| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Ihr Windows-System wurde aus Sicherheitsgründen blockiertWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.05.2012, 19:45
| #1 |
| |  Ihr Windows-System wurde aus Sicherheitsgründen blockiert Hallo zusammen, sorry dass ich nerve, habe schon stunden verbracht selbst eine Lösung zu finden, aber diese dämliche Virus scheint ja immer anders zu sein :-( Im abgesicherten Modus mit Netzwerkunterstützung läuft er noch. Hier mal die OTL Files: Otl Code:
ATTFilter OTL logfile created on: 14.05.2012 20:42:25 - Run 1 OTL by OldTimer - Version 3.2.43.0 Folder = C:\Dokumente und Einstellungen\Buero\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,99 Gb Total Physical Memory | 1,59 Gb Available Physical Memory | 79,84% Memory free 3,33 Gb Paging File | 3,08 Gb Available in Paging File | 92,52% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 232,88 Gb Total Space | 3,39 Gb Free Space | 1,46% Space Free | Partition Type: NTFS Computer Name: BUERO | User Name: Buero | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.05.14 14:49:33 | 000,595,456 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Buero\Desktop\OTL.exe PRC - [2011.09.23 13:16:20 | 005,949,952 | ---- | M] (ReformPlus) -- C:\daten\programme\reformplus\Reform.exe PRC - [2010.04.16 09:22:16 | 005,206,824 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version5\TeamViewer.exe PRC - [2010.04.16 09:18:34 | 000,173,352 | ---- | M] (TeamViewer GmbH) -- C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2006.05.12 15:04:08 | 000,439,248 | ---- | M] (RealVNC Ltd.) -- C:\Programme\RealVNC\VNC4\winvnc4.exe ========== Modules (No Company Name) ========== MOD - [2008.04.14 04:22:16 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll MOD - [2004.08.05 01:49:00 | 000,167,936 | ---- | M] () -- C:\WINDOWS\system32\EpsStmEW.DLL MOD - [2004.04.22 02:37:16 | 000,049,152 | ---- | M] () -- C:\WINDOWS\system32\SharpImg.dll ========== Win32 Services (SafeList) ========== SRV - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2010.11.21 11:49:24 | 000,247,608 | ---- | M] () [Auto | Stopped] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service) SRV - [2010.04.16 09:18:34 | 000,173,352 | ---- | M] (TeamViewer GmbH) [Auto | Running] -- C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe -- (TeamViewer5) SRV - [2008.08.21 13:12:00 | 000,860,160 | ---- | M] () [Disabled | Stopped] -- C:\Programme\freeSSHd\FreeSSHDService.exe -- (FreeSSHDService) SRV - [2008.06.23 21:04:22 | 000,065,536 | ---- | M] (Dynamic Network Services, Inc.) [Disabled | Stopped] -- C:\Programme\DynDNS Updater\DynUpSvc.exe -- (DynDNS Updater) SRV - [2008.06.13 14:24:02 | 000,081,920 | ---- | M] (Firebird Project) [Disabled | Stopped] -- C:\Programme\Firebird\Firebird_2_1\bin\fbguard.exe -- (FirebirdGuardianDefaultInstance) SRV - [2008.06.13 14:22:50 | 002,723,840 | ---- | M] (Firebird Project) [Disabled | Stopped] -- C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe -- (FirebirdServerDefaultInstance) SRV - [2008.04.21 23:27:06 | 000,498,952 | ---- | M] () [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe -- (TryAndDecideService) SRV - [2008.04.21 00:07:18 | 000,431,384 | ---- | M] (Acronis) [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc) SRV - [2008.02.05 13:40:06 | 000,049,152 | ---- | M] (Elo Touchsystems) [Disabled | Stopped] -- C:\WINDOWS\system32\EloSrvce.exe -- (EloSystemService) SRV - [2006.02.02 01:51:06 | 000,045,056 | ---- | M] () [On_Demand | Stopped] -- C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe -- (OracleXEClrAgent) SRV - [2006.02.02 01:49:14 | 000,204,800 | ---- | M] () [Auto | Stopped] -- C:\oraclexe\app\oracle\product\10.2.0\server\BIN\TNSLSNR.EXE -- (OracleXETNSListener) SRV - [2006.02.02 01:47:28 | 000,057,616 | ---- | M] (Oracle Corporation) [On_Demand | Stopped] -- C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe -- (OracleMTSRecoveryService) SRV - [2006.02.02 01:44:06 | 000,102,400 | ---- | M] () [Disabled | Stopped] -- c:\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe -- (OracleJobSchedulerXE) SRV - [2006.02.02 01:43:44 | 059,064,320 | ---- | M] (Oracle Corporation) [Auto | Stopped] -- c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE -- (OracleServiceXE) SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2004.06.23 14:04:38 | 000,077,824 | ---- | M] (SEIKO EPSON Corp.) [Disabled | Stopped] -- C:\WINDOWS\System32\EpStsSrv.exe -- (EPSON ESCPOS Status Service) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2012.04.27 10:20:04 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.04.25 00:32:27 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.04.16 21:17:40 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2012.04.04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2008.12.09 11:06:00 | 000,296,448 | ---- | M] (Marvell) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\yk51x86.sys -- (yukonwxp) DRV - [2008.08.13 03:44:08 | 000,441,760 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\timntr.sys -- (timounter) DRV - [2008.08.13 03:44:08 | 000,044,384 | ---- | M] (Acronis) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter) DRV - [2008.08.13 03:44:04 | 000,132,224 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\snapman.sys -- (snapman) DRV - [2008.08.13 03:44:02 | 000,368,480 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\tdrpman.sys -- (tdrpman) DRV - [2008.01.14 11:26:34 | 000,051,712 | ---- | M] (Elo Touchsystems ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\elofiltr.sys -- (elomoufiltr) DRV - [2008.01.14 11:25:14 | 000,082,304 | ---- | M] (Elo Touchsystems ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EloUsb.Sys -- (EloUsb) DRV - [2006.11.03 09:32:30 | 004,394,496 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2006.09.24 15:28:46 | 000,005,248 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Boot | Running] -- C:\WINDOWS\system32\speedfan.sys -- (speedfan) DRV - [2006.05.18 03:49:02 | 000,061,067 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ftser2k.sys -- (FTSER2K) DRV - [2006.05.18 03:48:50 | 000,047,249 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ftdibus.sys -- (FTDIBUS) DRV - [2003.12.25 13:00:54 | 000,095,485 | ---- | M] (MK Systems CO., LTD.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ESDPDX01.SYS -- (Esdpdx01) DRV - [1996.04.03 21:33:26 | 000,005,248 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\giveio.sys -- (giveio) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 O1 HOSTS File: ([2012.05.14 15:46:13 | 000,000,789 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (Sun Microsystems, Inc.) O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis) O4 - HKLM..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis) O4 - HKCU..\Run: [go1984] C:\Programme\go1984\go1984.exe (logiware gmbh) O4 - HKCU..\Run: [ICQ] C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.) O4 - HKCU..\Run: [SkypePM] C:\Dokumente und Einstellungen\Buero\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe (ESET) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\DynDNS Updater Tray Icon.lnk = C:\Programme\DynDNS Updater\DynTray.exe (Dynamic Network Services, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\Run VNC Server.lnk = C:\Programme\RealVNC\VNC4\winvnc4.exe (RealVNC Ltd.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\VR-NetWorld Auftragsprfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe (VR-NetWorld Software) O4 - Startup: C:\Dokumente und Einstellungen\Buero\Startmen\Programme\Autostart\SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe (Almico Software (www.almico.com)) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll (Sun Microsystems, Inc.) O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.) O16 - DPF: {0C71BDAA-5B30-4E12-A317-D225FEB9A068} hxxp://192.168.178.152/AxViewer/AxVideoView.cab (AxVideoView Control) O16 - DPF: {33704B0F-9EB7-434B-B752-EA6CFFB87423} hxxp://ferrets4you.viewnetcam.com/JpegInst.cab (pmjpegaudio Class) O16 - DPF: {361E6B79-4A69-4376-B0F2-3D1EBEE9D7E2} hxxp://192.168.178.154/RtspVaPgDec.cab (RtspVaPgCtrl Class) O16 - DPF: {45830FF9-D9E6-4F41-86ED-B266933D8E90} hxxp://192.168.178.153/RtspVaPgDec.cab (RtspVaPgCtrlNew Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03) O16 - DPF: {B4CB8358-ABDB-47EE-BC2D-437B5DEBABCB} hxxp://192.168.178.155/AxViewer/AxMediaControl.cab (AxMediaControl Control) O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_05) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03) O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} hxxp://www.adobe.com/products/acrobat/nos/gp.cab (get_atlcom Class) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0428AF1F-407F-4A7D-BF90-9DE69C7E57ED}: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9585FEDE-129F-4F42-9467-086AF81856CE}: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B7DB3D0C-76FA-4447-AD00-8376EB575305}: NameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{DF23B838-C0E8-4B27-891C-B71C577CFA33}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Buero\Eigene Dateien\Eigene Bilder\Hintergrund Bro.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Buero\Eigene Dateien\Eigene Bilder\Hintergrund Bro.bmp O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.05.18 13:00:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{12b0217a-168a-11e1-ae9e-00301b48e471}\Shell - "" = AutoRun O33 - MountPoints2\{12b0217a-168a-11e1-ae9e-00301b48e471}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{12b0217a-168a-11e1-ae9e-00301b48e471}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.05.14 15:32:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Buero\DoctorWeb [2012.05.14 14:49:30 | 000,595,456 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Buero\Desktop\OTL.exe [2012.05.14 11:23:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Buero\Anwendungsdaten\Malwarebytes [2012.05.14 11:23:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Malwarebytes' Anti-Malware [2012.05.14 11:23:07 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.05.14 11:23:07 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.05.14 11:23:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.05.14 11:12:50 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC [2012.05.10 09:34:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Buero\Anwendungsdaten\Avira [2012.05.10 09:28:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Avira [2012.05.10 09:28:29 | 000,137,928 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2012.05.10 09:28:29 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.05.14 15:46:13 | 000,000,789 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2012.05.14 15:30:49 | 085,136,720 | ---- | M] () -- C:\Dokumente und Einstellungen\Buero\Desktop\qkpuv3tx.exe [2012.05.14 14:49:33 | 000,595,456 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Buero\Desktop\OTL.exe [2012.05.14 12:31:29 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.05.14 12:09:34 | 000,000,194 | RHS- | M] () -- C:\boot.ini [2012.05.14 12:09:25 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.05.10 09:28:56 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk [2012.05.10 09:20:32 | 099,308,192 | ---- | M] () -- C:\Dokumente und Einstellungen\Buero\Desktop\avira_free_antivirus_de.exe [2012.05.09 09:54:09 | 000,000,000 | ---- | M] () -- C:\ArtImportValue.csv [2012.04.27 10:20:04 | 000,137,928 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2012.04.25 00:32:27 | 000,083,392 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2012.04.23 12:14:04 | 000,011,059 | ---- | M] () -- C:\Dokumente und Einstellungen\Buero\Eigene Dateien\Badreinigung.ods [2012.04.16 21:17:40 | 000,036,000 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.05.14 15:30:35 | 085,136,720 | ---- | C] () -- C:\Dokumente und Einstellungen\Buero\Desktop\qkpuv3tx.exe [2012.05.10 09:28:56 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk [2012.05.10 09:20:08 | 099,308,192 | ---- | C] () -- C:\Dokumente und Einstellungen\Buero\Desktop\avira_free_antivirus_de.exe [2012.04.23 12:14:03 | 000,011,059 | ---- | C] () -- C:\Dokumente und Einstellungen\Buero\Eigene Dateien\Badreinigung.ods [2010.09.22 16:26:28 | 000,005,632 | ---- | C] () -- C:\Dokumente und Einstellungen\Buero\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.08.11 10:24:15 | 000,000,364 | ---- | C] () -- C:\WINDOWS\ODBC.INI ========== LOP Check ========== [2008.08.13 03:44:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis [2010.05.10 12:20:52 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2009.04.09 00:02:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DynDNS [2011.02.10 15:01:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2011.05.09 07:36:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2010.06.23 15:28:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\logiware gmbh [2008.06.20 01:27:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Retrospect [2008.05.22 19:05:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Retrospect Client [2012.05.14 12:07:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2010.05.12 09:38:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Buero\Anwendungsdaten\DeepBurner [2011.08.03 09:52:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Buero\Anwendungsdaten\elsterformular [2012.05.14 12:08:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Buero\Anwendungsdaten\ICQ [2009.11.13 01:20:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Buero\Anwendungsdaten\OpenOffice.org [2008.11.30 16:25:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Buero\Anwendungsdaten\TeamViewer ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 172 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:0507A16B < End of report > Code:
ATTFilter OTL Extras logfile created on: 14.05.2012 20:42:25 - Run 1
OTL by OldTimer - Version 3.2.43.0 Folder = C:\Dokumente und Einstellungen\Buero\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,99 Gb Total Physical Memory | 1,59 Gb Available Physical Memory | 79,84% Memory free
3,33 Gb Paging File | 3,08 Gb Available in Paging File | 92,52% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 232,88 Gb Total Space | 3,39 Gb Free Space | 1,46% Space Free | Partition Type: NTFS
Computer Name: BUERO | User Name: Buero | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5900:TCP" = 5900:TCP:*:Enabled:vnc
"1521:TCP" = 1521:TCP:*:Enabled:orale
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"9001:TCP" = 9001:TCP:*:Enabled:9001
"22:TCP" = 22:TCP:*:Enabled:ssh
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQ7.1\ICQ.exe" = C:\Programme\ICQ7.1\ICQ.exe:*:Enabled:ICQ7.1
"C:\Programme\ICQ7.1\aolload.exe" = C:\Programme\ICQ7.1\aolload.exe:*:Enabled:aolload.exe
"C:\Programme\ICQ7.5\ICQ.exe" = C:\Programme\ICQ7.5\ICQ.exe:*:Enabled:ICQ7.5 -- (ICQ, LLC.)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\RealVNC\VNC4\winvnc4.exe" = C:\Programme\RealVNC\VNC4\winvnc4.exe:*:Disabled:VNC Server Free Edition for Win32 -- (RealVNC Ltd.)
"C:\Programme\wLite\wLite.exe" = C:\Programme\wLite\wLite.exe:*:Enabled:webcamXP 5
"C:\Programme\SHOUTcast\sc_serv.exe" = C:\Programme\SHOUTcast\sc_serv.exe:*:Enabled:sc_serv
"C:\Dokumente und Einstellungen\Buero\temp\TeamViewer3\TeamViewer.exe" = C:\Dokumente und Einstellungen\Buero\temp\TeamViewer3\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application -- (TeamViewer GmbH)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6
"C:\Programme\TeamViewer\Version5\TeamViewer.exe" = C:\Programme\TeamViewer\Version5\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"C:\Programme\ICQ7.1\ICQ.exe" = C:\Programme\ICQ7.1\ICQ.exe:*:Enabled:ICQ7.1
"C:\Programme\ICQ7.1\aolload.exe" = C:\Programme\ICQ7.1\aolload.exe:*:Enabled:aolload.exe
"C:\daten\programme\reformplus\Reform.exe" = C:\daten\programme\reformplus\Reform.exe:*:Enabled:Reform -- (ReformPlus)
"C:\Programme\go1984\go1984.exe" = C:\Programme\go1984\go1984.exe:*:Enabled:go1984 -- (logiware gmbh)
"C:\Programme\ICQ7.5\ICQ.exe" = C:\Programme\ICQ7.5\ICQ.exe:*:Enabled:ICQ7.5 -- (ICQ, LLC.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{2ADE2157-7A5E-122C-B51D-EB8A01B15943}" = DeepBurner v1.9.0.228
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4B603901-9548-419D-8ABE-E7FF36340F05}" = EMS SQL Manager 2008 for InterBase/Firebird
"{633A06C3-B709-479A-AAB3-5EE94AD9EE4B}" = AcronisTrueImageHome
"{6AA003BF-73E5-4911-ADB7-71DD5674DDD4}" = Oracle Data Provider for .NET Help
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7148F0A8-6813-11D6-A77B-00B0D0142050}" = Java 2 Runtime Environment, SE v1.4.2_05
"{7578ADEA-D65F-4C89-A249-B1C88B6FFC20}" = ICQ7.5
"{8815F011-43AF-4F50-BBD8-D78ED3D6F5B9}" = VR-NetWorld
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{92315A2A-674A-475F-8CEA-CD0D13612DA2}" = bvClient
"{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A8D93648-9F7F-407D-915C-62044644C3DA}" = MSI to redistribute MS VS2005 CRT libraries
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{D765F1CE-5AE5-4C47-B134-AE58AC474740}" = OpenOffice.org 3.1
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F0BC0F9E-C4A8-485C-93ED-424DB9EA3F75}" = Oracle Database 10g Express Edition
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"70DBC326-7505-4913-A0C1-C6BD87C1859D_is1" = freeSSHd 1.2.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"AFPL Ghostscript 8.54" = AFPL Ghostscript 8.54
"AFPL Ghostscript Fonts" = AFPL Ghostscript Fonts
"Avira AntiVir Desktop" = Avira Free Antivirus
"DynDNSUpdater" = DynDNS Updater
"EloTouchscreen" = Elo Universaltreiber
"ElsterFormular fr Unternehmer 12.0.0.5880u" = ElsterFormular fr Unternehmer
"EPSON Advanced Printer Driver 3" = EPSON Advanced Printer Driver 3
"FBDBServer_2_1_is1" = Firebird 2.1.1.17910 (Win32)
"FreePDF_XP" = FreePDF XP (Remove only)
"FTDICOMM" = FTDI USB Serial Converter Drivers
"getPlus(R)_ocx" = getPlus(R)_ocx
"go1984_is1" = go1984 3.8
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ICQToolbar" = ICQ Toolbar
"ie8" = Windows Internet Explorer 8
"InstallShield_{F0BC0F9E-C4A8-485C-93ED-424DB9EA3F75}" = Oracle Database 10g Express Edition
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Marvell Miniport Driver" = Marvell Miniport Driver
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"RealVNC_is1" = VNC Free Edition 4.1.2
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"ReformPlus Warenwirtschaft_is1" = Standardversion
"SpeedFan" = SpeedFan (remove only)
"sv.net" = sv.net
"TeamViewer 5" = TeamViewer 5
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 11.04.2012 10:49:01 | Computer Name = BUERO | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
Modul mshtml.dll, Version 8.0.6001.18852, Fehleradresse 0x000b9f38.
Error - 11.04.2012 10:49:23 | Computer Name = BUERO | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
Modul mshtml.dll, Version 8.0.6001.18852, Fehleradresse 0x000b9f38.
Error - 18.04.2012 07:11:45 | Computer Name = BUERO | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung reform.exe, Version 1.1.0.0, fehlgeschlagenes
Modul reform.exe, Version 1.1.0.0, Fehleradresse 0x000075f4.
Error - 28.04.2012 01:08:14 | Computer Name = BUERO | Source = FirebirdGuardianDefaultInstance | ID = 212
Description =
Error - 04.05.2012 05:50:14 | Computer Name = BUERO | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung reform.exe, Version 1.1.0.0, fehlgeschlagenes
Modul reform.exe, Version 1.1.0.0, Fehleradresse 0x000075f4.
Error - 04.05.2012 05:52:00 | Computer Name = BUERO | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung reform.exe, Version 1.1.0.0, fehlgeschlagenes
Modul reform.exe, Version 1.1.0.0, Fehleradresse 0x000075f4.
Error - 14.05.2012 06:07:00 | Computer Name = BUERO | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungltigen Rckgabecode whrend
der internen Verarbeitung erkannt. HRESULT war 80070422 von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 14.05.2012 06:07:00 | Computer Name = BUERO | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
ist ein unerwarteter Fehler aufgetreten. hr = 0x80040206.
Error - 14.05.2012 06:07:33 | Computer Name = BUERO | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungltigen Rckgabecode whrend
der internen Verarbeitung erkannt. HRESULT war 80070422 von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 14.05.2012 09:15:50 | Computer Name = BUERO | Source = MsiInstaller | ID = 1008
Description = Die Installation von C:\Dokumente und Einstellungen\Buero\Anwendungsdaten\Sun\Java\jre1.6.0_32\jre1.6.0_32-c.msi
ist aufgrund eines Fehlers in der Verarbeitung der Richtlinie fr Softwareeinschrnkungen
nicht zugelassen. Das Objekt ist nicht vertrauenswrdig.
[ System Events ]
Error - 14.05.2012 06:06:02 | Computer Name = BUERO | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 14.05.2012 06:06:58 | Computer Name = BUERO | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeberwachung
wurde angehalten.
Error - 14.05.2012 06:07:00 | Computer Name = BUERO | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 14.05.2012 06:07:11 | Computer Name = BUERO | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 14.05.2012 06:07:33 | Computer Name = BUERO | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 14.05.2012 06:08:57 | Computer Name = BUERO | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 14.05.2012 06:11:18 | Computer Name = BUERO | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
avipbb avkmgr Fips intelppm ssmdrv
Error - 14.05.2012 06:31:47 | Computer Name = BUERO | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}
Error - 14.05.2012 09:15:21 | Computer Name = BUERO | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "BITS"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {4991D34B-80A1-4291-83B6-3328366B9097}
Error - 14.05.2012 09:15:25 | Computer Name = BUERO | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "BITS"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {4991D34B-80A1-4291-83B6-3328366B9097}
< End of report >
Gruß Tim |
|
15.05.2012, 06:36
| #2 |
  | Ihr Windows-System wurde aus Sicherheitsgründen blockiert Hi,
__________________Fix für OTL:
 Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [SkypePM] C:\Dokumente und Einstellungen\Buero\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe (ESET)
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00
:Commands
[emptytemp]
[Reboot]
Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. chris
__________________ |
|
15.05.2012, 07:37
| #3 |
| | Ihr Windows-System wurde aus Sicherheitsgründen blockiert Moin, vielen vielen Dank, dass sieht schon mal gut aus :-) kann wieder starten... Kann es sein, dass dieser Fiesling sich in einem Banner versteckt hat? Als das passiert ist war ich auf Google Wetter, also keine Pornoseite oder ähnliches. Gibt es ein Schutzprogramm, das das bemerkt hätte?
__________________Malware scannt gerade noch... Hier schon mal OTL Code:
ATTFilter All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SkypePM deleted successfully.
C:\Dokumente und Einstellungen\Buero\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirstRunDisabled" | dword:0x00 /E : value set successfully!
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Buero
->Temp folder emptied: 85635203 bytes
->Temporary Internet Files folder emptied: 97068406 bytes
->Java cache emptied: 337223 bytes
->Flash cache emptied: 20214 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32969 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 587175 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 177,00 mb
OTL by OldTimer - Version 3.2.43.0 log created on 05152012_081734
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
|
|
15.05.2012, 07:51
| #4 |
| | Ihr Windows-System wurde aus Sicherheitsgründen blockiert Hi, sowas wird max. von einem HIPS (verhaltensbasierten Scanner), z. B. Threadfire (Herunterladen Kostenlos) erkannt. Threatfire hat früher ganz gut mit Avira funktioniert... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
15.05.2012, 09:27
| #5 |
| | Ihr Windows-System wurde aus Sicherheitsgründen blockiert Threadfire werde ich mir mal anschauen, Malware hat nix gefunden: Vielen Dank für Hilfe!! Ihr seit Klasse... Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.05.14.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Buero :: BUERO [Administrator] Schutz: Aktiviert 15.05.2012 08:29:36 mbam-log-2012-05-15 (08-29-36).txt Art des Suchlaufs: Vollstndiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 266007 Laufzeit: 1 Stunde(n), 9 Minute(n), 14 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bsartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bsartigen Objekte gefunden) Infizierte Registrierungsschlssel: 0 (Keine bsartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bsartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bsartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bsartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bsartigen Objekte gefunden) (Ende) |
|
15.05.2012, 10:31
| #6 |
| | Ihr Windows-System wurde aus Sicherheitsgründen blockiert Hi, Mist, dann ist es was neues... OTL verschiebt die Datei in das Verzeichnis C:\_OTL\MovedFiles Daher bitte das File in dem Ordner suchen und bei Virustotal prüfen lasse: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter SkypePM.exe
Eventuell müssen wir die Datei dann noch bei uns hochladen... TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Stelle den Killer wir folgt ein:  Dann den Scan starten durch (Start Scan). Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster, den Text abkopieren und hier posten... chris
__________________ --> Ihr Windows-System wurde aus Sicherheitsgründen blockiert |
|
| Themen zu Ihr Windows-System wurde aus Sicherheitsgründen blockiert |
| 0x00000001, 0xc0000001, adobe, alternate, antivir, antivirus, aufrufe, avira, bho, blockiert, converter, einstellungen, error, explorer, flash player, format, homepage, iexplore.exe, installation, logfile, msiinstaller, object, plug-in, realtek, registry, remote control, richtlinie, rundll, scan, searchscopes, security, software, udp, unerwarteter fehler, virus, windows internet |
Linear-Darstellung
