| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: boo/whistler.db im Masterbootsektor gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.08.2012, 19:47
| #31 |
 |  boo/whistler.db im Masterbootsektor gefunden Hallo Marius, schön, wieder von Dir zu hören - ich dachte doch, dass wir noch nicht ganz fertig sind  Ich habe die Backup-Dateien aus dem ersten Block gelöscht, dann OTL und GMER runtergeladen und OTL laufen lassen. Danach den Netzwerkstecker gezogen, den Rechner neu gestartet und Avira deaktiviert. Ich hoffe, GMER war fertig, ich habe keine "bin fertig" Meldung gesehen, aber die Festplatte war ruhig und ich habe auch sonst nichts mehr gehört oder gesehen. Falls nicht, kann ich den morgen Abend noch mal starten. Ach ja, claro que si, danach Avira wieder aktiviert und dann erst ins Netz ... Logfiles: OTL.txt Code:
ATTFilter OTL logfile created on: 06.08.2012 19:31:13 - Run 3 OTL by OldTimer - Version 3.2.56.0 Folder = C:\Dokumente und Einstellungen\Andrea\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,75 Gb Total Physical Memory | 2,27 Gb Available Physical Memory | 82,60% Memory free 4,59 Gb Paging File | 4,18 Gb Available in Paging File | 90,98% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 39,06 Gb Total Space | 18,87 Gb Free Space | 48,31% Space Free | Partition Type: NTFS Drive D: | 892,44 Gb Total Space | 571,68 Gb Free Space | 64,06% Space Free | Partition Type: NTFS Drive J: | 465,76 Gb Total Space | 286,05 Gb Free Space | 61,42% Space Free | Partition Type: NTFS Drive K: | 152,62 Gb Total Space | 57,61 Gb Free Space | 37,75% Space Free | Partition Type: FAT32 Computer Name: ANDREA-7BACC46B | User Name: Andrea | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Andrea\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Sandboxie\SbieCtrl.exe (SANDBOXIE L.T.D) PRC - C:\Programme\Sandboxie\SbieSvc.exe (SANDBOXIE L.T.D) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) PRC - C:\Programme\DeviceVM\Browser Configuration Utility\BCUService.exe (DeviceVM, Inc.) PRC - C:\Programme\DeviceVM\Browser Configuration Utility\BCU.exe (DeviceVM, Inc.) PRC - C:\Programme\ASUS\EPU-4 Engine\FourEngine.exe (ASUSTeK Computer Inc.) PRC - C:\Programme\CyberLink\Power2Go\CLMLSvc.exe (CyberLink) PRC - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database_d3691\bin\FABS.exe (MAGIX AG) PRC - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe () PRC - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe () PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Brownie\BRSTSWND.EXE (brother) PRC - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.) ========== Modules (No Company Name) ========== MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll () MOD - C:\Programme\WinRAR\RarExt.dll () MOD - C:\Programme\CyberLink\Power2Go\CLMLSvcPS.dll () MOD - C:\Programme\CyberLink\Power2Go\CLMediaLibrary.dll () MOD - C:\WINDOWS\system32\AsIO.dll () MOD - C:\Programme\DeviceVM\Browser Configuration Utility\sqlite3.dll () MOD - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe () MOD - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe () MOD - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\SpecialCase.dll () MOD - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nv_common.dll () MOD - C:\Programme\ASUS\EPU-4 Engine\AsSpindownTimeout.dll () MOD - C:\Programme\ASUS\EPU-4 Engine\AiNap.dll () MOD - C:\Programme\ASUS\EPU-4 Engine\pngio.dll () ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirMailService) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation) SRV - (SbieSvc) -- C:\Programme\Sandboxie\SbieSvc.exe (SANDBOXIE L.T.D) SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) SRV - (BCUService) -- C:\Programme\DeviceVM\Browser Configuration Utility\BCUService.exe (DeviceVM, Inc.) SRV - (Fabs) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database_d3691\bin\FABS.exe (MAGIX AG) SRV - (nSvcIp) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe () SRV - (ForceWare Intelligent Application Manager (IAM) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe () SRV - (UPnPService) -- C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe (Magix AG) SRV - (FirebirdServerMAGIXInstance) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database_d3691\bin\fbserver.exe (MAGIX®) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (UleadBurningHelper) -- C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe (Ulead Systems, Inc.) ========== Driver Services (SafeList) ========== DRV - (WDICA) -- File not found DRV - (PDRFRAME) -- File not found DRV - (PDRELI) -- File not found DRV - (PDFRAME) -- File not found DRV - (PDCOMP) -- File not found DRV - (PCIDump) -- File not found DRV - (lbrtfdc) -- File not found DRV - (i2omgmt) -- File not found DRV - (Changer) -- File not found DRV - (catchme) -- C:\ComboFix\catchme.sys File not found DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (SbieDrv) -- C:\Programme\Sandboxie\SbieDrv.sys (SANDBOXIE L.T.D) DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation) DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (VIAHdAudAddService) -- C:\WINDOWS\system32\drivers\viahduaa.sys (VIA Technologies, Inc.) DRV - (AsIO) -- C:\WINDOWS\system32\drivers\AsIO.sys () DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation) DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation) DRV - (nvgts) -- C:\WINDOWS\system32\drivers\nvgts.sys (NVIDIA Corporation) DRV - (AmdPPM) -- C:\WINDOWS\system32\drivers\AmdPPM.sys (Advanced Micro Devices) DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys () DRV - (BrPar) -- C:\WINDOWS\system32\drivers\BRPAR.SYS (Brother Industries Ltd.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.splashtop.com/asusexpressgate/mb/searchAPI.php?SE=yahoo&QS=http%3A%2F%2Fde.search.yahoo.com%2Fsearch%3Ffr%3Dfp-devicevm%26type%3DWEB01 IE - HKCU\..\URLSearchHook: {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Programme\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll (DeviceVM, Inc.) IE - HKCU\..\SearchScopes,DefaultScope = {0FE161E6-6783-4b11-9A86-FAFCC38CD797} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU\..\SearchScopes\{0FE161E6-6783-4b11-9A86-FAFCC38CD797}: "URL" = hxxp://de.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=EGMB IE - HKCU\..\SearchScopes\{AEA46425-87B6-48c7-ACBC-F51AD6711BB4}: "URL" = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5369970905&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=de&q={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Amazon.de" FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/ig?hl=de&source=iglk" FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..extensions.enabledItems: artur.dubovoy@gmail.com:3.5.3 FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.9.8 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.1.100010 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_262.dll () FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.11: C:\Programme\VideoLAN\VLC\npvlc.dll (the VideoLAN Team) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: D:\Programme\Mozilla Firefox\components [2012.06.23 19:55:01 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2012.03.12 19:27:59 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 12.0.1\extensions\\Components: D:\Programme\MozillaThunderbird\components [2012.04.18 22:00:39 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 12.0.1\extensions\\Plugins: D:\Programme\MozillaThunderbird\plugins [2012.03.09 22:59:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Mozilla\Extensions [2012.07.24 19:37:37 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Mozilla\Firefox\Profiles\xj9zk0se.default\extensions [2012.06.20 12:33:05 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Mozilla\Firefox\Profiles\xj9zk0se.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2012.04.01 18:27:00 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Mozilla\Firefox\Profiles\xj9zk0se.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2012.06.27 18:05:08 | 000,000,000 | ---D | M] (Bitdefender QuickScan) -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Mozilla\Firefox\Profiles\xj9zk0se.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360} O1 HOSTS File: ([2012.07.10 21:03:19 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [BCU] C:\Programme\DeviceVM\Browser Configuration Utility\BCU.exe (DeviceVM, Inc.) O4 - HKLM..\Run: [CLMLServer] C:\Programme\CyberLink\Power2Go\CLMLSvc.exe (CyberLink) O4 - HKLM..\Run: [LGODDFU] C:\Programme\lg_fwupdate\lgfw.exe (Bitleader) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [MDS_Menu] C:\Programme\CyberLink\MediaEspresso\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [Nikon Message Center 2] C:\Programme\Nikon\Nikon Message Center 2\NkMC2.exe (Nikon Corporation) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [Six Engine] C:\Programme\ASUS\EPU-4 Engine\FourEngine.exe (ASUSTeK Computer Inc.) O4 - HKLM..\Run: [UpdateP2GoShortCut] C:\Programme\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKLM..\Run: [UpdatePSTShortCut] C:\Programme\CyberLink\Blu-ray Disc Suite\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKCU..\Run: [SandboxieControl] C:\Programme\Sandboxie\SbieCtrl.exe (SANDBOXIE L.T.D) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutorun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8 - Extra context menu item: &Save the YouTube video as MP3 - C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Free YouTube to MP3 Converter Studio\Free YouTube to MP3 Converter Studio.htm () O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm () O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4573E6FF-E84A-45C7-BE33-12A726D47F3C}: DhcpNameServer = 192.168.2.1 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2012.03.09 22:52:53 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.08.06 19:26:13 | 000,596,480 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andrea\Desktop\OTL.exe [2012.08.03 17:54:25 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Andrea\Recent [2012.07.11 21:23:05 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2012.07.11 19:52:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.07.11 19:52:55 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.07.11 19:52:55 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.07.11 19:51:49 | 002,322,184 | ---- | C] (ESET) -- C:\Dokumente und Einstellungen\Andrea\Desktop\esetsmartinstaller_enu.exe [2012.07.10 21:19:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Avira [2012.07.10 21:14:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Avira [2012.07.10 21:14:22 | 000,137,928 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2012.07.10 21:14:22 | 000,083,392 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2012.07.10 21:14:22 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys [2012.07.10 21:14:22 | 000,000,000 | ---D | C] -- C:\Programme\Avira [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.08.06 19:28:39 | 000,000,374 | ---- | M] () -- C:\WINDOWS\Brownie.ini [2012.08.06 19:27:03 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Andrea\Desktop\dd13om04.exe [2012.08.06 19:26:13 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andrea\Desktop\OTL.exe [2012.08.06 19:13:17 | 000,236,466 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml [2012.08.06 19:12:34 | 000,012,598 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.08.06 19:12:21 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.07.28 14:36:52 | 000,000,020 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\PKP_DLet.DAT [2012.07.27 18:32:55 | 000,000,362 | ---- | M] () -- C:\WINDOWS\lgfwup.ini [2012.07.12 17:58:05 | 000,000,372 | ---- | M] () -- D:\Eigene Dateien\spider.sav [2012.07.12 06:47:21 | 000,137,928 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2012.07.12 06:47:21 | 000,083,392 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2012.07.11 19:52:57 | 000,000,767 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\ Malwarebytes Anti-Malware .lnk [2012.07.11 19:51:49 | 002,322,184 | ---- | M] (ESET) -- C:\Dokumente und Einstellungen\Andrea\Desktop\esetsmartinstaller_enu.exe [2012.07.11 19:44:30 | 000,321,136 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.07.10 21:27:27 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.07.10 21:03:19 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.08.06 19:27:03 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Desktop\dd13om04.exe [2012.07.12 17:58:05 | 000,000,372 | ---- | C] () -- D:\Eigene Dateien\spider.sav [2012.07.11 19:52:57 | 000,000,767 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\ Malwarebytes Anti-Malware .lnk [2012.06.28 21:31:15 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe [2012.06.28 21:31:15 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe [2012.06.28 21:31:15 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2012.06.28 21:31:15 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2012.06.28 21:31:15 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2012.06.27 17:50:43 | 000,000,362 | ---- | C] () -- C:\WINDOWS\lgfwup.ini [2012.06.21 18:25:56 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\defogger_reenable [2012.06.16 13:47:02 | 000,004,096 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\user.rdb [2012.06.16 13:46:04 | 000,000,000 | ---- | C] () -- C:\WINDOWS\musicmaker.INI [2012.06.16 13:08:56 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini [2012.06.16 12:50:17 | 000,001,298 | ---- | C] () -- C:\WINDOWS\Sandboxie.ini [2012.06.13 22:31:39 | 000,000,145 | ---- | C] () -- C:\WINDOWS\Eudcedit.ini [2012.06.12 10:43:05 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ViewNX2.INI [2012.06.12 10:31:24 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Metadata Importer [2012.06.12 10:31:24 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Mail [2012.06.12 10:31:24 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\PKP_DLes.DAT [2012.06.12 10:31:24 | 000,000,012 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Percussion Kit [2012.06.12 10:30:51 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Mallets [2012.06.12 10:30:51 | 000,000,268 | RH-- | C] () -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Machines [2012.06.12 10:30:51 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\PKP_DLev.DAT [2012.06.12 10:30:51 | 000,000,020 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\PKP_DLet.DAT [2012.06.12 10:30:51 | 000,000,012 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Phaser [2012.06.12 10:30:51 | 000,000,012 | RH-- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Pedal Hard [2012.06.04 15:15:03 | 000,039,095 | ---- | C] () -- C:\WINDOWS\iccsigs.dat [2012.06.04 15:15:01 | 000,112,688 | ---- | C] () -- C:\WINDOWS\System32\shw32.dll [2012.05.22 18:15:57 | 000,000,085 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\.zreglib [2012.03.17 22:17:05 | 000,178,176 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll [2012.03.17 22:17:04 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini [2012.03.17 22:17:02 | 000,881,664 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2012.03.17 22:17:02 | 000,205,824 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2012.03.17 22:17:01 | 000,085,504 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2012.03.17 20:18:03 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2012.03.17 15:47:02 | 000,048,640 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.03.14 19:23:42 | 000,000,046 | ---- | C] () -- C:\WINDOWS\Speed.INI [2012.03.14 18:00:19 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll [2012.03.11 11:07:22 | 000,000,142 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI [2012.03.11 11:07:22 | 000,000,040 | ---- | C] () -- C:\WINDOWS\BRDIAG.INI [2012.03.11 11:07:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini [2012.03.11 11:07:21 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC32.DLL [2012.03.11 11:07:21 | 000,004,608 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC16.DLL [2012.03.11 11:07:21 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\brlmw03a.ini [2012.03.11 11:07:20 | 000,009,030 | ---- | C] () -- C:\WINDOWS\HL-2070N.INI [2012.03.11 11:07:05 | 000,000,416 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2012.03.11 11:06:59 | 000,000,054 | ---- | C] () -- C:\WINDOWS\System32\bd2070n.dat [2012.03.11 11:06:57 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\PTRCGER.DLL [2012.03.11 11:05:19 | 000,000,374 | ---- | C] () -- C:\WINDOWS\Brownie.ini [2012.03.11 11:04:23 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2012.03.09 23:26:27 | 000,024,576 | R--- | C] () -- C:\WINDOWS\System32\AsIO.dll [2012.03.09 23:26:27 | 000,011,296 | R--- | C] () -- C:\WINDOWS\System32\drivers\AsIO.sys [2012.03.09 23:26:25 | 000,011,832 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp64.sys [2012.03.09 23:26:25 | 000,010,216 | ---- | C] () -- C:\WINDOWS\System32\drivers\AsInsHelp32.sys [2012.03.09 23:20:54 | 000,006,136 | R--- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin [2012.03.09 23:19:50 | 000,254,000 | R--- | C] ( ) -- C:\WINDOWS\System32\Audio3D.dll [2012.03.09 23:19:50 | 000,254,000 | R--- | C] ( ) -- C:\WINDOWS\System32\A3D.dll [2012.03.09 23:18:53 | 000,035,501 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini [2012.03.09 23:18:19 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys [2012.03.09 23:18:15 | 000,001,769 | ---- | C] () -- C:\WINDOWS\Language_trs.ini [2012.03.09 23:18:11 | 000,026,415 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2012.03.09 23:18:11 | 000,010,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2012.03.09 22:59:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2012.03.09 22:54:30 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2012.03.09 22:50:20 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2012.03.09 22:44:55 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2012.03.09 22:43:41 | 000,321,136 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.03.09 20:54:52 | 000,151,546 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-854245398-113007714-725345543-1003-0.dat [2012.03.09 20:54:50 | 000,151,546 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat [2011.12.16 20:03:10 | 000,128,320 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat < End of report > Code:
ATTFilter OTL Extras logfile created on: 06.08.2012 19:31:13 - Run 3
OTL by OldTimer - Version 3.2.56.0 Folder = C:\Dokumente und Einstellungen\Andrea\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,75 Gb Total Physical Memory | 2,27 Gb Available Physical Memory | 82,60% Memory free
4,59 Gb Paging File | 4,18 Gb Available in Paging File | 90,98% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39,06 Gb Total Space | 18,87 Gb Free Space | 48,31% Space Free | Partition Type: NTFS
Drive D: | 892,44 Gb Total Space | 571,68 Gb Free Space | 64,06% Space Free | Partition Type: NTFS
Drive J: | 465,76 Gb Total Space | 286,05 Gb Free Space | 61,42% Space Free | Partition Type: NTFS
Drive K: | 152,62 Gb Total Space | 57,61 Gb Free Space | 37,75% Space Free | Partition Type: FAT32
Computer Name: ANDREA-7BACC46B | User Name: Andrea | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.hta [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{05C2F91F-B3FE-4233-A01C-B35FE3B12778}" = Brother HL-2070N
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = LG CyberLink Media Suite
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{31E1050B-F69F-4A16-8F5A-E44D31901250}" = Ulead DVD DiskRecorder 2.1.1
"{342126E1-173C-4585-BFBE-3EBDD20E3E9E}" = Mobipocket Reader 6.2
"{34EB6245-C8D0-4D8A-B8D8-EEBFF7A91485}" = Firebird SQL Server - MAGIX Edition
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = LG Burning Tool
"{41E8B73B-7E5B-4C0A-B79D-46571B34675C}_is1" = Tablegallery Creator 0.9.3
"{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"{51AFB69C-1C54-4C77-A888-2860F8CD3E7D}" = Paint.NET v3.31
"{5CAD3393-EEC0-44CE-9F93-BCAA365B77FB}" = Nikon Movie Editor
"{6179550A-3E7C-499E-BCC9-9E8113E0A285}" = LG Tool Kit
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{7BE15435-2D3E-4B58-867F-9C75BED0208C}" = QuickTime
"{7CFA46E3-CC2F-4355-82AE-6012DC3633FD}" = NVIDIA ForceWare Network Access Manager
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{87441A59-5E64-4096-A170-14EFE67200C3}" = Picture Control Utility
"{88F92798-59AB-474F-B40D-1EC5F782F7EE}" = Ulead VideoStudio 9.0
"{8F66047B-1AF3-40D9-80D7-106E2EDC2C2A}" = EPU-4 Engine
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A43BF6A5-D5F0-4AAA-BF41-65995063EC44}" = MSXML 6.0 Parser
"{A83279FD-CA4B-4206-9535-90974DE76654}" = Apple Application Support
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{ADD5DB49-72CF-11D8-9D75-000129760D75}" = LG CyberLink PowerBackup
"{AED142A8-96EA-42DE-B212-60BFC98D6CC7}" = USBFast
"{B014EE44-9197-4513-9613-71E6EB1B514E}" = Nikon Message Center 2
"{B83FC356-B7C0-441F-8A4D-D71E088E7974}" = NVIDIA PhysX
"{BA88EE67-8974-459D-A1DB-C8281D9AC6F6}" = Browser Configuration Utility
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C151CE54-E7EA-4804-854B-F515368B0798}" = AMD Processor Driver
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E3739848-5329-48E3-8D28-5BBD6E8BE384}" = LG CyberLink MediaEspresso
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe
"{E5ADAEB8-000D-428B-A2A7-C43A789D4705}" = XP-Clean Speed
"{E64C137C-D0B7-467A-B47F-460AAB30F0A3}" = ViewNX 2
"{EE55714B-B67C-4D08-97AE-0CF4AC5A3A77}" = StuffIt Expander 2010
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{FDE8FDFF-7B95-4235-BB3F-AE63397864C9}" = calibre
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9
"Avira AntiVir Desktop" = Avira Antivirus Premium 2012
"Corel Applications" = Corel Applications
"ESET Online Scanner" = ESET Online Scanner v3
"Free YouTube Download_is1" = Free YouTube Download version 3.0.22.221
"ie8" = Windows Internet Explorer 8
"InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = LG CyberLink Media Suite
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = LG Burning Tool
"InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin
"InstallShield_{7CFA46E3-CC2F-4355-82AE-6012DC3633FD}" = NVIDIA ForceWare Network Access Manager
"InstallShield_{E3739848-5329-48E3-8D28-5BBD6E8BE384}" = LG CyberLink MediaEspresso
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.2.0 (Full)
"MAGIX MP3 Maker 16 D" = MAGIX MP3 Maker 16 11.0.0.78 (D)
"MAGIX Online Druck Service D" = MAGIX Online Druck Service
"MAGIX Screenshare D" = MAGIX Screenshare
"MAGIX Speed burnR D" = MAGIX Speed burnR
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 13.0.1 (x86 de)" = Mozilla Firefox 13.0.1 (x86 de)
"Mozilla Thunderbird 12.0.1 (x86 de)" = Mozilla Thunderbird 12.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NVIDIA Drivers" = NVIDIA Drivers
"Sandboxie" = Sandboxie 3.70 (32-bit)
"VLC media player" = VLC media player 1.1.11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR 4.11 (32-Bit)
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 13.06.2012 12:30:29 | Computer Name = ANDREA-7BACC46B | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{eda6e3dc-6a30-11e1-9e7c-806d6172696f},0xc0000000,0x00000003,...)".
hr = 0x80070005.
Error - 13.06.2012 12:30:52 | Computer Name = ANDREA-7BACC46B | Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070015" (konvertiert
in 0x800423f3) fehlgeschlagen.
Error - 13.06.2012 12:30:55 | Computer Name = ANDREA-7BACC46B | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{eda6e3dc-6a30-11e1-9e7c-806d6172696f},0xc0000000,0x00000003,...)".
hr = 0x80070005.
Error - 13.06.2012 12:31:49 | Computer Name = ANDREA-7BACC46B | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{eda6e3dc-6a30-11e1-9e7c-806d6172696f},0xc0000000,0x00000003,...)".
hr = 0x80070005.
Error - 13.06.2012 12:32:12 | Computer Name = ANDREA-7BACC46B | Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070015" (konvertiert
in 0x800423f3) fehlgeschlagen.
Error - 14.06.2012 01:38:52 | Computer Name = ANDREA-7BACC46B | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{eda6e3dc-6a30-11e1-9e7c-806d6172696f},0xc0000000,0x00000003,...)".
hr = 0x80070005.
Error - 14.06.2012 01:39:27 | Computer Name = ANDREA-7BACC46B | Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070015" (konvertiert
in 0x800423f3) fehlgeschlagen.
Error - 14.06.2012 01:39:46 | Computer Name = ANDREA-7BACC46B | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{eda6e3dc-6a30-11e1-9e7c-806d6172696f},0xc0000000,0x00000003,...)".
hr = 0x80070005.
Error - 14.06.2012 01:41:22 | Computer Name = ANDREA-7BACC46B | Source = VSS | ID = 12289
Description = Volumeschattenkopie-Dienstfehler: Unerwarteter Fehler "CreateFileW(\\?\Volume{eda6e3dc-6a30-11e1-9e7c-806d6172696f},0xc0000000,0x00000003,...)".
hr = 0x80070005.
Error - 14.06.2012 01:41:47 | Computer Name = ANDREA-7BACC46B | Source = VSS | ID = 5013
Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager"
aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x80070015" (konvertiert
in 0x800423f3) fehlgeschlagen.
[ System Events ]
Error - 09.07.2012 14:48:12 | Computer Name = ANDREA-7BACC46B | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
Error - 11.07.2012 15:28:52 | Computer Name = ANDREA-7BACC46B | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
Error - 12.07.2012 02:40:59 | Computer Name = ANDREA-7BACC46B | Source = Wechselmediendienst | ID = 262159
Description = Der Wechselmediendienst kann die Bibliothek CdRom0 nicht verwalten.
Die Datenbank ist beschädigt.
Error - 12.07.2012 02:50:40 | Computer Name = ANDREA-7BACC46B | Source = Wechselmediendienst | ID = 262159
Description = Der Wechselmediendienst kann die Bibliothek CdRom0 nicht verwalten.
Die Datenbank ist beschädigt.
Error - 24.07.2012 00:18:14 | Computer Name = ANDREA-7BACC46B | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
Error - 24.07.2012 00:18:14 | Computer Name = ANDREA-7BACC46B | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
Error - 24.07.2012 00:18:15 | Computer Name = ANDREA-7BACC46B | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
Error - 24.07.2012 00:18:15 | Computer Name = ANDREA-7BACC46B | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 15 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
Error - 31.07.2012 12:57:29 | Computer Name = ANDREA-7BACC46B | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
Error - 31.07.2012 12:57:29 | Computer Name = ANDREA-7BACC46B | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
< End of report >
Der Brenner oder sein Programm versucht auch bei jedem Hochfahren einen Firmwareupdater mit zu starten (ja, ich hatte bei der Installation angehakt, dass die Firmware aktualisiert werden soll - war aber davon ausgegangen, dass das nur einmal passiert und nicht laufend). Das war aber nicht an - sollte es zumindest nicht, da ich es jedes mal abbreche. Ach ja, der Blue-Ray Brenner hängt aktuell nicht dran... und hier noch das Log von GMer: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-08-06 20:28:44
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path1Target1Lun0 SAMSUNG_ rev.1AJ1
Running: dd13om04.exe; Driver: C:\DOKUME~1\Andrea\LOKALE~1\Temp\pwecrkob.sys
---- System - GMER 1.0.15 ----
SSDT B87BD254 ZwClose
SSDT B87BD20E ZwCreateKey
SSDT B87BD25E ZwCreateSection
SSDT B87BD236 ZwCreateSymbolicLinkObject
SSDT B87BD204 ZwCreateThread
SSDT B87BD213 ZwDeleteKey
SSDT B87BD21D ZwDeleteValueKey
SSDT B87BD24F ZwDuplicateObject
SSDT B87BD23B ZwLoadDriver
SSDT B87BD222 ZwLoadKey
SSDT B87BD1F0 ZwOpenProcess
SSDT B87BD231 ZwOpenSection
SSDT B87BD1F5 ZwOpenThread
SSDT B87BD277 ZwQueryValueKey
SSDT B87BD22C ZwReplaceKey
SSDT B87BD268 ZwRequestWaitReplyPort
SSDT B87BD227 ZwRestoreKey
SSDT B87BD263 ZwSetContextThread
SSDT B87BD26D ZwSetSecurityObject
SSDT B87BD240 ZwSetSystemInformation
SSDT B87BD218 ZwSetValueKey
SSDT B87BD272 ZwSystemDebugControl
SSDT B87BD1FF ZwTerminateProcess
SSDT B87BD1FA ZwWriteVirtualMemory
Code A5E85C9C ZwRequestPort
Code A5E85BFC ZwTraceEvent
Code A5E85C9B NtRequestPort
Code A5E85BFB NtTraceEvent
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!NtTraceEvent 8053516E 5 Bytes JMP A5E85C00
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7002360, 0x3CDCE5, 0xE8000020]
.text win32k.sys!EngAcquireSemaphore + 20F0 BF808304 5 Bytes JMP A5E85480
.text win32k.sys!EngFreeUserMem + 5BD7 BF80EE90 5 Bytes JMP A5E853E0
.text win32k.sys!EngSetLastError + 79AA BF8240FD 5 Bytes JMP A5E855C0
.text win32k.sys!FONTOBJ_pxoGetXform + 84ED BF851775 5 Bytes JMP A5E85A20
.text win32k.sys!XLATEOBJ_iXlate + 2EDD BF85DC70 5 Bytes JMP A5E85520
.text win32k.sys!EngCopyBits + 1409 BF899DF5 5 Bytes JMP A5E85700
.text win32k.sys!EngCopyBits + 4DF9 BF89D7E5 5 Bytes JMP A5E85660
.text win32k.sys!EngEraseSurface + A9E0 BF8C1D20 5 Bytes JMP A5E857A0
.text win32k.sys!EngCreateClip + 1A2F BF9142E4 5 Bytes JMP A5E85AC0
.text win32k.sys!EngCreateClip + 1FBF BF914874 5 Bytes JMP A5E85B60
.text win32k.sys!EngCreateClip + 2605 BF914EBA 5 Bytes JMP A5E85840
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd509216
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0009dd509216 (not active ControlSet)
---- EOF - GMER 1.0.15 ----
Andrea Geändert von Andrea70 (06.08.2012 um 19:52 Uhr) |
|
08.08.2012, 11:55
| #32 |
| /// Malwareteam    | boo/whistler.db im Masterbootsektor gefunden Schritt 1: Adobe Flash Player update
__________________Dein Flash-Player ist veraltet. Da gerade diese Software gerne von Schädlingen als Sprungbrett ins System genutzt wird, muss sie immer aktuell gehalten werden. Um den Flash Player zu aktualisieren, gehe bitte wie folgt vor:
Schritt 2: Adobe Reader update Dein Adobe Reader ist veraltet. Da einige Schädlinge die Schwachstellen in veralteten Versionen nutzen, werden wir sie aktualisieren.
Schritt 3: Mozilla Firefox update Dein Firefox-Browser ist veraltet. Gehe wie folgt vor, um ihn zu aktualisieren:
Schritt 4: Mozilla Thunderbird update Dein Thunderbird-Mailclient ist veraltet. Gehe wie folgt vor, um ihn zu aktualisieren:
Schritt 5: VLC-Player update Dein VLC-Player ist veraltet. Um ihn zu aktualisieren, gehe bitte wie folgt vor:
Ansonsten sind wir durch! Defogger re-enable Starte bitte den Defogger und klicke den re-enable Button ComboFix Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren. Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK. Code:
ATTFilter Combofix /Uninstall
 Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden. Nun die eben deaktivierten Programme wieder aktivieren. OTL Starte bitte OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Hier noch ein paar Tipps zur Absicherung deines Systems. Aktualität Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC Halte dich fern von jedlichen Registry Cleanern. Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links Miekemoes Blogspot ( MVP ) Bill Castner ( MVP ) Don'ts
Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.
__________________ |
|
09.08.2012, 07:45
| #33 |
| | boo/whistler.db im Masterbootsektor gefunden Hallo Marius,
__________________alles erledigt! Vielen Dank  für deine Hilfe!Will mal hoffen, dass ich die nächsten 20 Computerjahre wieder wie die letzten vor dieser Attacke verbringe, nämlich weitgehend virenfrei VLG Andrea |
|
09.08.2012, 09:06
| #34 |
| /// Malwareteam | boo/whistler.db im Masterbootsektor gefunden Schön, dass wir helfen konnten!  Dieses Thema scheint erledigt und wurde aus meinen Abos gelöscht. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM. Jeder andere bitte hier klicken und ein eigenes Thema erstellen!
__________________ Kein Asylrecht für Trojaner!  Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board! |
|
| Themen zu boo/whistler.db im Masterbootsektor gefunden |
| antivirus, avira, avira fehlermeldung, avira searchfree toolbar, bho, boo/whistler.db, bootsektorvirus, converter, dateisystem, desktop, dllhost.exe, echtzeitscanner, entfernen, error, eudora, festplatte, firefox, flash player, heuristiks/extra, heuristiks/shuriken, home, logfile, mp3, nt.dll, pup.adware.agent, registry, rundll, scan, searchscopes, security, software, svchost.exe, udp, usb, virus, win32k.sys, windows internet, wuauclt.exe, xp-rechner |
Linear-Darstellung
