malware defense und security alert

Capella · 10.01.2010, 09:50

Code:

ATTFilter

[2010.01.07 20:15:09 | 00,000,000 | ---D | C] -- C:\Qoobox
[2010.01.07 19:58:22 | 00,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Symantec Shared
[2010.01.07 19:56:37 | 00,000,000 | ---D | C] -- C:\Programme\Windows Sidebar
[2010.01.07 19:56:31 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton
[2010.01.07 19:56:14 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller
[2010.01.07 10:59:43 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christopher\Anwendungsdaten\QuickScan
[2010.01.06 23:31:30 | 00,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Christopher\Recent
[2010.01.06 22:59:14 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christopher\Anwendungsdaten\tor
[2010.01.06 21:34:38 | 00,000,000 | ---D | C] -- C:\Programme\Sicherheits-Software
[2010.01.06 21:33:07 | 00,000,000 | ---D | C] -- C:\Programme\Security Task Manager
[2010.01.06 19:43:02 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Anwendungsdaten\Runscanner.net
[2010.01.06 19:07:42 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
[2010.01.06 19:07:42 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christopher\Anwendungsdaten\Yahoo!
[2010.01.06 19:07:29 | 00,000,000 | ---D | C] -- C:\Programme\CCleaner
[2010.01.06 18:54:43 | 00,000,000 | ---D | C] -- C:\Avenger
[2010.01.06 18:48:11 | 00,000,000 | ---D | C] -- C:\rsit
[2010.01.06 17:50:34 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2010.01.06 17:24:11 | 00,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.01.06 16:10:28 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\F-Secure
[2010.01.06 12:19:40 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christopher\Anwendungsdaten\Uniblue
[2010.01.06 12:17:35 | 00,000,000 | ---D | C] -- C:\Programme\Uniblue
[2010.01.05 21:59:38 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christopher\Eigene Dateien\Science-Fiction
[2009.12.31 17:25:05 | 00,026,088 | R--- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xmlinst.exe
[2009.12.31 17:25:04 | 00,089,360 | R--- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\VB5DB.DLL
[2009.12.31 17:25:04 | 00,024,576 | R--- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msxml3a.dll
[2009.12.31 17:24:46 | 00,000,000 | ---D | C] -- C:\BlueByte
[2009.10.19 16:01:18 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware
[2008.09.20 21:30:17 | 72,986,158 | ---- | C] (INRIA                                                       ) -- C:\Programme\scilab-5.0.1.exe
[2008.06.24 20:55:02 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
[2008.06.15 20:21:29 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Adobe
[2008.06.15 20:21:04 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2008.04.01 21:10:08 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.03.31 13:09:34 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2008.03.31 13:05:39 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2008.03.31 13:05:39 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.01.10 09:29:47 | 08,126,464 | -H-- | M] () -- C:\Dokumente und Einstellungen\Christopher\NTUSER.DAT
[2010.01.10 09:14:24 | 00,001,526 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Orbit.lnk
[2010.01.10 09:14:18 | 00,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2010.01.10 09:14:13 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.01.10 09:14:11 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.01.10 00:33:53 | 00,000,302 | -HS- | M] () -- C:\Dokumente und Einstellungen\Christopher\ntuser.ini
[2010.01.09 23:47:54 | 40,233,352 | ---- | M] () -- C:\Dokumente und Einstellungen\Christopher\Desktop\zaSetup_91_007_002en.exe
[2010.01.09 17:42:01 | 10,722,54976 | ---- | M] () -- C:\WINDOWS\MEMORY.DMP
[2010.01.09 17:37:30 | 00,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.01.09 17:33:17 | 00,000,486 | ---- | M] () -- C:\WINDOWS\tasks\Malwarebytes' Scheduled Update for Christopher.job
[2010.01.09 15:36:22 | 00,462,306 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.01.09 15:36:22 | 00,443,724 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.01.09 15:36:22 | 00,085,534 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.01.09 15:36:22 | 00,071,982 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.01.09 15:36:21 | 01,077,890 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.01.09 13:59:49 | 00,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.01.09 13:58:07 | 00,250,288 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.01.09 13:55:57 | 00,000,288 | ---- | M] () -- C:\WINDOWS\System32\$winnt$.inf
[2010.01.09 13:51:47 | 00,000,760 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.01.09 13:51:44 | 00,025,065 | ---- | M] () -- C:\WINDOWS\System32\wmpscheme.xml
[2010.01.09 13:51:43 | 00,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2010.01.09 13:51:43 | 00,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2010.01.09 13:51:42 | 00,299,552 | ---- | M] () -- C:\WINDOWS\WMSysPrx.prx
[2010.01.09 13:51:30 | 00,004,161 | ---- | M] () -- C:\WINDOWS\ODBCINST.INI
[2010.01.09 13:50:45 | 00,000,488 | RH-- | M] () -- C:\WINDOWS\System32\WindowsLogon.manifest
[2010.01.09 13:50:45 | 00,000,488 | RH-- | M] () -- C:\WINDOWS\System32\logonui.exe.manifest
[2010.01.09 13:50:39 | 00,000,749 | RH-- | M] () -- C:\WINDOWS\System32\wuaucpl.cpl.manifest
[2010.01.09 13:50:39 | 00,000,749 | RH-- | M] () -- C:\WINDOWS\WindowsShell.Manifest
[2010.01.09 13:50:39 | 00,000,749 | RH-- | M] () -- C:\WINDOWS\System32\sapi.cpl.manifest
[2010.01.09 13:50:39 | 00,000,749 | RH-- | M] () -- C:\WINDOWS\System32\nwc.cpl.manifest
[2010.01.09 13:50:39 | 00,000,749 | RH-- | M] () -- C:\WINDOWS\System32\ncpa.cpl.manifest
[2010.01.09 13:50:39 | 00,000,749 | RH-- | M] () -- C:\WINDOWS\System32\cdplayer.exe.manifest
[2010.01.09 13:48:37 | 00,023,836 | ---- | M] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.01.09 13:47:06 | 00,000,211 | -HS- | M] () -- C:\boot.ini
[2010.01.09 13:28:31 | 00,000,231 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.01.08 21:12:12 | 00,608,776 | ---- | M] () -- C:\WINDOWS\setupapi.old
[2010.01.07 16:07:14 | 00,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.07 16:07:04 | 00,018,520 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.01.07 12:24:43 | 00,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.01.07 10:59:44 | 00,000,796 | ---- | M] () -- C:\Dokumente und Einstellungen\Christopher\Desktop\QuickScan Folder.lnk
[2010.01.07 10:57:35 | 00,000,007 | ---- | M] () -- C:\WINDOWS\System32\ANIWZCSUSERNAME
[2010.01.06 13:02:19 | 00,000,008 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini
[2010.01.05 21:55:03 | 00,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2010.01.03 21:28:18 | 00,006,144 | ---- | M] () -- C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.01 03:22:56 | 02,113,502 | -H-- | M] () -- C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2009.12.22 10:02:00 | 00,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.01.09 23:44:22 | 40,233,352 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher\Desktop\zaSetup_91_007_002en.exe
[2010.01.09 17:37:30 | 00,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.01.09 14:15:21 | 10,722,54976 | ---- | C] () -- C:\WINDOWS\MEMORY.DMP
[2010.01.09 13:54:01 | 00,175,104 | ---- | C] () -- C:\WINDOWS\System32\dllcache\pintlcsa.dll
[2010.01.09 13:53:33 | 01,158,818 | ---- | C] () -- C:\WINDOWS\System32\dllcache\korwbrkr.lex
[2010.01.09 13:53:22 | 00,059,392 | ---- | C] () -- C:\WINDOWS\System32\dllcache\imscinst.exe
[2010.01.09 13:53:20 | 00,196,666 | ---- | C] () -- C:\WINDOWS\System32\dllcache\imjpinst.exe
[2010.01.09 13:53:17 | 00,134,339 | ---- | C] () -- C:\WINDOWS\System32\dllcache\imekr.lex
[2010.01.09 13:52:58 | 13,463,552 | ---- | C] () -- C:\WINDOWS\System32\dllcache\hwxjpn.dll
[2010.01.09 13:52:49 | 00,108,827 | ---- | C] () -- C:\WINDOWS\System32\dllcache\hanja.lex
[2010.01.09 13:52:43 | 00,094,208 | ---- | C] () -- C:\WINDOWS\System32\dllcache\fpencode.dll
[2010.01.09 13:52:30 | 00,173,568 | ---- | C] () -- C:\WINDOWS\System32\dllcache\chtskf.dll
[2010.01.09 13:50:45 | 00,000,488 | RH-- | C] () -- C:\WINDOWS\System32\logonui.exe.manifest
[2010.01.09 13:50:39 | 00,000,749 | RH-- | C] () -- C:\WINDOWS\System32\wuaucpl.cpl.manifest
[2010.01.09 13:50:39 | 00,000,749 | RH-- | C] () -- C:\WINDOWS\WindowsShell.Manifest
[2010.01.09 13:50:39 | 00,000,749 | RH-- | C] () -- C:\WINDOWS\System32\sapi.cpl.manifest
[2010.01.09 13:50:39 | 00,000,749 | RH-- | C] () -- C:\WINDOWS\System32\nwc.cpl.manifest
[2010.01.09 13:50:39 | 00,000,749 | RH-- | C] () -- C:\WINDOWS\System32\ncpa.cpl.manifest
[2010.01.09 13:50:13 | 00,351,744 | ---- | C] () -- C:\WINDOWS\System32\dllcache\msinfo.dll
[2010.01.09 13:28:17 | 00,086,052 | ---- | C] () -- C:\WINDOWS\System32\dllcache\tabletpc.cat
[2010.01.09 13:28:17 | 00,031,405 | ---- | C] () -- C:\WINDOWS\System32\dllcache\FP4.CAT
[2010.01.09 13:28:17 | 00,013,898 | ---- | C] () -- C:\WINDOWS\System32\dllcache\IMS.CAT
[2010.01.09 13:28:17 | 00,010,881 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MSMSGS.CAT
[2010.01.09 13:28:17 | 00,007,369 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MSTSWEB.CAT
[2010.01.09 13:28:16 | 01,904,251 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5.CAT
[2010.01.09 13:28:16 | 00,581,818 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5INF.CAT
[2010.01.07 20:22:35 | 00,261,632 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2010.01.07 20:22:35 | 00,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2010.01.07 20:22:35 | 00,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2010.01.07 20:22:35 | 00,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2010.01.07 20:22:35 | 00,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2010.01.07 16:04:06 | 00,000,486 | ---- | C] () -- C:\WINDOWS\tasks\Malwarebytes' Scheduled Update for Christopher.job
[2010.01.07 12:11:35 | 00,608,776 | ---- | C] () -- C:\WINDOWS\setupapi.old
[2010.01.07 10:59:44 | 00,000,796 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher\Desktop\QuickScan Folder.lnk
[2010.01.06 13:02:19 | 00,000,008 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sysReserve.ini
[2009.12.31 17:25:05 | 00,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2009.12.31 17:25:05 | 00,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2009.12.31 17:25:05 | 00,035,840 | R--- | C] () -- C:\WINDOWS\System32\comdlg32.oca
[2009.12.31 17:25:04 | 00,029,184 | R--- | C] () -- C:\WINDOWS\System32\MSINET.oca
[2009.11.20 18:46:23 | 03,778,785 | ---- | C] () -- C:\Programme\tex4ht.zip
[2009.11.20 18:46:23 | 00,013,561 | ---- | C] () -- C:\Programme\tex4ht-env-win32.txt
[2009.11.20 18:46:23 | 00,012,598 | ---- | C] () -- C:\Programme\tex4ht-env-unix.txt
[2009.10.17 19:48:57 | 00,139,152 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher\Anwendungsdaten\PnkBstrK.sys
[2009.10.17 19:48:57 | 00,137,544 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2009.08.22 15:09:41 | 08,676,883 | ---- | C] () -- C:\WINDOWS\System32\mp3Media2.dll
[2009.04.09 09:48:58 | 00,290,918 | ---- | C] () -- C:\WINDOWS\System32\Install7x.dll
[2008.12.25 10:10:56 | 00,000,724 | ---- | C] () -- C:\WINDOWS\wacam.ini
[2008.12.25 10:10:55 | 00,106,496 | ---- | C] () -- C:\WINDOWS\System32\MMPlugHostCtrl.dll
[2008.11.23 16:01:32 | 00,020,480 | ---- | C] () -- C:\WINDOWS\System32\gksl_ger.dll
[2008.09.19 22:57:34 | 03,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2008.09.19 22:55:10 | 00,000,416 | ---- | C] () -- C:\WINDOWS\System32\dtu100.dll.manifest
[2008.09.19 22:55:10 | 00,000,416 | ---- | C] () -- C:\WINDOWS\System32\dpl100.dll.manifest
[2008.09.19 22:54:18 | 00,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2008.09.11 14:46:02 | 00,008,348 | ---- | C] () -- C:\Programme\polynom.zip
[2008.09.01 16:13:40 | 00,002,059 | ---- | C] () -- C:\WINDOWS\wp2.ini
[2008.08.17 17:53:07 | 00,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL
[2008.07.09 18:44:05 | 01,480,920 | ---- | C] () -- C:\Programme\TeamViewer_Setup_de.exe
[2008.07.08 13:51:23 | 00,000,055 | ---- | C] () -- C:\WINDOWS\ChssBase.ini
[2008.06.15 14:30:02 | 00,000,647 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher\Anwendungsdaten\gnuplot_history
[2008.05.19 17:58:01 | 00,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.05.05 19:12:27 | 00,000,019 | ---- | C] () -- C:\WINDOWS\wp.ini
[2008.04.25 21:42:10 | 00,000,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008.04.08 21:33:07 | 00,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.04.03 17:07:21 | 00,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.04.03 09:02:05 | 00,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2008.04.01 21:27:18 | 00,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.03.31 13:19:22 | 00,049,152 | ---- | C] () -- C:\WINDOWS\System32\JJAKEn.dll
[2007.11.06 21:19:28 | 00,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2005.02.07 07:35:48 | 00,121,562 | ---- | C] () -- C:\WINDOWS\System32\PicFormat32.dll
[2005.02.07 07:35:38 | 00,028,672 | ---- | C] () -- C:\WINDOWS\System32\fvh.dll
[2003.02.20 16:53:42 | 00,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002.03.25 20:02:14 | 00,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
< End of report >

Capella · 10.01.2010, 09:50

Extra:

Code:

ATTFilter

OTL Extras logfile created on: 10.01.2010 09:36:11 - Run 1
OTL by OldTimer - Version 3.1.22.0     Folder = C:\Programme\Sicherheits-Software
Windows XP Professional Edition Service Pack 1 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2800.1106)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.022,00 Mb Total Physical Memory | 458,00 Mb Available Physical Memory | 45,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): c:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 156,25 Gb Total Space | 118,73 Gb Free Space | 75,99% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: CHRIS
Current User Name: Christopher
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
htmlfile [opennew] -- "C:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
http [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
https [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Applications\iexplore.exe [open] -- "C:\Programme\Internet Explorer\iexplore.exe" %1 (Microsoft Corporation)
CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Programme\Internet Explorer\iexplore.exe" (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 -- File not found
"C:\Programme\Veoh Networks\Veoh\VeohClient.exe" = C:\Programme\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client -- File not found
"C:\Programme\BitTornado\btdownloadgui.exe" = C:\Programme\BitTornado\btdownloadgui.exe:*:Enabled:btdownloadgui -- ()
"C:\Programme\SmartFTP Client\SmartFTP.exe" = C:\Programme\SmartFTP Client\SmartFTP.exe:*:Enabled:SmartFTP Client 3.0 -- (SmartSoft Ltd.)
"C:\Programme\Trillian\trillian.exe" = C:\Programme\Trillian\trillian.exe:*:Enabled:Trillian -- (Cerulean Studios)
"C:\Programme\MathCast088\MathCast.exe" = C:\Programme\MathCast088\MathCast.exe:*:Enabled:MathCast Equation Editor -- ()
"C:\Dokumente und Einstellungen\Christopher\temp\TeamViewer3\TeamViewer.exe" = C:\Dokumente und Einstellungen\Christopher\temp\TeamViewer3\TeamViewer.exe:*:Enabled:TeamViewer Remote Control Application -- (TeamViewer GmbH)
"C:\Programme\Ruff-Tech\Ruff-FTP\ftpsck.exe" = C:\Programme\Ruff-Tech\Ruff-FTP\ftpsck.exe:*:Enabled:Ftp-Client -- (Ruff-Tech)
"C:\Programme\Internet Explorer\iexplore.exe" = C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:Internet Explorer -- (Microsoft Corporation)
"C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Temp\Rar$EX00.750\IPCurve\ipcurve.exe" = C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Temp\Rar$EX00.750\IPCurve\ipcurve.exe:*:Enabled:ipcurve -- File not found
"C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Temp\Rar$EX00.515\IPCurve\ipcurve.exe" = C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Temp\Rar$EX00.515\IPCurve\ipcurve.exe:*:Enabled:ipcurve -- File not found
"C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Temp\Rar$EX00.469\IPCurve\ipcurve.exe" = C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Temp\Rar$EX00.469\IPCurve\ipcurve.exe:*:Enabled:ipcurve -- File not found
"C:\Programme\Orbitdownloader\orbitnet.exe" = C:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:P2P service of Orbit Downloader -- (Orbitdownloader.com)
"C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Temp\Rar$EX13.9735\eclipse\eclipsec.exe" = C:\Dokumente und Einstellungen\Christopher\Lokale Einstellungen\Temp\Rar$EX13.9735\eclipse\eclipsec.exe:*:Enabled:eclipsec -- File not found
"C:\Programme\Microsoft Games\Age of Mythology\aom.exe" = C:\Programme\Microsoft Games\Age of Mythology\aom.exe:*:Enabled:Age of Mythology -- (Ensemble Studios)
"C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE" = C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE:*:Enabled:GMX MultiMessenger -- (GMX GmbH)
"C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer -- (RealNetworks, Inc.)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"C:\Programme\Halo\halo.exe" = C:\Programme\Halo\halo.exe:*:Enabled:Halo -- (Microsoft Corporation)
"C:\Programme\Steam\Steam.exe" = C:\Programme\Steam\Steam.exe:*:Enabled:Steam -- (Valve Corporation)
"C:\WINDOWS\system32\PnkBstrA.exe" = C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA -- ()
"C:\WINDOWS\system32\PnkBstrB.exe" = C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB -- ()
"C:\Programme\MultiProxy\MProxy.exe" = C:\Programme\MultiProxy\MProxy.exe:*:Enabled:MultiProxy personal proxy server -- (MishkinSoft, http://www.multiproxy.org)
"C:\xampp\mysql\bin\mysqld.exe" = C:\xampp\mysql\bin\mysqld.exe:*:Enabled:mysqld -- ()
"C:\xampp\apache\bin\httpd.exe" = C:\xampp\apache\bin\httpd.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\xampp\FileZillaFTP\FileZilla Server.exe" = C:\xampp\FileZillaFTP\FileZilla Server.exe:*:Enabled:FileZilla Server -- (FileZilla Project)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser
"{02DFF6B1-1654-411C-8D7B-FD6052EF016F}" = Apple Software Update
"{044F9133-B8D7-4d11-BF39-803FA20F5C8B}" = Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{08CA9554-B5FE-4313-938F-D4A417B81175}" = QuickTime
"{0E592C31-09EF-3CA1-A7DE-05D13DFCF791}" = Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu
"{0F022A2E-7022-497D-90A5-0F46746D8275}" = Macromedia Extension Manager
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}" = Google Earth
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 11
"{27AB9BD6-4A3E-4BBD-8381-CD445E474936}" = Berkeley Madonna
"{2ADE2157-7A5E-122C-B51D-EB8A01B15943}" = DeepBurner v1.9.0.228
"{2B7E4354-0492-460A-BDB1-1F59EE141025}" = AirPlus G
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{32A3A4F4-B792-11D6-A78A-00B0D0160110}" = Java(TM) SE Development Kit 6 Update 11
"{342D4AD7-EC4C-4EC8-AEA6-E70F5905A490}" = SQL Server System CLR Types
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{3C3D696B-0DB7-3C6D-A356-3DB8CE541918}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{3FBC5FCA-F989-4D5D-93F6-B185EEE1EC76}" = IIS6 Manager
"{4C590030-7469-453E-8589-D15DA9D03F52}" = ANIWZCS2 Service
"{510A492E-062F-49BA-9A98-FB3662AD4B36}" = PhysProf
"{52061908-F94F-3D78-AA50-B956039C845D}" = Microsoft Visual C# 2008 Express Edition - DEU
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{56DA764F-7C3C-4D77-8C8B-67744E457544}" = Kurvendiskussion
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{63E921D9-799A-44F9-A742-DE3DC968AFEF}" = Microsoft .NET Framework SDK (German) 1.1
"{6E1205BF-25BC-44A5-B10E-34402BFF5D45}" = PHP 5.2.6
"{6F23C1A3-9F62-470C-BD12-B83F04E67865}" = SmartFTP Client
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{738B0934-6676-44F6-AB52-32F4E60DCA7F}" = Microsoft SQL Server Compact 3.5 SP1 Design Tools (Deutsch)
"{7B5CE976-C7A9-4E38-A7F3-6C8EF025DD8E}" = ANIO Service
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7B76034B-B3ED-46D5-8C66-DEB102CB830A}" = ATI Catalyst Control Center
"{842FAF7C-50EF-4463-9B8F-6222E1384D7D}" = Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8F714418-F3C3-3BF0-B548-E4BDA7AD41DE}" = Microsoft Visual Basic 2008 Express Edition with SP1 - DEU
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90877318-0BD0-4BDE-BFC0-C4BB12DAC86A}_is1" = Rappelz
"{90B608A7-A50A-426E-9322-2E557C9DA628}" = MATHPROF 4.0
"{998D6972-F58E-479D-9248-8F179E55AE38}" = Java DB 10.4.1.3
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.4 - Deutsch
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B571B309-5E65-3DCE-8DE7-205DE2D366C3}" = Microsoft Visual C++ 2008 Express Edition - DEU
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C5A1E65F-4828-41F0-B516-6AFAF5D021B8}" = Borland Delphi 2005 Personal Edition
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D765F1CE-5AE5-4C47-B134-AE58AC474740}" = OpenOffice.org 3.1
"{D88857C8-B36B-42CE-AC26-9FFFEEDB181A}" = RssReader
"{D922EF97-6657-3075-BC93-A6CF59444E84}" = MSDN Library for Microsoft Visual Studio 2008 Express Editions
"{E07B7A31-E160-466D-A003-3BB7B8989D52}" = Full Tilt Poker.Net
"{E63E34A7-E552-412B-9E40-FD6FC5227ABA}_is1" = Uniblue RegistryBooster 2010
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EBBB1DEF-8878-4CB8-BC0D-1196B30E7527}" = ANNO 1503
"{F5E87B12-3C27-452F-8E78-21D42164FD83}" = Microsoft SQL Server 2008 Management Objects
"{FA440BE8-EC2F-4478-A01A-077DA0606501}" = Microsoft SQL Server Compact 3.5 SP1 (Deutsch)
"{FB1F228C-8D68-41A7-BEA2-D667DDB8B8B7}" = Phase 5 HTML-Editor
"{FFAA01ED-BEEC-4578-87D5-90E1C7A6D230}" = MSI US54EX Wireless Client Utility
"7-Zip" = 7-Zip 4.65
"AbiMan Hessen_is1" = AbiMan Hessen Version Juni 2007
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Age of Mythology 1.0" = Age of Mythology
"All ATI Software" = ATI - Software Uninstall Utility
"Aspell" = Aspell Data
"Aspell6-Dictionary-be" = Aspell 0.6 Dictionary (Language: be)
"Aspell6-Dictionary-bg" = Aspell 0.6 Dictionary (Language: bg)
"Aspell6-Dictionary-ca" = Aspell 0.6 Dictionary (Language: ca)
"Aspell6-Dictionary-cs" = Aspell 0.6 Dictionary (Language: cs)
"Aspell6-Dictionary-da" = Aspell 0.6 Dictionary (Language: da)
"Aspell6-Dictionary-de" = Aspell 0.6 Dictionary (Language: de)
"Aspell6-Dictionary-en" = Aspell 0.6 Dictionary (Language: en)
"ATI Display Driver" = ATI Display Driver
"BitTornado" = BitTornado 0.3.17
"Blue Byte Game Channel" = Blue Byte Game Channel
"Canon Setup Utility 2.0" = Canon Setup Utility 2.0
"CANONBJ_Deinstall_CNMCP78.DLL" = Canon iP4200
"CCleaner" = CCleaner
"ClearProg" = ClearProg 1.5.1 Beta 3
"Codepad" = Codepad
"Derive 6 Trial Edition" = Derive 6 Trial Edition
"Descartes3D Version 2.4 Testversion_is1" = Descartes3D Version 2.4 Testversion
"Dev-C++" = Dev-C++ 5 beta 9 release (4.9.9.2)
"DVC" = DVC DVC Simulator
"EasyBurning" = Easy Burning (remove only)
"Easy-PhotoPrint" = Canon Utilities Easy-PhotoPrint
"Easy-PrintToolBox" = Canon Utilities Easy-PrintToolBox
"Easy-WebPrint" = Easy-WebPrint
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Firefox Profile Switcher" = Firefox Profile Switcher
"FLV Player" = FLV Player 2.0, build 24
"Free WMA to MP3 Converter_is1" = Free WMA to MP3 Converter 1.16
"Freez FLV to MP3 Converter v1.5_is1" = Freez FLV to MP3 Converter
"Funktion" = Funktion
"Funkyplot_is1" = Funkyplot 1.1.0-pre1
"GameSpy Arcade" = GameSpy Arcade
"gb40Unst #1" = MathEnvision
"Geo" = Geo
"GeoGebra" = GeoGebra
"GEONExT_is1" = GEONExT 1.71
"GMX MultiMessenger" = GMX MultiMessenger
"Google Updater" = Google Updater
"GPL Ghostscript 8.64" = GPL Ghostscript 8.64
"GUYacas" = GUYacas
"Halo Trial" = Microsoft Halo Trial
"HijackThis" = HijackThis 2.0.2
"ICQToolbar" = ICQ Toolbar
"ie8" = Windows Internet Explorer 8
"ImageMagick 6.5.7 Q16_is1" = ImageMagick 6.5.7-9 Q16 (2009-11-15)
"InfraRecorder" = InfraRecorder
"Inkscape" = Inkscape 0.46
"IrfanView" = IrfanView (remove only)
"JAP" = JAP
"JonDoUninstall" = JonDo
"Little Math Helper_is1" = Little Math Helper 3.0
"LyX" = LyX 1.6.3-2
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft Visual Basic 2008 Express Edition with SP1 - DEU" = Microsoft Visual Basic 2008 Express Edition mit SP1 - DEU
"MiKTeX 2.7" = MiKTeX 2.7
"MinGW" = MinGW 5.1.4
"Mozilla Firefox (3.5.7)" = Mozilla Firefox (3.5.7)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"nbi-nb-base-6.5.0.0.200811100001" = NetBeans IDE 6.5
"Nero 7 Lite_is1" = Nero Lite 7.8.5.0
"NetBrute Scanner Security Suite" = NetBrute Scanner Security Suite
"Orbit_is1" = Orbit Downloader
"PhET 1.0" = PhET
"Phun_is1" = Phun beta 4.22
"PokerStars.net" = PokerStars.net
"PunkBusterSvc" = PunkBuster Services
"Qt Eclipse Integration 1.4.3 - C:_Programme_Trolltech_Eclipse" = Qt Eclipse Integration 1.4.3
"Qt OpenSource 4.4.3 - C:_Qt_4.4.3" = Qt OpenSource 4.4.3
"RealPlayer 12.0" = RealPlayer
"Ruff-FTP_is1" = Ruff-Tech
"S4Uninst" = Die Siedler IV
"scilab-4.1.2_is1" = scilab-4.1.2
"Security Task Manager" = Security Task Manager 1.7h
"ST6UNST #1" = Date Cracker 2000
"Stellarium_is1" = Stellarium 0.10.2
"TeXnicCenter_is1" = TeXnicCenter Version 1 Beta 7.01 (Greengrass)
"Trillian" = Trillian
"VCam 3.1_is1" = VCam 3.1.1
"webcamXP" = webcamXP 2007
"Webocton - Scriptly_is1" = Webocton - Scriptly 0.8.95.3
"WIC" = Windows Imaging Component
"WinDjView" = WinDjView 1.0.1
"Windows Media Format Runtime" = Windows Media Format Runtime
"WinGimp-2.0_is1" = GIMP 2.4.5
"WinPcapInst" = WinPcap 4.0.2
"WinRAR archiver" = WinRAR
"WinShell_is1" = WinShell
"Wireshark" = Wireshark 1.0.4
"WMFDist11" = Windows Media Format 11 runtime
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Circuit Construction Kit (DC Only)" = Circuit Construction Kit (DC Only)
"dac3872c7adba82f" = EasyGrafiker starten
"Faraday's Electromagnetic Lab" = Faraday's Electromagnetic Lab
"GChess" = GChess
"MiKTeX 2.7" = MiKTeX 2.7
"Nuclear Physics" = Nuclear Physics
"Radio Waves" = Radio Waves
"Reversible Reactions" = Reversible Reactions
"The Photoelectric Effect" = The Photoelectric Effect
"Wave Interference" = Wave Interference
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 10.12.2009 14:30:50 | Computer Name = CHRIS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3593, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 10.12.2009 14:30:52 | Computer Name = CHRIS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3593, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 10.12.2009 14:42:49 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 11.12.2009 10:51:23 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 12.12.2009 06:00:34 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 13.12.2009 05:31:47 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 14.12.2009 15:07:21 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 15.12.2009 08:29:31 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 16.12.2009 11:40:51 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 17.12.2009 07:29:19 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
[ Application Events ]
Error - 10.12.2009 14:30:50 | Computer Name = CHRIS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3593, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 10.12.2009 14:30:52 | Computer Name = CHRIS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3593, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 10.12.2009 14:42:49 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 11.12.2009 10:51:23 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 12.12.2009 06:00:34 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 13.12.2009 05:31:47 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 14.12.2009 15:07:21 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 15.12.2009 08:29:31 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 16.12.2009 11:40:51 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
Error - 17.12.2009 07:29:19 | Computer Name = CHRIS | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
 ist ein unerwarteter Fehler aufgetreten. hr = 0x8007007e.
 
[ System Events ]
Error - 06.01.2010 16:17:56 | Computer Name = CHRIS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "COM+-Ereignissystem" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 06.01.2010 16:17:56 | Computer Name = CHRIS | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Systemereignisbenachrichtigung" ist vom Dienst "COM+-Ereignissystem"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%126
 
Error - 06.01.2010 18:14:03 | Computer Name = CHRIS | Source = PlugPlayManager | ID = 11
Description = Das Gerät "Root\LEGACY_ZOHVBU\0000" wurde ohne vorbereitende Maßnahmen
 vom System entfernt.
 
Error - 06.01.2010 18:17:22 | Computer Name = CHRIS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "COM+-Ereignissystem" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 06.01.2010 18:17:22 | Computer Name = CHRIS | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Systemereignisbenachrichtigung" ist vom Dienst "COM+-Ereignissystem"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%126
 
Error - 07.01.2010 05:58:44 | Computer Name = CHRIS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "COM+-Ereignissystem" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 07.01.2010 05:58:44 | Computer Name = CHRIS | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Systemereignisbenachrichtigung" ist vom Dienst "COM+-Ereignissystem"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%126
 
Error - 07.01.2010 09:27:54 | Computer Name = CHRIS | Source = Service Control Manager | ID = 7023
Description = Der Dienst "COM+-Ereignissystem" wurde mit folgendem Fehler beendet:
   %%126
 
Error - 07.01.2010 09:27:54 | Computer Name = CHRIS | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Systemereignisbenachrichtigung" ist vom Dienst "COM+-Ereignissystem"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%126
 
Error - 09.01.2010 19:25:43 | Computer Name = CHRIS | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\WINDOWS\System32\SHDOCVW.dll
 fehlgeschlagen.  Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet.  .
 
 
< End of report >

Chris4You · 10.01.2010, 12:31

Hi,

durch die Reparatur ist das ganze schön unübersichtlich geworden...

Es wurde ein Dienst "LEGACY_ZOHVBU" entfernt, der nach Malware "riecht"...

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen!
(nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\Programme\ICQ6Toolbar\ICQ Service.exe (kann auch was anderes sein)
C:\WINDOWS\System32\JJAKEn.dll (gibt einen gleichnamigen Wurm)

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Versuche mir irgendwie das GMER-Log zukommen zu lassen, ev. als screenshots oder im abgesicherten Modus (F8 beim Booten)...

Lt. dem Log von OTL ist CF nach dem Booten nicht richtig angelaufen, iregendwas hat den Start von CF oder von Windows verhindert...

ESET Online Scanner (http://www.eset.com/onlinescan/)

* Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
* Button "ESET Online Scanner" drücken.
* Firefox-User müssen ein zusätzliches Addon (esetsmartinstaller_enu.exe) installieren.
* Das Firefox-Addon auf dem Desktop speichern und dann installieren.
* IE-User müssen das Installieren eines ActiveX Elements erlauben.
* Einen Haken bei "Remove found threads" und "Scan archives" machen.
* Start drücken.
* Der Scan beginnt automatisch.
* Finish drücken.
* Browser schließen.
* Explorer öffnen.
* C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
* Logfile hier posten.

chris

Capella · 10.01.2010, 14:44

Okay hier das GMER Log:

Code:

ATTFilter

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-10 14:36:18
Windows 5.1.2600 Service Pack 1
Running: GMER.exe; Driver: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\kxtdqpod.sys


---- System - GMER 1.0.15 ----

SSDT            F7EAAA0E                                                                                        ZwCreateKey
SSDT            \??\C:\WINDOWS\System32\drivers\mbam.sys (Malwarebytes' Anti-Malware/Malwarebytes Corporation)  ZwCreateSection [0xA7D4A000]
SSDT            F7EAAA04                                                                                        ZwCreateThread
SSDT            F7EAAA13                                                                                        ZwDeleteKey
SSDT            F7EAAA1D                                                                                        ZwDeleteValueKey
SSDT            F7EAAA22                                                                                        ZwLoadKey
SSDT            F7EAA9F0                                                                                        ZwOpenProcess
SSDT            F7EAA9F5                                                                                        ZwOpenThread
SSDT            F7EAAA2C                                                                                        ZwReplaceKey
SSDT            F7EAAA27                                                                                        ZwRestoreKey
SSDT            F7EAAA18                                                                                        ZwSetValueKey
SSDT            F7EAA9FF                                                                                        ZwTerminateProcess
SSDT            F7EAA9FA                                                                                        ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!KeInitializeInterrupt + B67                                                        804DA23C 1 Byte  [06]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0                                                8050262C 1 Byte  [0E]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1B0                                                8050262C 4 Bytes  [0E, AA, EA, F7]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1D4                                                80502650 4 Bytes  [00, A0, D4, A7]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 1E0                                                8050265C 4 Bytes  [04, AA, EA, F7]
.text           ntoskrnl.exe!KeI386Call16BitCStyleFunction + 208                                                80502684 4 Bytes  [13, AA, EA, F7]
.text           ...                                                                                             

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[332] USER32.dll!GetSysColor                    77D141CE 6 Bytes  JMP 100205E0 C:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text           C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[332] USER32.dll!GetSysColorBrush               77D16197 6 Bytes  JMP 1002061F C:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text           C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[332] USER32.dll!SetScrollInfo                  77D161E0 7 Bytes  JMP 10020574 C:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text           C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[332] USER32.dll!SetScrollRange                 77D19F8E 6 Bytes  JMP 100205AA C:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text           C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[332] USER32.dll!GetScrollInfo                  77D1AC29 7 Bytes  JMP 10020523 C:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text           C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[332] USER32.dll!ShowScrollBar                  77D280B7 5 Bytes  JMP 100205C5 C:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text           C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[332] USER32.dll!EnableScrollBar                77D2EC7A 7 Bytes  JMP 10020508 C:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text           C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[332] USER32.dll!SetScrollPos                   77D31C69 6 Bytes  JMP 1002058F C:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text           C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[332] USER32.dll!GetScrollPos                   77D31CE9 9 Bytes  JMP 1002053E C:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)
.text           C:\Programme\GMX\GMX MultiMessenger\MESSENGR.EXE[332] USER32.dll!GetScrollRange                 77D3257A 6 Bytes  JMP 10020559 C:\Programme\GMX\GMX MultiMessenger\SkinMagic.dll (SkinMagic Toolkit/Appspeed Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                          avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Threads - GMER 1.0.15 ----

Thread          System [4:580]                                                                                  AA0DBDE0
Thread          System [4:584]                                                                                  AA0CF390

---- EOF - GMER 1.0.15 ----

Capella · 10.01.2010, 15:02

ICQ Service.exe

Code:

ATTFilter

weitere Informationen
File size: 222968 bytes
MD5   : f88e5dc5ca4c3f1aeb32169ab20d0b5a
SHA1  : 4169949f2bbf13551587304df3b887d100c80662
SHA256: a060c4230cac4b15642be5201f31bc07dc59161e8a2c61ceb373a80810b55e41
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11496
timedatestamp.....: 0x4A2429B6 (Mon Jun 1 21:19:18 2009)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x26F6A 0x27000 6.64 ea25afd2ccd4e4f6625247cbd78e425f
.rdata 0x28000 0xB80E 0xBA00 6.05 8031e4c028ca12c8561d031b03ab0f4e
.data 0x34000 0x38FC 0x1800 3.43 2c8624e361788487251cb6024c4aa91d
.rsrc 0x38000 0xBBC 0xC00 4.24 450117dc4c889314f0f66a7d18e16f9a

( 12 imports )

> advapi32.dll: ControlService, DeleteService, CreateServiceW, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, OpenThreadToken, OpenProcessToken, GetTokenInformation, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, IsValidSid, GetLengthSid, CopySid, RegDeleteValueW, RegDeleteKeyW, SetServiceStatus, RegisterEventSourceW, ReportEventW, DeregisterEventSource, OpenSCManagerW, OpenServiceW, CloseServiceHandle, RegOpenKeyExW, RegQueryInfoKeyW, RegEnumKeyExW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegCloseKey, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorSacl, SetSecurityInfo
> crypt32.dll: CertCompareCertificate, CertFreeCertificateContext
> kernel32.dll: FreeLibrary, LoadLibraryExW, GetCommandLineW, ReleaseMutex, FindClose, FindNextFileW, RemoveDirectoryW, FindFirstFileW, WideCharToMultiByte, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, EnterCriticalSection, LeaveCriticalSection, GetLocaleInfoW, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, CreateFileW, InitializeCriticalSectionAndSpinCount, LoadLibraryA, lstrcmpiW, InterlockedIncrement, GetCurrentThread, GetCurrentProcess, CloseHandle, GetModuleHandleW, GetProcAddress, InterlockedDecrement, DeleteCriticalSection, InitializeCriticalSection, RaiseException, Sleep, MoveFileExW, CreateDirectoryW, DeleteFileW, MoveFileW, GetModuleFileNameW, GetCurrentThreadId, lstrlenW, CreateEventW, WaitForSingleObject, LocalFree, FindResourceExW, FindResourceW, LoadResource, LockResource, SizeofResource, GetLastError, lstrcpynW, SetEndOfFile, CreateFileA, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, SetFilePointer, ReadFile, FlushFileBuffers, VirtualAlloc, GetConsoleMode, GetConsoleCP, SetStdHandle, IsValidCodePage, GetOEMCP, GetACP, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, VirtualFree, HeapCreate, SetLastError, CreateMutexW, MultiByteToWideChar, CreateThread, GetStartupInfoW, RtlUnwind, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetSystemTimeAsFileTime, SetFileAttributesW, GetFileAttributesW, LCMapStringA, LCMapStringW, GetCPInfo, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree
> msi.dll: -
> ole32.dll: CoRevokeClassObject, CoRegisterClassObject, CoTaskMemAlloc, CoTaskMemRealloc, CoCreateInstance, CoTaskMemFree, StringFromGUID2, CoInitializeSecurity, CoInitialize, CoUninitialize
> oleaut32.dll: -, -, -, -, -, -, -
> setupapi.dll: SetupIterateCabinetW
> shell32.dll: SHGetFolderPathW
> shlwapi.dll: PathAppendW
> urlmon.dll: URLDownloadToFileW
> user32.dll: GetMessageW, DispatchMessageW, PostThreadMessageW, FindWindowW, CharNextW, LoadStringW
> wininet.dll: DeleteUrlCacheEntryW

( 0 exports )
TrID  : File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
ssdeep: 3072:6mU9uPt6BHluXWGcQTfYmvmxTizzVQLrXlnmWpas5/HQWcLP39R7SA0kYa7aob52:6mUE2lumGbJvETEzeLrXlmaK3GA5+oHg
PEiD  : -
RDS   : NSRL Reference Data Set
-

C:\WINDOWS\System32\JJAKEn.dll

Code:

ATTFilter

weitere Informationen
File size: 49152 bytes
MD5...: b9fecd748f2d0096bcf1da11579eba13
SHA1..: 01d8908429d05246376e5583c4c3f9ecba54b31c
SHA256: f37ec3159500335e7d252993a5aab4843e482f76f73549f05bb670b8b3d4fc2b
ssdeep: 768:HGs24q53dpPYxj/0Baho9S4AJKqBz8MZ2pHlA:me+3dpPY9/0N9S4A3spFA
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2fd7
timedatestamp.....: 0x42f1adae (Thu Aug 04 05:54:54 2005)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2156 0x3000 5.10 1a458ddfe99621ff4c71fed02de4a2d6
.rdata 0x4000 0x40f1 0x5000 6.45 11f734264df7ef8af9d2ad2b9f8702f7
.data 0x9000 0x1314 0x1000 0.62 03c4d885938ccadd6c203aacc158c4ed
.rsrc 0xb000 0x350 0x1000 0.87 4401212d5935d81ad617a2e834011f44
.reloc 0xc000 0x340 0x1000 1.74 2b909f684e307632182942796b68ad6e

( 3 imports )
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: _adjust_fdiv, malloc, _initterm, free, __1type_info@@UAE@XZ, _onexit, __dllonexit, _CxxThrowException, __0exception@@QAE@ABQBD@Z, __1exception@@UAE@XZ, __0exception@@QAE@ABV0@@Z, __CxxFrameHandler
> KERNEL32.dll: LocalFree, LocalAlloc

( 2 exports )
JJDe, JJEn
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....:
copyright....: Copyright (C) 2005
product......: JJAKEn Dynamic Link Library
description..: JJAKEn DLL
original name: JJAKEn.DLL
internal name: JJAKEn
file version.: 1, 0, 0, 1
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Capella · 10.01.2010, 15:06

Kann man auch irgendwie GMER automatisch die logs irgwendwo speichern lassen??

Capella · 10.01.2010, 15:49

Irgendwie liegen nun 3 jpg Bilder aufm Desktiop und als ich die löschen wollte, wird gesagt, dass das Systemdateien sind?! Ich dachte ich wäre schon sauber, oder was ist das?

Und ESET dauert ja ewig.

Capella · 10.01.2010, 18:06

So nun ESET:

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=a182205a166dd94389c6bd6d3701ca17
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-01-10 05:00:13
# local_time=2010-01-10 06:00:13 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 341211 341211 0 0
# compatibility_mode=1792 16777215 100 0 81242 81242 0 0
# compatibility_mode=8192 67108863 100 0 3898 3898 0 0
# scanned=232244
# found=2
# cleaned=2
# scan_time=10150
C:\php\exploit.php	probably a variant of Perl/Exploit.Small.D trojan (cleaned by deleting - quarantined)	00000000000000000000000000000000	C
C:\Programme\ClearProg\Setup_ClearProg_1.5.1_Beta3.exe	a variant of Win32/Adware.ADON application (deleted - quarantined)	00000000000000000000000000000000	C

Capella · 10.01.2010, 18:09

Wollte nun die UBCD erstellen, doch es gab am Schluss einen Fehler:

Code:

ATTFilter

Erstellung des ISO Abbildes erfolgreich
Ermittle Geräteinformation
Gerät: 'HP      ' - 'DVD Writer 640c ' - 'CS30' (2097152 bytes cache)
Test unit bereit
Schutz gegen Buffer Underrun eingeschaltet
Schreibgeschwindigkeit: 22x (3324 KBps)
Ermittle Information zum Medium
Medium kann gelöscht werden: Ja
Lösche Medium
Schreibe Daten auf CD/DVD
Starte Dateianalyse
Image Größe: 731971584 bytes
DVD media padding
Schließe Sitzung
Überprüfe Daten
Datenprüfung erfolgreich.
Medien-Auswurf
Fehler: StarBurn_CdvdBurnerGrabber_Eject() fehlgeschlagen, exception 8, status 41630288, text 'CStarBurn_ScsiTransportSPTI::ExecuteCDB(): Command failed' 
Erstellung abgeschlossen...
Gemeldet wurden 1 Fehler und 1 Warnungen
Die Verwendung von [<<] und [>>] ermöglicht ein vor-/zurück Springen zu Zeilen mit Anzeige eines Fehler/Warnung.

Chris4You · 10.01.2010, 20:29

Hi,

der Reihe nach...
War das eine CD die du gebrannt hast? Mit einer Image Größe: 731971584 bytes wäre das für eine CD etwas zu groß. Ansonsten konnte er die Scheibe nicht auswerfen, was nicht heissen muss das sie nicht tut (einfach ausprobieren ob Du von Ihr lesen bzw. booten kannst). Das würde ich dann auch mal vorschlagen und dann den Rechner von CD/DVD aus mal scannen lassen. Wenn es nicht geklappt hat, erstelle einfach die ISO-Datei und lasse sie mit Nero etc. brennen...

Bei den Virustotal-Logs fehlen leider die Ausgaben der Scanner, so dass keine Aussage möglich ist.

Was für drei Bilder sind denn wann auf dem Desktop gelandet (snapshot).
Wenn es Verknüpfungen sind, wo weissen sie hinß

Das GMER-Log sieht soweit gut aus...

chris
Ps.: Eine Garantie, dass der Rechner sauber ist, kann keiner geben, den Takt geben die Häcker vor, nicht wir...
Wenn Du Dir sicher sein willst, musst Du Neuaufsetzen...

Capella · 10.01.2010, 20:53

Das war ne DVD. Ich kann nichts lesen.

ICQ_Service.exe

Code:

ATTFilter

a-squared	4.5.0.48	2010.01.10	-
AhnLab-V3	5.0.0.2	2010.01.10	-
AntiVir	7.9.1.134	2010.01.10	-
Antiy-AVL	2.0.3.7	2010.01.08	-
Authentium	5.2.0.5	2010.01.10	-
Avast	4.8.1351.0	2010.01.10	-
AVG	8.5.0.430	2010.01.04	-
BitDefender	7.2	2010.01.10	-
CAT-QuickHeal	10.00	2010.01.09	-
ClamAV	0.94.1	2010.01.09	-
Comodo	3536	2010.01.10	-
DrWeb	5.0.1.12222	2010.01.10	-
eSafe	7.0.17.0	2010.01.10	-
eTrust-Vet	35.2.7226	2010.01.08	-
F-Prot	4.5.1.85	2010.01.10	-
F-Secure	9.0.15370.0	2010.01.10	-
Fortinet	4.0.14.0	2010.01.09	-
GData	19	2010.01.10	-
Ikarus	T3.1.1.80.0	2010.01.10	-
Jiangmin	13.0.900	2010.01.10	-
K7AntiVirus	7.10.943	2010.01.09	-
Kaspersky	7.0.0.125	2010.01.10	-
McAfee	5857	2010.01.10	-
McAfee+Artemis	5857	2010.01.10	-
McAfee-GW-Edition	6.8.5	2010.01.10	-
Microsoft	1.5302	2010.01.10	-
NOD32	4759	2010.01.10	-
Norman	6.04.03	2010.01.10	-
nProtect	2009.1.8.0	2010.01.10	-
Panda	10.0.2.2	2010.01.10	-
PCTools	7.0.3.5	2010.01.10	-
Prevx	3.0	2010.01.10	-
Rising	22.29.06.04	2010.01.10	-
Sophos	4.49.0	2010.01.10	-
Sunbelt	3.2.1858.2	2010.01.10	-
Symantec	20091.2.0.41	2010.01.10	-
TheHacker	6.5.0.3.145	2010.01.10	-
TrendMicro	9.120.0.1004	2010.01.10	-
VBA32	3.12.12.1	2010.01.09	-
ViRobot	2010.1.8.2128	2010.01.08	-
VirusBuster	5.0.21.0	2010.01.10	-
weitere Informationen
File size: 222968 bytes
MD5...: f88e5dc5ca4c3f1aeb32169ab20d0b5a
SHA1..: 4169949f2bbf13551587304df3b887d100c80662
SHA256: a060c4230cac4b15642be5201f31bc07dc59161e8a2c61ceb373a80810b55e41
ssdeep: 3072:6mU9uPt6BHluXWGcQTfYmvmxTizzVQLrXlnmWpas5/HQWcLP39R7SA0kYa7
aob52:6mUE2lumGbJvETEzeLrXlmaK3GA5+oHg
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11496
timedatestamp.....: 0x4a2429b6 (Mon Jun 01 19:19:18 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x26f6a 0x27000 6.64 ea25afd2ccd4e4f6625247cbd78e425f
.rdata 0x28000 0xb80e 0xba00 6.05 8031e4c028ca12c8561d031b03ab0f4e
.data 0x34000 0x38fc 0x1800 3.43 2c8624e361788487251cb6024c4aa91d
.rsrc 0x38000 0xbbc 0xc00 4.24 450117dc4c889314f0f66a7d18e16f9a

( 12 imports )
> urlmon.dll: URLDownloadToFileW
> WININET.dll: DeleteUrlCacheEntryW
> SETUPAPI.dll: SetupIterateCabinetW
> KERNEL32.dll: FreeLibrary, LoadLibraryExW, GetCommandLineW, ReleaseMutex, FindClose, FindNextFileW, RemoveDirectoryW, FindFirstFileW, WideCharToMultiByte, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, EnterCriticalSection, LeaveCriticalSection, GetLocaleInfoW, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, CreateFileW, InitializeCriticalSectionAndSpinCount, LoadLibraryA, lstrcmpiW, InterlockedIncrement, GetCurrentThread, GetCurrentProcess, CloseHandle, GetModuleHandleW, GetProcAddress, InterlockedDecrement, DeleteCriticalSection, InitializeCriticalSection, RaiseException, Sleep, MoveFileExW, CreateDirectoryW, DeleteFileW, MoveFileW, GetModuleFileNameW, GetCurrentThreadId, lstrlenW, CreateEventW, WaitForSingleObject, LocalFree, FindResourceExW, FindResourceW, LoadResource, LockResource, SizeofResource, GetLastError, lstrcpynW, SetEndOfFile, CreateFileA, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, SetFilePointer, ReadFile, FlushFileBuffers, VirtualAlloc, GetConsoleMode, GetConsoleCP, SetStdHandle, IsValidCodePage, GetOEMCP, GetACP, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, VirtualFree, HeapCreate, SetLastError, CreateMutexW, MultiByteToWideChar, CreateThread, GetStartupInfoW, RtlUnwind, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetSystemTimeAsFileTime, SetFileAttributesW, GetFileAttributesW, LCMapStringA, LCMapStringW, GetCPInfo, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree
> USER32.dll: GetMessageW, DispatchMessageW, PostThreadMessageW, FindWindowW, CharNextW, LoadStringW
> ADVAPI32.dll: ControlService, DeleteService, CreateServiceW, StartServiceCtrlDispatcherW, RegisterServiceCtrlHandlerW, OpenThreadToken, OpenProcessToken, GetTokenInformation, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, IsValidSid, GetLengthSid, CopySid, RegDeleteValueW, RegDeleteKeyW, SetServiceStatus, RegisterEventSourceW, ReportEventW, DeregisterEventSource, OpenSCManagerW, OpenServiceW, CloseServiceHandle, RegOpenKeyExW, RegQueryInfoKeyW, RegEnumKeyExW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, RegCloseKey, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorSacl, SetSecurityInfo
> ole32.dll: CoRevokeClassObject, CoRegisterClassObject, CoTaskMemAlloc, CoTaskMemRealloc, CoCreateInstance, CoTaskMemFree, StringFromGUID2, CoInitializeSecurity, CoInitialize, CoUninitialize
> SHELL32.dll: SHGetFolderPathW
> OLEAUT32.dll: -, -, -, -, -, -, -
> SHLWAPI.dll: PathAppendW
> msi.dll: -
> CRYPT32.dll: CertCompareCertificate, CertFreeCertificateContext

( 0 exports )
RDS...: NSRL Reference Data Set
-
sigcheck:
publisher....:
copyright....: Copyright 2007
product......: ICQIEUpdater Module
description..: ICQIEUpdater Module
original name: ICQ Service.EXE
internal name: ICQIEUpdater
file version.: 1, 0, 0, 1
comments.....: n/a
signers......: ICQ
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 8:20 PM 6/1/2009
verified.....: -
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)

JJAKEn.dll

Code:

ATTFilter

a-squared	4.5.0.48	2010.01.10	-
AhnLab-V3	5.0.0.2	2010.01.10	-
AntiVir	7.9.1.134	2010.01.10	-
Antiy-AVL	2.0.3.7	2010.01.08	-
Authentium	5.2.0.5	2010.01.10	-
Avast	4.8.1351.0	2010.01.10	-
AVG	8.5.0.430	2010.01.04	-
BitDefender	7.2	2010.01.10	-
CAT-QuickHeal	10.00	2010.01.09	-
ClamAV	0.94.1	2010.01.09	-
Comodo	3536	2010.01.10	-
DrWeb	5.0.1.12222	2010.01.10	-
eSafe	7.0.17.0	2010.01.10	-
eTrust-Vet	35.2.7226	2010.01.08	-
F-Prot	4.5.1.85	2010.01.10	-
F-Secure	9.0.15370.0	2010.01.10	-
Fortinet	4.0.14.0	2010.01.09	-
GData	19	2010.01.10	-
Ikarus	T3.1.1.80.0	2010.01.10	-
Jiangmin	13.0.900	2010.01.10	-
K7AntiVirus	7.10.943	2010.01.09	-
Kaspersky	7.0.0.125	2010.01.10	-
McAfee	5857	2010.01.10	-
McAfee+Artemis	5857	2010.01.10	-
McAfee-GW-Edition	6.8.5	2010.01.10	-
Microsoft	1.5302	2010.01.10	-
NOD32	4759	2010.01.10	-
Norman	6.04.03	2010.01.10	-
nProtect	2009.1.8.0	2010.01.10	-
Panda	10.0.2.2	2010.01.10	-
PCTools	7.0.3.5	2010.01.10	-
Prevx	3.0	2010.01.10	-
Rising	22.29.06.04	2010.01.10	-
Sophos	4.49.0	2010.01.10	-
Sunbelt	3.2.1858.2	2010.01.10	-
Symantec	20091.2.0.41	2010.01.10	-
TheHacker	6.5.0.3.145	2010.01.10	-
TrendMicro	9.120.0.1004	2010.01.10	-
VBA32	3.12.12.1	2010.01.09	-
ViRobot	2010.1.8.2128	2010.01.08	-
VirusBuster	5.0.21.0	2010.01.10	-
weitere Informationen
File size: 49152 bytes
MD5...: b9fecd748f2d0096bcf1da11579eba13
SHA1..: 01d8908429d05246376e5583c4c3f9ecba54b31c
SHA256: f37ec3159500335e7d252993a5aab4843e482f76f73549f05bb670b8b3d4fc2b
ssdeep: 768:HGs24q53dpPYxj/0Baho9S4AJKqBz8MZ2pHlA:me+3dpPY9/0N9S4A3spFA
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2fd7
timedatestamp.....: 0x42f1adae (Thu Aug 04 05:54:54 2005)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2156 0x3000 5.10 1a458ddfe99621ff4c71fed02de4a2d6
.rdata 0x4000 0x40f1 0x5000 6.45 11f734264df7ef8af9d2ad2b9f8702f7
.data 0x9000 0x1314 0x1000 0.62 03c4d885938ccadd6c203aacc158c4ed
.rsrc 0xb000 0x350 0x1000 0.87 4401212d5935d81ad617a2e834011f44
.reloc 0xc000 0x340 0x1000 1.74 2b909f684e307632182942796b68ad6e

( 3 imports )
> MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MSVCRT.dll: _adjust_fdiv, malloc, _initterm, free, __1type_info@@UAE@XZ, _onexit, __dllonexit, _CxxThrowException, __0exception@@QAE@ABQBD@Z, __1exception@@UAE@XZ, __0exception@@QAE@ABV0@@Z, __CxxFrameHandler
> KERNEL32.dll: LocalFree, LocalAlloc

( 2 exports )
JJDe, JJEn
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....:
copyright....: Copyright (C) 2005
product......: JJAKEn Dynamic Link Library
description..: JJAKEn DLL
original name: JJAKEn.DLL
internal name: JJAKEn
file version.: 1, 0, 0, 1
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Chris4You · 10.01.2010, 21:45

Hi,

Die Datei "Desktop.ini" wird nur angezeigt, wenn bei "Ordneroptionen" im Tabreiter "Ansicht" unter "Erweiterte Einstellungen" die Option Geschützte_Systemdateien ausblenden (empfohlen) deaktiviert wurde.
Mach das einfach mal rückgängig...

Und das kann von dem hier herkommen:
http://www.trojaner-board.de/54791-a...tml#post349565

Noch eine Frage am Rande, was machst du damit:
C:\php\exploit.php

chris

Capella · 10.01.2010, 21:53

Zitat:

Zitat von Chris4You

Hi,

Noch eine Frage am Rande, was machst du damit:
C:\php\exploit.php

Keine Ahnung.

und woher kommen die Bilddateien?

Capella · 10.01.2010, 22:01

Ich hab auch mal ein Antivir Log gemacht:
1 Fund.

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 10. Januar 2010  18:38

Es wird nach 1512219 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 1)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : CHRIS

Versionsinformationen:
BUILD.DAT      : 9.0.0.418     21723 Bytes   2.12.2009 16:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes   13.2.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes   20.2.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes   26.1.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes   6.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 17:30:16
VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 17:30:16
VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 17:30:16
VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 17:30:17
VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 17:30:17
VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 17:30:17
VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 17:30:17
VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 17:30:17
VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 17:30:18
VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 17:30:18
VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 17:30:18
VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 17:30:18
VBASE013.VDF   : 7.10.1.79    209920 Bytes  25.11.2009 17:30:20
VBASE014.VDF   : 7.10.1.128    197632 Bytes  30.11.2009 17:30:21
VBASE015.VDF   : 7.10.1.178    195584 Bytes   7.12.2009 17:30:23
VBASE016.VDF   : 7.10.1.224    183296 Bytes  14.12.2009 17:30:24
VBASE017.VDF   : 7.10.1.247    182272 Bytes  15.12.2009 17:30:26
VBASE018.VDF   : 7.10.2.30    198144 Bytes  21.12.2009 17:30:29
VBASE019.VDF   : 7.10.2.63    187392 Bytes  24.12.2009 17:30:31
VBASE020.VDF   : 7.10.2.93    195072 Bytes  29.12.2009 17:30:33
VBASE021.VDF   : 7.10.2.131    201216 Bytes    7.1.2010 17:30:37
VBASE022.VDF   : 7.10.2.132      2048 Bytes    7.1.2010 17:30:37
VBASE023.VDF   : 7.10.2.133      2048 Bytes    7.1.2010 17:30:37
VBASE024.VDF   : 7.10.2.134      2048 Bytes    7.1.2010 17:30:37
VBASE025.VDF   : 7.10.2.135      2048 Bytes    7.1.2010 17:30:37
VBASE026.VDF   : 7.10.2.136      2048 Bytes    7.1.2010 17:30:37
VBASE027.VDF   : 7.10.2.137      2048 Bytes    7.1.2010 17:30:38
VBASE028.VDF   : 7.10.2.138      2048 Bytes    7.1.2010 17:30:38
VBASE029.VDF   : 7.10.2.139      2048 Bytes    7.1.2010 17:30:38
VBASE030.VDF   : 7.10.2.140      2048 Bytes    7.1.2010 17:30:38
VBASE031.VDF   : 7.10.2.152    148992 Bytes   10.1.2010 17:30:39
Engineversion  : 8.2.1.134
AEVDF.DLL      : 8.1.1.2      106867 Bytes   8.11.2009 06:38:52
AESCRIPT.DLL   : 8.1.3.7      594296 Bytes   10.1.2010 17:31:00
AESCN.DLL      : 8.1.3.0      127348 Bytes   10.1.2010 17:30:59
AESBX.DLL      : 8.1.1.1      246132 Bytes   8.11.2009 06:38:44
AERDL.DLL      : 8.1.3.4      479605 Bytes   10.1.2010 17:30:58
AEPACK.DLL     : 8.2.0.4      422263 Bytes   10.1.2010 17:30:56
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes   8.11.2009 06:38:38
AEHEUR.DLL     : 8.1.0.194   2228599 Bytes   10.1.2010 17:30:54
AEHELP.DLL     : 8.1.9.0      237943 Bytes   10.1.2010 17:30:44
AEGEN.DLL      : 8.1.1.83     369014 Bytes   10.1.2010 17:30:43
AEEMU.DLL      : 8.1.1.0      393587 Bytes   8.11.2009 06:38:26
AECORE.DLL     : 8.1.9.1      180598 Bytes   10.1.2010 17:30:41
AEBB.DLL       : 8.1.0.3       53618 Bytes   8.11.2009 06:38:20
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes   26.8.2009 14:13:59
AVREP.DLL      : 8.0.0.3      155905 Bytes   20.1.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes   7.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes   24.3.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes   30.1.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes   28.1.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes    2.2.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes   7.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes   15.5.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: löschen
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, I:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +SPR,

Beginn des Suchlaufs: Sonntag, 10. Januar 2010  18:38

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '67913' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'orbitnet.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'trillian.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'orbitdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSI US54EX Wireless Client Utility.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MESSENGR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ANIWZCSdS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'I:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\ComboFix\ClsidFiles
    [FUND]      Enthält verdächtigen Code: HEUR/HTML.Malware
    [HINWEIS]   Der Fund wurde als verdächtig eingestuft.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4bbd11bd.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\Christopher\Anwendungsdaten\Sun\Java\jdk1.6.0_11\sd160110.cab
  [0] Archivtyp: CAB (Microsoft)
    --> applets.zip
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
    [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\Christopher\Desktop\zaSetup_91_007_002en.exe
  [0] Archivtyp: ZIP SFX (self extracting)
    --> SWITCHUNINST_44ZONE LABS.EXE
      [1] Archivtyp: RSRC
    --> WINDOWS6.0-KB929547-V2-X64.MSU
      [1] Archivtyp: CAB (Microsoft)
      --> Windows6.0-KB929547-v2-x64.cab
        [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP6\A0002331.sys
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b7a3907.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [1005]: Auf dem Datenträger befindet sich kein erkanntes Dateisystem.


Ende des Suchlaufs: Sonntag, 10. Januar 2010  21:54
Benötigte Zeit:  3:15:52 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  22037 Verzeichnisse wurden überprüft
 1230384 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      1 Dateien wurden als verdächtig eingestuft
      1 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 1230381 Dateien ohne Befall
  14502 Archive wurden durchsucht
      4 Warnungen
      3 Hinweise
  67913 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Woher kommt stäändig diese malware??

Chris4You · 10.01.2010, 22:44

Hi,

der einzigste wirkliche Fund ist der in der Systemwiederherstellung:

Zitat:

C:\System Volume Information\_restore{974B9A71-5602-45F2-97B7-FB28C23E5997}\RP6\A0002331.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen

Die Frage ist, wann ist sie da hineingekommen, vor der Bereinigungsorgie oder danach (also neu)...

Von Avira testen prüfen lassen:
Avira per Doppelklick auf das Icon starten, Verwaltung, Quarantäne, die entsprechende Zeile in der Quarantäne anklicken, rechte Maustaste, Senden... (s. Hilfe von Avira)... Warten bis Feedback kommt...

Wenn das nicht geht, dann selbst einsenden an:
http://analysis.avira.com/samples/index.php, die Datei selbst findest Du in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\INFECTED (Guard ausschalten!)

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

S&D LOP:
Lade dir Lop S&D (http://eric.71.mespages.googlepages.com/LopSD.exe) herunter.

Führe Lop S&D.exe per Doppelklick aus.
Bei Vista und Win7 bitte unter Admin-Rechten ausführen!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

chris

malware defense und security alert

Plagegeister aller Art und deren Bekämpfung: malware defense und security alert