchlauf: 2.038.169.600 Bytes frei Nach Suchlauf: 2.549.202.944 Bytes frei . WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect . - - End Of File - - DD1457C68FEE59AFA191A3DEE685E920 |
24.01.2012, 17:46 | #11 |
/// Malware-holic | 50€ virus jetzt starte noch mal in den normalen modus, das sollte klappen, navigiere auf c: qoobox rechtsklick quarantain, packen und im upload channel hochladen bitte
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
24.01.2012, 17:54 | #12 |
| 50€ virus das mit dem uploadchannelhab ich jetzt nicht ganz verstanden. combofix hat das system ja im normalen modus hochgefahren und bislang ist es stabil. ich starte nochmal neu |
24.01.2012, 17:56 | #13 |
/// Malware-holic | 50€ virus wie du in den upload channel kommst steht in post3 du packst aber den ordner quarantain, den du im ordner qoobox auf c: findest
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
24.01.2012, 18:07 | #14 |
| 50€ virus den ordner c: qoobox finde ich nicht |
24.01.2012, 18:13 | #15 |
/// Malware-holic | 50€ virus dann nutze die windows suche. es muss ihn aber geben, laut log lief combofix von c: aus.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu 50€ virus |
50€ virus, andere, anderen, blockiert, fordert, inter, interne, internet, otl.exe, stick, virus, zahlung |