Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Log-Analyse und Auswertung: Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 09.04.2010, 16:26   #1
siggi_steve
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Hallo Boarder.
Seitdem ich antivir 10 personal draufgespielt habe, blended es regelmäßig Hinweise,wie "Guard: Autrun blockiert [...] zur ihrer Sicherheit wurde der Zugriff auf die Datei D:\autorun.inf blockiert." ein.
Außerdem kommen Warnungen hinsichtlich eines Trojanischen Pferds: TR/PSW.Frethog.111104.H in unterschiedlichen Dateien mehrfach am Tag.
Die Dateien stehen alle in [Laufwerk D, E oder F]:\System Volume Information\restore***\RP541\A0139838.exe (und ähnlichen Ziffernbeschreibungen).
Habe bereits Spybot und Malwarebytes AM laufen lassen, aber nicht beheben können.
Ggf. kommt der USB-Stick als Urheber des Übels in Frage.
Liegt eine "heilbare" Infektion mit Viren und/oder Trojanern vor? Wie kann ich vorgehen.
Anbei nun das Logfile von Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:00:06, on 09.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Spybot\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\CleanTemp.exe
C:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\HijackThis\HijackThis.exe
D:\Programme\Opera\opera.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite5.1\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite5.1\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1227114119
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - hxxp://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - hxxp://secro.dyndns.org/activex/AxisCamControl.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1215119249
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - hxxp://game06.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CleanTempDir - Océ-Deutschland GmbH - C:\WINDOWS\CleanTemp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe
O23 - Service: Vodafone Mobile Connect Service (VMCService) - Vodafone - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
--
End of file - 7857 bytes

Gruß sigg

Alt 09.04.2010, 18:39   #2
Sion
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


1. Deinstalliere Spybot. Das Teil wird versuchen, Systemänderungen rückgängig zu machen, was bei einer Bereinigung problematisch ist. Kannst ihn später wieder installieren, wobei das Programm heutzutage relativ nutzlos ist.

2. Hol dir Flash Disinfector
Schließe alle USB-Sticks, extrene Festplatten usw. an.
Starte Flash Disinfector.
Nicke alles ab.
Warte bis der Scan beendet ist.

3. Poste das Log von Malwarebytes Scan. Kein neuer Scan, das alte Log posten.

4. http://www.trojaner-board.de/74908-a...t-scanner.html
Log posten.

5. Hol dir OTL
Starte OTL
Kopiere unten in das Skript-Feld rein:

Zitat:
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
nvraid.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav

Schließe alle anderen Programme.
Klicke auf Quick Scan.
Poste die beiden Logs - OTL.txt und Extras.txt
__________________
Alt 10.04.2010, 17:23   #3
siggi_steve
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Hallo Sion, vorab bedanke ich mich für deine Anleitung.
Beim Durchlauf des Flash Desinfectors kam letztlich nur ein abschließendes Fenster mit: "Done!".

Anbei das Malewarebytes Log:
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

09.04.2010 15:45:33
mbam-log-2010-04-09 (15-45-12).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 416
Laufzeit: 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
k:\USBSYSTEM\usp.exe (Malware.packer) -> No action taken.

Fahre nun so fort, wie vorgeschlagen.
Salut.
__________________
Alt 10.04.2010, 17:33   #4
Highway2010
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Öhm ein vollständiger Scan wäre besser
__________________
MfG
Thomas

Gras wächst auch nicht schneller, wenn man daran zieht.

Alt 10.04.2010, 20:23   #5
siggi_steve
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Nummero Eins: Die Logdatei von GMER.

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-04-10 20:43:30
Windows 5.1.2600 Service Pack 3
Running: gmer0ld9qe1g.exe; Driver: D:\temp\fwlyapoc.sys


---- System - GMER 1.0.15 ----

SSDT F7EE90C6 ZwCreateKey
SSDT F7EE90BC ZwCreateThread
SSDT F7EE90CB ZwDeleteKey
SSDT F7EE90D5 ZwDeleteValueKey
SSDT F7EE90DA ZwLoadKey
SSDT F7EE90A8 ZwOpenProcess
SSDT F7EE90AD ZwOpenThread
SSDT F7EE90E4 ZwReplaceKey
SSDT F7EE90DF ZwRestoreKey
SSDT F7EE90D0 ZwSetValueKey

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----


Alt 10.04.2010, 20:24   #6
siggi_steve
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Nummero Zwei: Die OTL.txt.

Code:
ATTFilter
OTL logfile created on: 10.04.2010 21:03:12 - Run 1
OTL by OldTimer - Version 3.2.1.1     Folder = F:\wir arbeiten clean\usb frethog
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
735,00 Mb Total Physical Memory | 485,00 Mb Available Physical Memory | 66,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): F:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 11,36 Gb Free Space | 58,18% Space Free | Partition Type: NTFS
Drive D: | 9,77 Gb Total Space | 8,30 Gb Free Space | 85,01% Space Free | Partition Type: NTFS
Drive E: | 45,23 Gb Total Space | 18,14 Gb Free Space | 40,11% Space Free | Partition Type: NTFS
Drive F: | 74,52 Gb Total Space | 37,51 Gb Free Space | 50,34% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive K: | 977,06 Mb Total Space | 428,35 Mb Free Space | 43,84% Space Free | Partition Type: FAT32
 
Computer Name: PC-STEVE
Current User Name: Steve
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan
 
========== Processes (SafeList) ==========
 
PRC - [2010.04.10 18:07:29 | 000,561,664 | ---- | M] (OldTimer Tools) -- F:\wir arbeiten clean\usb frethog\OTL.exe
PRC - [2010.03.16 16:36:29 | 000,267,432 | ---- | M] (Avira GmbH) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2010.03.02 11:28:23 | 000,282,792 | ---- | M] (Avira GmbH) -- D:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) -- D:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- D:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2008.07.04 13:52:18 | 000,014,336 | ---- | M] (Vodafone) -- C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe
PRC - [2008.04.23 02:08:13 | 000,483,328 | ---- | M] (Adobe Systems Inc.) -- C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2000.11.04 13:23:14 | 000,424,448 | ---- | M] (Océ-Deutschland GmbH) -- C:\WINDOWS\CleanTemp.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2010.04.10 18:07:29 | 000,561,664 | ---- | M] (OldTimer Tools) -- F:\wir arbeiten clean\usb frethog\OTL.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010.03.16 16:36:29 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- D:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.02.24 10:28:01 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- D:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008.07.04 13:52:18 | 000,014,336 | ---- | M] (Vodafone) [Auto | Running] -- C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe -- (VMCService)
SRV - [2007.02.18 21:13:24 | 000,068,096 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2004.02.20 21:10:08 | 000,421,888 | ---- | M] (Lexmark International, Inc.) [On_Demand | Stopped] -- C:\WINDOWS\System32\lxbtcoms.exe -- (lxbt_device)
SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2001.08.23 14:00:00 | 000,019,456 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINDOWS\system32\tcpsvcs.exe -- (LPDSVC)
SRV - [2000.11.04 13:23:14 | 000,424,448 | ---- | M] (Océ-Deutschland GmbH) [Auto | Running] -- C:\WINDOWS\CleanTemp.exe -- (CleanTempDir)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
O1 HOSTS File: ([2010.04.07 15:45:52 | 000,385,986 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	Proben bei 1000Gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100sexlinks.com - Informationen zum Thema Sex links.Diese Website steht zum Verkauf!
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 13312 more lines...
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Acrobat Assistant 7.0] C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [LXBTCATS] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.DLL (Lexmark International, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 36
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = FF FF FF FF  [binary data]
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - D:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_19.dll (Sun Microsystems, Inc.)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} hxxp://codecs.microsoft.com/codecs/i386/fhg.CAB (Reg Error: Key error.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1227114119 (Image Uploader Control)
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} hxxp://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1 (Image Uploader Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} hxxp://secro.dyndns.org/activex/AxisCamControl.cab (CamImage Class)
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1215119249 (Image Uploader Control)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} hxxp://game06.zylom.com/activex/zylomgamesplayer.cab (Zylom Games Player)
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 62.53.247.120 193.189.244.205
O18 - Protocol\Handler\cetihpz {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll (Hewlett-Packard Company)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-1977589172-3705503834-750880670-8777\MsMxEng.exe) - C:\RECYCLER\S-1-5-21-1977589172-3705503834-750880670-8777\MsMxEng.exe ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.02.18 20:50:52 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - Unable to obtain root file information for disk C:\
O32 - Unable to obtain root file information for disk D:\
O32 - Unable to obtain root file information for disk E:\
O32 - Unable to obtain root file information for disk F:\
O32 - Unable to obtain root file information for disk K:\
O33 - MountPoints2\{ac02ea13-239b-11de-883b-000c7831a1a5}\Shell - "" = AutoRun
O33 - MountPoints2\{ac02ea13-239b-11de-883b-000c7831a1a5}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c8db6ddb-33fd-11df-8a53-000c6e54a277}\Shell\AutoRun\command - "" = I:\nhx.exe -- File not found
O33 - MountPoints2\{c8db6ddb-33fd-11df-8a53-000c6e54a277}\Shell\open\Command - "" = I:\nhx.exe -- File not found
O33 - MountPoints2\{dce76ed2-7cd0-11dc-85c9-000c7831a1a5}\Shell\Auto\command - "" = AdobeR.exe e
O33 - MountPoints2\{dce76ed2-7cd0-11dc-85c9-000c7831a1a5}\Shell\AutoRun - "" = Auto&Play
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias - C:\WINDOWS\system32\ias [2007.07.24 22:35:17 | 000,000,000 | ---D | M]
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (16902109354000384)
 
========== Files/Folders - Created Within 14 Days ==========
 
[2010.04.07 16:06:17 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Steve\Recent
[2010.03.30 22:24:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.01.28 16:28:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Vodafone
[2009.11.08 21:29:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2008.09.28 17:20:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2007.12.01 13:46:38 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2007.02.18 20:54:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2007.02.18 20:50:38 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[6 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[35 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 14 Days ==========
 
[2010.04.10 20:50:17 | 000,000,260 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job
[2010.04.10 20:50:05 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.04.10 20:45:06 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.04.10 20:45:04 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.04.10 20:44:11 | 016,252,928 | -H-- | M] () -- C:\Dokumente und Einstellungen\Steve\NTUSER.DAT
[2010.04.10 20:44:11 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Steve\ntuser.ini
[2010.04.10 18:16:45 | 000,000,425 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Desktop\Verknüpfung mit wir arbeiten clean.lnk
[2010.04.10 18:13:12 | 000,066,707 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Desktop\Trojaner-Board.pdf
[2010.04.10 11:47:51 | 000,008,757 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Schein für Schein.pdf
[2010.04.09 16:47:11 | 000,009,110 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Moelter, Steve - Schulpaed. Thesen.pdf
[2010.04.09 16:40:53 | 000,024,958 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\6000Jahre alte Zivilis.Naher Osten.pdf
[2010.04.09 16:30:00 | 000,026,863 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Vielzeller-keine O2-Atmung.pdf
[2010.04.09 16:27:52 | 000,035,399 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\08. April 2010 Australopithecinenfund - Cradle of Humankind.pdf
[2010.04.09 16:03:44 | 000,017,414 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Moelter, Steve - Sonderbereich Thesen.pdf
[2010.04.09 16:03:06 | 000,017,415 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\xx- Schulpaed. Thesen.pdf
[2010.04.07 15:45:52 | 000,385,986 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.04.07 14:40:20 | 000,000,594 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.04.07 14:40:20 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010.04.07 14:40:20 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2010.04.06 23:08:02 | 000,001,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Steve\Desktop\CCleaner.lnk
[2010.03.30 22:23:28 | 000,462,652 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.03.30 22:23:28 | 000,444,164 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.03.30 22:23:28 | 000,085,542 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.03.30 22:23:28 | 000,072,040 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.03.30 22:23:27 | 001,078,678 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[6 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[35 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.04.10 18:16:45 | 000,000,425 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Desktop\Verknüpfung mit wir arbeiten clean.lnk
[2010.04.10 18:12:34 | 000,066,707 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Desktop\Trojaner-Board.pdf
[2010.04.10 11:47:51 | 000,008,757 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Schein für Schein.pdf
[2010.04.09 16:40:53 | 000,024,958 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\6000Jahre alte Zivilis.Naher Osten.pdf
[2010.04.09 16:30:00 | 000,026,863 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Vielzeller-keine O2-Atmung.pdf
[2010.04.09 16:27:52 | 000,035,399 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\08. April 2010 Australopithecinenfund - Cradle of Humankind.pdf
[2010.04.09 16:02:54 | 000,017,414 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Moelter, Steve - Sonderbereich Thesen.pdf
[2010.04.09 16:01:49 | 000,017,415 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\xx- Schulpaed. Thesen.pdf
[2010.04.09 16:01:49 | 000,009,110 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Eigene Dateien\Moelter, Steve - Schulpaed. Thesen.pdf
[2010.02.08 20:27:14 | 000,010,445 | ---- | C] () -- C:\WINDOWS\hpdj3740.ini
[2009.08.01 14:15:35 | 000,012,378 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\hs_err_pid2816.log
[2009.04.04 18:49:35 | 000,313,542 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\wykyo_nav.dat
[2009.04.04 18:49:35 | 000,003,304 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\wykyo.dat
[2009.04.04 18:49:35 | 000,000,391 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\wykyo_navps.dat
[2008.07.19 12:06:04 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2008.06.23 14:02:02 | 000,097,410 | R--- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DeviceManager.xml.rc4
[2008.05.23 18:48:50 | 000,020,270 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DeviceInstaller.xml
[2008.02.03 23:20:00 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.12.29 16:02:01 | 000,000,797 | ---- | C] () -- C:\WINDOWS\WBL.INI
[2007.12.29 16:02:01 | 000,000,043 | ---- | C] () -- C:\WINDOWS\WBLKEY.INI
[2007.08.20 18:37:43 | 000,020,128 | ---- | C] () -- C:\WINDOWS\CDPlayer.ini
[2007.07.24 22:26:02 | 000,013,304 | ---- | C] () -- C:\WINDOWS\System32\drivers\BTNetFilter.sys
[2007.07.24 22:26:02 | 000,012,500 | ---- | C] () -- C:\WINDOWS\System32\drivers\vbtenum.sys
[2007.06.10 16:39:50 | 000,215,144 | R--- | C] () -- C:\WINDOWS\patchw32.dll
[2007.06.10 16:39:09 | 000,215,144 | R--- | C] () -- C:\WINDOWS\pw32a.dll
[2007.02.27 12:59:36 | 000,002,974 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2007.02.27 12:59:34 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2007.02.20 13:01:45 | 000,262,144 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.dat
[2007.02.20 13:01:45 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.dat.LOG
[2007.02.20 12:37:37 | 000,000,022 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2007.02.20 12:21:47 | 000,000,027 | ---- | C] () -- C:\WINDOWS\CDE CX3600FGD.ini
[2007.02.20 11:41:25 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007.02.20 11:40:46 | 000,054,272 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.02.19 15:19:54 | 000,139,264 | R--- | C] () -- C:\WINDOWS\System32\lxbtcoin.dll
[2007.02.19 15:19:54 | 000,126,976 | R--- | C] () -- C:\WINDOWS\System32\lxbtsnls.dll
[2007.02.19 11:42:44 | 000,001,832 | R--- | C] () -- C:\WINDOWS\System32\lxbtprod.ini
[2007.02.18 22:04:54 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007.02.18 21:25:31 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007.02.18 20:55:52 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\Steve\ntuser.dat.LOG
[2007.02.18 20:55:52 | 000,000,300 | -HS- | C] () -- C:\Dokumente und Einstellungen\Steve\ntuser.ini
[2007.02.18 20:55:51 | 016,252,928 | -H-- | C] () -- C:\Dokumente und Einstellungen\Steve\NTUSER.DAT
[2004.02.19 19:31:34 | 000,151,552 | ---- | C] () -- C:\WINDOWS\System32\lxbthwdf.dll
[2003.06.23 18:06:02 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxbtvs.dll
[2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
========== LOP Check ==========
 
[2008.03.25 22:58:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2010.02.18 12:44:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TP-LINK
[2007.02.20 12:41:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2010.01.28 16:28:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
[2008.03.25 23:04:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
[2008.08.10 12:31:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Steve\Anwendungsdaten\avidemux
[2007.12.27 20:12:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Steve\Anwendungsdaten\BHV
[2007.05.25 13:08:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Steve\Anwendungsdaten\dBpoweramp
[2008.08.10 12:32:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Steve\Anwendungsdaten\gtk-2.0
[2008.07.01 19:18:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Steve\Anwendungsdaten\ICQ
[2008.06.28 20:47:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Steve\Anwendungsdaten\ICQ Toolbar
[2007.02.26 23:52:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Steve\Anwendungsdaten\ICQLite
[2007.05.25 13:10:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Steve\Anwendungsdaten\NCH Swift Sound
[2009.04.13 22:11:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Steve\Anwendungsdaten\Opera
[2010.01.28 16:28:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Steve\Anwendungsdaten\Vodafone
[2010.04.10 20:50:17 | 000,000,260 | ---- | M] () -- C:\WINDOWS\Tasks\WGASetup.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.exe >
[2010.02.07 20:16:42 | 026,810,888 | ---- | M] (Hewlett Packard) -- C:\3740_deu_win2k_xp.exe
[2001.05.24 12:59:30 | 000,162,304 | ---- | M] () -- C:\UNWISE.EXE
 
 
< MD5 for: AGP440.SYS  >
[2004.08.04 02:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2008.09.27 19:34:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2008.09.27 19:34:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2004.08.04 02:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2008.09.27 19:34:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008.09.27 19:34:21 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2004.08.04 01:57:20 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004.08.04 01:57:32 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004.08.04 01:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[35 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2007.02.18 21:30:00 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2007.02.18 21:30:00 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2007.02.18 21:30:00 | 000,413,696 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 110 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:912389B7
< End of report >

Alt 10.04.2010, 20:27   #7
siggi_steve
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Nummero Drei: Die Extra.txt.

Code:
ATTFilter
OTL Extras logfile created on: 10.04.2010 21:03:13 - Run 1
OTL by OldTimer - Version 3.2.1.1     Folder = F:\wir arbeiten clean\usb frethog
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
735,00 Mb Total Physical Memory | 485,00 Mb Available Physical Memory | 66,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): F:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 11,36 Gb Free Space | 58,18% Space Free | Partition Type: NTFS
Drive D: | 9,77 Gb Total Space | 8,30 Gb Free Space | 85,01% Space Free | Partition Type: NTFS
Drive E: | 45,23 Gb Total Space | 18,14 Gb Free Space | 40,11% Space Free | Partition Type: NTFS
Drive F: | 74,52 Gb Total Space | 37,51 Gb Free Space | 50,34% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive K: | 977,06 Mb Total Space | 428,35 Mb Free Space | 43,84% Space Free | Partition Type: FAT32
 
Computer Name: PC-STEVE
Current User Name: Steve
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 14 Days
Output = Standard
Quick Scan
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.scr [@ = scrfile] -- "%1" /S "%3"
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = Opera.HTML] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "D:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S "%3"
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "d:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "d:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "d:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"1723:TCP" = 1723:TCP:*:Enabled:@xpsp2res.dll,-22015
"1701:UDP" = 1701:UDP:*:Enabled:@xpsp2res.dll,-22016
"500:UDP" = 500:UDP:*:Enabled:@xpsp2res.dll,-22017
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"1723:TCP" = 1723:TCP:*:Enabled:@xpsp2res.dll,-22015
"1701:UDP" = 1701:UDP:*:Enabled:@xpsp2res.dll,-22016
"500:UDP" = 500:UDP:*:Enabled:@xpsp2res.dll,-22017
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\Programme\ICQLite\ICQLite.exe" = D:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite -- File not found
"D:\Programme\BlueSoleil\BlueSoleil.exe" = D:\Programme\BlueSoleil\BlueSoleil.exe:*:Enabled:BlueSoleil -- File not found
"D:\Programme\ICQLite5.1\ICQLite.exe" = D:\Programme\ICQLite5.1\ICQLite.exe:*:Enabled:ICQ Lite -- File not found
"D:\Programme\icq6\ICQ.exe" = D:\Programme\icq6\ICQ.exe:*:Enabled:ICQ6 -- File not found
"D:\Programme\ICQ6.5\ICQ.exe" = D:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"D:\Programme\Opera\opera.exe" = D:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{05ADEEC8-BD58-43D9-A9E3-1F53B0DA117A}" = Opera 10.51
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}" = Google Earth
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 19
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{49FC50FC-F965-40D9-89B4-CBFF80941031}" = Windows Movie Maker 2.0
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{7BD0A2D8-4EA0-43C6-BDF8-DDA87B8031C6}" = PIF DESIGNER2.1
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-1033-F400-7760-100000000002}" = Adobe Acrobat 7.0 Professional - English, Français, Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{B81023A5-71ED-46EB-BE3B-9F974D1155F1}" = HP Software Update
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C656142F-EFE1-44CD-BFAD-6CBC6DCB9860}" = Vodafone Mobile Connect Lite
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0
"{EFB21DE7-8C19-4A88-BB28-A766E16493BC}" = Adobe Photoshop CS
"{F901CA6D-A074-42D3-A11D-33AAE6FFD0C1}" = HP Deskjet 3740
"Adobe Acrobat 7.0 Professional - English, Français, Deutsch - V" = Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player
"Anti-Twin 2008-07-21 01.16.44" = Anti-Twin (Installation 21.07.2008)
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"dBpowerAMP Music Converter" = dBpowerAMP Music Converter
"dBpoweramp Windows Media Audio 10 Codec" = dBpoweramp Windows Media Audio 10 Codec
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Free WMA to MP3 Converter_is1" = Free WMA to MP3 Converter 1.16
"HijackThis" = HijackThis 2.0.2
"HP PhotoSmart Photo Printing Software" = HP PhotoSmart-Fotodruck-Software
"ie8" = Windows Internet Explorer 8
"InstallShield_{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"Lexmark 5200 Series" = Lexmark 5200 Series
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"q-21 Screensaver_Eis Screensaver" = q-21 Screensaver_Eis Screensaver
"TagScanner_is1" = TagScanner 4.9 build 497b Beta
"VLC media player" = VideoLAN VLC media player 0.8.6d
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 08.04.2010 11:59:06 | Computer Name = PC-STEVE | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 09.04.2010 05:11:19 | Computer Name = PC-STEVE | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 09.04.2010 09:47:41 | Computer Name = PC-STEVE | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 09.04.2010 09:48:46 | Computer Name = PC-STEVE | Source = ESENT | ID = 490
Description = svchost (1052) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 09.04.2010 12:11:54 | Computer Name = PC-STEVE | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 09.04.2010 17:04:50 | Computer Name = PC-STEVE | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 10.04.2010 05:13:03 | Computer Name = PC-STEVE | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 10.04.2010 11:45:47 | Computer Name = PC-STEVE | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 10.04.2010 12:14:40 | Computer Name = PC-STEVE | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 10.04.2010 14:45:08 | Computer Name = PC-STEVE | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
[ System Events ]
Error - 21.03.2010 15:26:13 | Computer Name = PC-STEVE | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
 
Error - 24.03.2010 04:27:03 | Computer Name = PC-STEVE | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
 
Error - 24.03.2010 04:27:04 | Computer Name = PC-STEVE | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
 
Error - 25.03.2010 03:59:34 | Computer Name = PC-STEVE | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC90.CRT" konnte nicht gefunden
 werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
 installiert.  
 
Error - 25.03.2010 03:59:34 | Computer Name = PC-STEVE | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC90.CRT fehlgeschlagen.
Referenzfehlermeldung:
 Die referenzierte Assemblierung ist nicht auf dem Computer installiert.  .
 
Error - 25.03.2010 03:59:34 | Computer Name = PC-STEVE | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für D:\temp\RarSFX0\redist.dll fehlgeschlagen.
Referenzfehlermeldung:
 Der Vorgang wurde erfolgreich beendet.  .
 
Error - 26.03.2010 05:10:11 | Computer Name = PC-STEVE | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
 
Error - 26.03.2010 05:10:12 | Computer Name = PC-STEVE | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
 
Error - 31.03.2010 17:55:56 | Computer Name = PC-STEVE | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk2\D gefunden.
 
Error - 09.04.2010 09:47:38 | Computer Name = PC-STEVE | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
 
< End of report >

Alt 11.04.2010, 10:22   #8
Sion
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Starte OTL.
Kopiere unten in das Skript-Feld rein:

Zitat:
:OTL
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe File not found
O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-1977589172-3705503834-750880670-8777\MsMxEng.exe) - C:\RECYCLER\S-1-5-21-1977589172-3705503834-750880670-8777\MsMxEng.exe ()
O33 - MountPoints2\{ac02ea13-239b-11de-883b-000c7831a1a5}\Shell - "" = AutoRun
O33 - MountPoints2\{ac02ea13-239b-11de-883b-000c7831a1a5}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c8db6ddb-33fd-11df-8a53-000c6e54a277}\Shell\AutoRun\command - "" = I:\nhx.exe -- File not found
O33 - MountPoints2\{c8db6ddb-33fd-11df-8a53-000c6e54a277}\Shell\open\Command - "" = I:\nhx.exe -- File not found
O33 - MountPoints2\{dce76ed2-7cd0-11dc-85c9-000c7831a1a5}\Shell\Auto\command - "" = AdobeR.exe e
O33 - MountPoints2\{dce76ed2-7cd0-11dc-85c9-000c7831a1a5}\Shell\AutoRun - "" = Auto&Play
@Alternate Data Stream - 110 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:912389B7

:Commands
[emptytemp]
[resethosts]
[clearallrestorepoints]
Klicke auf Run Fix.
Neustart zulassen, wenn gefragt.
Poste das Fix Log. Zu finden unter c:\_OTL

2. Mach einen erneuten Durchlauf mit Malwarebytes. Du hast beim letzten mal anscheinend vergessen, die Funde auch zu entfernen. Außerdem war Malwarebytes veraltet. Mach einen Update. Mit dem ersten Update kriegt man die Version 1.45. Dann muss man wahrscheinlich noch ein Update machen, um auch die neueste Dantenbank zu kriegen. Schließe nach den Updates wieder alles an und mach diesmal einen Vollscan. Lass die Funde nach dem Scan diesmal auch entfernen.

Alt 11.04.2010, 13:15   #9
siggi_steve
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Zunächst die Fixlog Datei:

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{C4069E3A-68F1-403E-B40E-20066696354B} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C4069E3A-68F1-403E-B40E-20066696354B}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\TaskMan:C:\RECYCLER\S-1-5-21-1977589172-3705503834-750880670-8777\MsMxEng.exe deleted successfully.
C:\RECYCLER\S-1-5-21-1977589172-3705503834-750880670-8777\MsMxEng.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac02ea13-239b-11de-883b-000c7831a1a5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac02ea13-239b-11de-883b-000c7831a1a5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac02ea13-239b-11de-883b-000c7831a1a5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac02ea13-239b-11de-883b-000c7831a1a5}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8db6ddb-33fd-11df-8a53-000c6e54a277}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8db6ddb-33fd-11df-8a53-000c6e54a277}\ not found.
File I:\nhx.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8db6ddb-33fd-11df-8a53-000c6e54a277}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c8db6ddb-33fd-11df-8a53-000c6e54a277}\ not found.
File I:\nhx.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dce76ed2-7cd0-11dc-85c9-000c7831a1a5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dce76ed2-7cd0-11dc-85c9-000c7831a1a5}\ not found.
File AdobeR.exe e not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dce76ed2-7cd0-11dc-85c9-000c7831a1a5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dce76ed2-7cd0-11dc-85c9-000c7831a1a5}\ not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:912389B7 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Amelie_ssaver

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 40110 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Steve
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 158331 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 27638047 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 4145 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 36051335 bytes
%systemroot%\System32\dllcache .tmp files removed: 333056 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
Session Manager Temp folder emptied: 0 bytes
Session Manager Tmp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 63,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
Restore points cleared and new OTL Restore Point set!

OTL by OldTimer - Version 3.2.1.1 log created on 04112010_121401

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Alt 11.04.2010, 13:19   #10
siggi_steve
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Und nun die Logdatei nach dem vollständigen Scan mit aktueller Malewarebytessoftware:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3976

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.04.2010 13:59:38
mbam-log-2010-04-11 (13-59-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 175933
Laufzeit: 57 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

------------------

Nichts gefunden, nichts zu entfernen.
Bislang kam auch keine Viren oder Trojanermeldung mehr.
Nur die Info "Zugriff auf autorun.inf blockiert" erscheint fortwährend. Wie lässt sich das abschalten?

Gruß, sigg

Alt 12.04.2010, 18:10   #11
Sion
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Da ist noch irgendetwas aktiv.

1. Hol dir AVZ
Entpacke und starte AVZ.
Führe einen Update durch (Button auf der rechten Seite unten ("Database Update") - dann auf Start).
Nach dem Update:
Setze oben links ein Häkchen beim Laufwerk C:
Wechsle zu "File Types" und wähle All Files.
Wechsle zu "Search Parameters", setze zusätzlich ein Häkchen bei
Block User-Mode Rootkits und
Block Kernel-Mode Rootkits

Schließe alle anderen Programme.
Klicke auf Start, der Scan wird eine Weile in Anspruch nehmen.
Speichere nach dem Scan das Log mit dem Button unten rechts "Save Log" und poste es.

Alt 13.04.2010, 22:11   #12
siggi_steve
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Danke und durchgeführt. Hier die Logdatei von avz:

AVZ Antiviral Toolkit log; AVZ version is 4.32
Scanning started at 13.04.2010 19:42:30
Database loaded: signatures - 270191, NN profile(s) - 2, malware removal microprograms - 56, signature database released 12.04.2010 23:34
Heuristic microprograms loaded: 382
PVS microprograms loaded: 9
Digital signatures of system files loaded: 194145
Heuristic analyzer mode: Medium heuristics mode
Malware removal mode: disabled
Windows version is: 5.1.2600, Service Pack 3 ; AVZ is run with administrator rights
System Restore: enabled
1. Searching for Rootkits and other software intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=083220)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 8055A220
KiST = 804E26B8 (284)
Function NtCreateKey (29) intercepted (80572E9D->F7F0C98E), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtCreateThread (35) intercepted (8057BD7A->F7F0C984), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtDeleteKey (3F) intercepted (805952BE->F7F0C993), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtDeleteValueKey (41) intercepted (80592D50->F7F0C99D), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtLoadKey (62) intercepted (805AED5D->F7F0C9A2), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenProcess (7A) intercepted (805741D0->F7F0C970), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtOpenThread (80) intercepted (8058B58D->F7F0C975), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtReplaceKey (C1) intercepted (8064F16A->F7F0C9AC), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtRestoreKey (CC) intercepted (8064ED01->F7F0C9A7), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Function NtSetValueKey (F7) intercepted (80579A43->F7F0C998), hook not defined
>>> Function restored successfully !
>>> Hook code blocked
Functions checked: 284, intercepted: 10, restored: 10
1.3 Checking IDT and SYSENTER
Analyzing CPU 1
CmpCallCallBacks = 0013A78E
Disable callback OK
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking IRP handlers
Checking - complete
2. Scanning RAM
Number of processes found: 27
Number of modules loaded: 374
Scanning RAM - complete
3. Scanning disks
Direct reading: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
Direct reading: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading: C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
Direct reading: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading: C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
Direct reading: C:\Dokumente und Einstellungen\Steve\Cookies\index.dat
Direct reading: C:\Dokumente und Einstellungen\Steve\IETldCache\index.dat
Direct reading: C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Direct reading: C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
Direct reading: C:\Dokumente und Einstellungen\Steve\Lokale Einstellungen\Verlauf\History.IE5\index.dat
Direct reading: C:\Dokumente und Einstellungen\Steve\NTUSER.DAT
Direct reading: C:\System Volume Information\_restore{9D2ECD88-9F7B-45F7-954C-F1405FF4ADA1}\RP549\change.log
Direct reading: C:\WINDOWS\SchedLgU.Txt
Direct reading: C:\WINDOWS\SoftwareDistribution\ReportingEvents.log
Direct reading: C:\WINDOWS\system32\CatRoot2\edb.log
Direct reading: C:\WINDOWS\system32\CatRoot2\tmp.edb
Direct reading: C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
Direct reading: C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
Direct reading: C:\WINDOWS\system32\config\AppEvent.Evt
Direct reading: C:\WINDOWS\system32\config\default
Direct reading: C:\WINDOWS\system32\config\Internet.evt
Direct reading: C:\WINDOWS\system32\config\SAM
Direct reading: C:\WINDOWS\system32\config\SecEvent.Evt
Direct reading: C:\WINDOWS\system32\config\SECURITY
Direct reading: C:\WINDOWS\system32\config\SysEvent.Evt
Direct reading: C:\WINDOWS\system32\config\system
Direct reading: C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR
Direct reading: C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
Direct reading: C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP
Direct reading: C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP
Direct reading: C:\WINDOWS\WindowsUpdate.log
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious software
Checking - disabled by user
7. Heuristic system check
Non-standard Shell\Open key for "scrfile": ""%1" /S "%3""
>>> C:\autorun.inf HSC: suspicion for hidden startup (high degree of probability)
>>> D:\autorun.inf HSC: suspicion for hidden startup (high degree of probability)
>>> E:\autorun.inf HSC: suspicion for hidden startup (high degree of probability)
>>> F:\autorun.inf HSC: suspicion for hidden startup (high degree of probability)
>>> K:\autorun.inf HSC: suspicion for hidden startup (high degree of probability)
>>> C:\autorun.inf HSC: suspicion for File with suspicious name (CH) (high degree of probability)
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: terminal connections to the PC are allowed
Checking - complete
9. Troubleshooting wizard
>> Abnormal SCR files association
>> HDD autorun is allowed
>> Network drives autorun is allowed
>> Removable media autorun is allowed
Checking - complete
Files scanned: 99370, extracted from archives: 58177, malicious software found 0, suspicions - 0
Scanning finished at 13.04.2010 20:11:44
!!! Attention !!! Restored 10 KiST functions during Anti-Rootkit operation
This may affect execution of certain software, so it is strongly recommended to reboot
Time of scanning: 00:29:16
If you have a suspicion on presence of viruses or questions on the suspected
objects, you can address hxxp://virusinfo.info conference
-------------------

Alt 14.04.2010, 09:05   #13
Sion
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Autorun ist noch aktiv...

Starte OTL.
Kopiere unten un das Skript-Feld rein:

Zitat:
:Files
C:\RECYCLER\S-1-5-21-1977589172-3705503834-750880670-8777

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = dword:000000ff

:Commands
[Reboot]
Klicke auf Run Fix.
Neustart zulassen.
Poste das Fix Log.
Berichte ob die Info noch erscheint.

Alt 14.04.2010, 13:22   #14
siggi_steve
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Die aktuelle OTL-Logdatei:

========== FILES ==========
C:\RECYCLER\S-1-5-21-1977589172-3705503834-750880670-8777 folder moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoDriveTypeAutoRun" | dword:000000ff /E : value set successfully!
========== COMMANDS ==========

OTL by OldTimer - Version 3.2.1.1 log created on 04142010_140951

-----------------

Die Autoruninformation kommt nach wie vor.

Alt 14.04.2010, 15:01   #15
Sion
 
Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Standard

Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


Das ist nicht nett.
Zeit für schwere Geschütze:

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Den Leitfaden genau beachten und befolgen, ComboFix versteht kein Spaß.
Poste anschließend das ComboFix-Log.

Antwort
Seite 1 von 2 1 2

Themen zu Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?
adobe, antivir, antivir guard, avg, avira, bho, blockiert, d:\autorun.inf, desktop, excel, explorer, frethog, helper, hijack, hijackthis, hijackthisfile, internet, internet explorer, jusched.exe, logfile, opera, pdf-datei, plug-in, rundll, sicherheit, software, system, trojaner, viren, vodafone, windows, windows xp


« Habe ich einen Virus?? Bitte um Hilfe - Virus userinit.exe | Brauche Professionelle hilfe, bin am verzweifeln!! »


Ähnliche Themen: Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?


  1. pup.optional.facemoods und trojanerwarnung avg
    Log-Analyse und Auswertung - 26.03.2015 (16)
  2. Avira hat Trojanerwarnung für Seedabutor gemeldet
    Plagegeister aller Art und deren Bekämpfung - 30.08.2014 (17)
  3. Win7/64Bit: Link in Phishing mail (Ermittlungsverfahren) geklickt, Frethog-32 found
    Log-Analyse und Auswertung - 27.06.2014 (6)
  4. Trojanerwarnung Zeus/ZBot von Telekom
    Log-Analyse und Auswertung - 28.10.2012 (5)
  5. Nach Trojanerwarnung fährt der PC nicht mehr hoch!
    Plagegeister aller Art und deren Bekämpfung - 17.08.2011 (10)
  6. Onlinebanking gesperrt wegen Trojanerwarnung
    Plagegeister aller Art und deren Bekämpfung - 11.01.2011 (31)
  7. Trojanerwarnung nach XP Neuinstallation
    Plagegeister aller Art und deren Bekämpfung - 04.09.2010 (31)
  8. Beim öffnen des Internet Explores Trojanerwarnung !
    Plagegeister aller Art und deren Bekämpfung - 05.04.2010 (1)
  9. Ständige Trojanerwarnung
    Log-Analyse und Auswertung - 26.01.2009 (6)
  10. Trojanerwarnung C:\Windows\system32\byXolLCR.dll
    Plagegeister aller Art und deren Bekämpfung - 10.08.2008 (8)
  11. INF/Frethog
    Plagegeister aller Art und deren Bekämpfung - 13.03.2008 (1)
  12. Falsche Wurm/Trojanerwarnung ?
    Plagegeister aller Art und deren Bekämpfung - 08.02.2007 (2)
  13. Falsche Wurm/Trojanerwarnung ?
    Log-Analyse und Auswertung - 02.02.2007 (1)
  14. wie bekomme ich dieses ding wieder weg?
    Plagegeister aller Art und deren Bekämpfung - 14.11.2006 (11)
  15. Verwirrung wegen trojanerwarnung und unerfahrenheit
    Log-Analyse und Auswertung - 27.07.2006 (6)
  16. Problem: Wiederkehrende Trojanerwarnung
    Plagegeister aller Art und deren Bekämpfung - 15.04.2004 (3)
  17. Trojanerwarnung
    Plagegeister aller Art und deren Bekämpfung - 13.06.2003 (18)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? - Hallo Boarder. Seitdem ich antivir 10 personal draufgespielt habe, blended es regelmäßig Hinweise,wie "Guard: Autrun blockiert [...] zur ihrer Sicherheit wurde der Zugriff auf die Datei D:\autorun.inf blockiert." ein. Außerdem - Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los?...
Archiv
Du betrachtest: Trojanerwarnung - TR/PSW.Frethog, wie bekomme ich dieses los? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55