|
Log-Analyse und Auswertung: 10 TAN eingeben und IE7 Browser-HijackWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.04.2010, 20:53 | #16 |
| 10 TAN eingeben und IE7 Browser-Hijack Ich habe mbr ausgeführt. Wenn ich als Amateur das Log-Files interpretiere, dann war mein PC noch immer von so einem "MBR-Rootkits" oder "Stealth MBR rootkit" befallen Übrigens vielen Dank für den Link auf den sehr informativen Artikel! Bin beeindruckt, wie ausführlich derartige Software untersucht und beschrieben wurde. Ich beginne zu verstehen, welch hinterhältiges Stück Code ich mir eingefangen habe. Aber zum Glück gibt es ja Helfer, wie dich Wenn ich den Artikel richtig verstanden habe, dann wird mit der Option "-f" das/der MBR-Rootkit entfernt. Demzufolge müsste der PC jetzt sauberer sein, richtig? Wenn ja, wie prüft man das? Code:
ATTFilter Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x0DF937C1 malicious code @ sector 0x0DF937C4 ! PE file found in sector at 0x0DF937DA ! |
23.04.2010, 13:49 | #17 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 10 TAN eingeben und IE7 Browser-Hijack Du findest im Log das hier => user & kernel MBR OK
__________________Bedeutet, der MBR ist ok und in den folgenden Zeilen wird nur ausgesagt, das er eine Kopie des MBR auf einem bestimmten Bereich der Platte gefunden hat. Er fand auch bösartigen Code in einem Sektor, wahrscheinlich eine Kopie des manipulierten MBRs, der nun aber aber keine Auswirkung mehr hat.
__________________ |
23.04.2010, 21:30 | #18 | ||
| 10 TAN eingeben und IE7 Browser-HijackZitat:
Was muß jetzt überprüft werden und wie? (Ich gehe davon aus, daß die "Standard-Tools", wie Avira, Spybot S&D, Ad-Aware, Trend Micro House Call nicht geeignet sind, da sie den Rootkit /das infizierte MBR nicht fanden, oder?) Wenn wir fertig sind, was tue ich mit den benutzten Tools und den Log-Files? Löschen oder Aufheben? Ich komme noch mal auf Deine Hinweise und Empfehlungen zurück: 1. Update auf IE8 - kann ich selbst 2. Zitat:
Du hast noch nichts zu den 8 Warnungen des Avira gesagt, die ich gepostet habe. Was tue ich mit denen? Danke! Grüße RJB |
24.04.2010, 14:04 | #19 | ||||
/// Winkelfunktion /// TB-Süch-Tiger™ | 10 TAN eingeben und IE7 Browser-HijackZitat:
Zitat:
Zitat:
1) Start, Ausführen, cmd eintippen und ok Zitat:
[WARNUNG] Die Datei konnte nicht geöffnet werden! Kannst Du imho ignorieren, manche geöffnete Dateien sind von Windows gesperrt so dass andere Anwendungen da nichtmal lesend darauf zugreifen können.
__________________ Logfiles bitte immer in CODE-Tags posten |
24.04.2010, 18:35 | #20 | |
| 10 TAN eingeben und IE7 Browser-Hijack Hallo Cosinus, Danke für Deine Geduld! Zitat:
Code:
ATTFilter Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 4031 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 24.04.2010 18:17:59 mbam-log-2010-04-24 (18-17-59).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 249498 Laufzeit: 1 Stunde(n), 8 Minute(n), 16 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 04/24/2010 at 04:09 PM Application Version : 4.35.1002 Core Rules Database Version : 4846 Trace Rules Database Version: 2658 Scan type : Complete Scan Total Scan Time : 03:20:12 Memory items scanned : 566 Memory threats detected : 0 Registry items scanned : 6397 Registry threats detected : 0 File items scanned : 114509 File threats detected : 23 Adware.Tracking Cookie C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@content.yieldmanager[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@im.banner.t-online[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@dmtracker[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@revsci[2].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@xiti[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@bridge1.admarketplace[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@admarketplace[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@zanox[2].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@tracking.mindshare[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@ad.zanox[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@tracking.quisma[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@zanox[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@ad.zanox[2].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@tracking.quisma[2].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@revsci[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@adx.chip[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@adfarm1.adition[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@adtech[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@www.etracker[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@statcounter[1].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@tradedoubler[2].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@stat.aldi[2].txt C:\Dokumente und Einstellungen\HelpAssistant\Cookies\mustermann@im.banner.t-online[2].txt Die Cookies habe ich bereits entfernt. Das Update auf IE8 ist auch schon erledigt. Bei den AVIRA-Warnungen meinte ich eher diese: Code:
ATTFilter C:\WINDOWS\system32\CatRoot2\edb.log Was mache ich mit den benutzten Tools und den Log-Files? Löschen oder Aufheben? Grüße RJB PS: Das Konvertieren in NTFS kann ich ja machen, wenn wir mit dem Prüfen und Reinigen fertig sind. Oder? |
24.04.2010, 19:46 | #21 | ||
| 10 TAN eingeben und IE7 Browser-Hijack Ergänzung zum vorangegangenen Posting:_ Wollte die Konvertierung von FAT32 in NTFS vornehmen. Habe das eingegeben: Zitat:
Zitat:
Grüße RJB |
24.04.2010, 19:52 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 10 TAN eingeben und IE7 Browser-Hijack Ja, alles mit j bestätigen
__________________ Logfiles bitte immer in CODE-Tags posten |
24.04.2010, 21:12 | #23 | |
| 10 TAN eingeben und IE7 Browser-Hijack Hallo Cosinus, Zitat:
Schaust Du Dir bitte meine Log-Files im vorangegangenen Posting an. Und wenn es Dich nicht zu viel Zeit kostet, bitte meine Fragen kurz beantworten. DANKE! Grüße RJB |
25.04.2010, 13:35 | #24 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 10 TAN eingeben und IE7 Browser-Hijack Du meinst die letzten Logs von MBAM und SASW? MBAM hat nichts mehr gefunden, wogl aber SASW, zwar nur Cookies, aber im Helpassistent-Konto. Poste bitte mal ein frisches OTL-Log. Geh auch mal bitte in die Benutzerkontenverwaltung und lösche das Konto "Helpassistant" (falls noch vorhanden) sowie den Profilordner des Kontos: C:\Dokumente und Einstellungen\HelpAssistant Falls diese Datei => C:\WINDOWS\System32\termsrv32.dll noch vorhanden ist, bitte mal bei https://www.virustotal.com auswerten lassen und Ergebnislink posten.
__________________ Logfiles bitte immer in CODE-Tags posten |
25.04.2010, 16:05 | #25 | |||
| 10 TAN eingeben und IE7 Browser-HijackZitat:
Code:
ATTFilter https://www.virustotal.com/de/analisis/f4c6bda5f0b22394443f64df96b44e8393c5826da6e52d2b4c7d3ab29e6893f8-1268412694 Zitat:
Zitat:
OTL-Log erzeuge ich gleich... Grüße RJB Geändert von RJB (25.04.2010 um 16:15 Uhr) |
25.04.2010, 16:57 | #26 | |
| 10 TAN eingeben und IE7 Browser-HijackZitat:
Vorher noch ein Hinweis: Ich habe nach der Konvertierung von FAT32 in NTFS Schwierigkeiten beim vollständigen System-Scannen mit Avira (agressive Einstellungen!) gehabt. Avira hat sich "aufgehängt", d.h. ich konnte Avira nur über den TaskManager beenden. Muß natürlich kein Zusammenhang zum Konvertieren in NTFS sein. Ich habe daraufhin Avira deinstalliert und nochmals neu installiert. Dann habe ich wieder die agressiven Einstellungen vorgenommen und einen vollständigen Systemscan gemacht. Ergebnis: kein Fund. OTL-Log: Code:
ATTFilter OTL logfile created on: 25.04.2010 17:26:09 - Run 2 OTL by OldTimer - Version 3.2.3.0 Folder = C:\Dokumente und Einstellungen\*\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 511,00 Mb Total Physical Memory | 176,00 Mb Available Physical Memory | 34,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 73,00% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 54,43 Gb Total Space | 15,04 Gb Free Space | 27,62% Space Free | Partition Type: NTFS Drive D: | 54,87 Gb Total Space | 9,86 Gb Free Space | 17,97% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: * Current User Name: * Logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\*\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin) PRC - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe () PRC - C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe (Acronis) PRC - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe (Seagate) PRC - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe (Seagate) PRC - C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe (Seagate) PRC - C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\snmp.exe (Microsoft Corporation) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.) PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation) PRC - C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe (DeTeWe AG & Co.) PRC - C:\WINDOWS\Dit.exe () PRC - C:\WINDOWS\DitExp.exe () ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\*\Desktop\OTL.exe (OldTimer Tools) ========== Win32 Services (SafeList) ========== SRV - (iPodService) -- File not found SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (IGDCTRL) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin) SRV - (AAV UpdateService) -- C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe () SRV - (SgtSch2Svc) -- C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe (Seagate) SRV - (SNMP) -- C:\WINDOWS\system32\snmp.exe (Microsoft Corporation) SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (de_serv) -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe (AVM Berlin) SRV - (AVM WLAN Connection Service) -- C:\Programme\avmwlanstick\WLanNetService.exe (AVM Berlin) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB) DRV - (PSI) -- C:\WINDOWS\system32\drivers\psi_mf.sys (Secunia) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (timounter) -- C:\WINDOWS\system32\DRIVERS\timntr.sys (Acronis) DRV - (tifsfilter) -- C:\WINDOWS\system32\drivers\tifsfilt.sys (Acronis) DRV - (snapman) -- C:\WINDOWS\system32\DRIVERS\snapman.sys (Acronis) DRV - (tdrpman) -- C:\WINDOWS\system32\DRIVERS\tdrpman.sys (Acronis) DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation) DRV - (VBus) -- C:\WINDOWS\system32\drivers\NkVBus.sys (Nikon Corporation) DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH) DRV - (ZSMC301b) -- C:\WINDOWS\system32\drivers\usbVM31b.sys (VM) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.) DRV - (SISNIC) -- C:\WINDOWS\system32\drivers\sisnic.sys (SiS Corporation) DRV - (SISNICXP) -- C:\WINDOWS\system32\drivers\sisnicxp.sys (SiS Corporation) DRV - (CAPI20) -- C:\WINDOWS\system32\drivers\Capi20.sys (DeTeWe Berlin) DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (ulisa) Telekom ISDN-Adapter (USB) -- C:\WINDOWS\system32\drivers\ulisa.sys (DeTeWe Berlin) DRV - (DETEWECP) -- C:\WINDOWS\System32\drivers\detewecp.sys (DeTeWe Berlin) DRV - (ASCTRM) -- C:\WINDOWS\system32\drivers\asctrm.sys (Windows (R) 2000 DDK provider) DRV - (BsUDF) -- C:\WINDOWS\system32\drivers\bsudf.sys (ahead software) DRV - (sisagp) -- C:\WINDOWS\System32\DRIVERS\SISAGPX.sys (Silicon Integrated Systems Corporation) DRV - (incdrm) -- C:\WINDOWS\system32\drivers\incdrm.sys (Ahead Software AG) DRV - (Intels51) -- C:\WINDOWS\system32\drivers\ctxs51.sys (Intel Corporation) DRV - (BsStor) -- C:\WINDOWS\System32\DRIVERS\bsstor.sys (B.H.A Co.,Ltd.) DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1467021206-258649061-2209821478-1006\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google IE - HKU\S-1-5-21-1467021206-258649061-2209821478-1006\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 IE - HKU\S-1-5-21-1467021206-258649061-2209821478-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKU\S-1-5-21-1467021206-258649061-2209821478-1006\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKU\S-1-5-21-1467021206-258649061-2209821478-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1467021206-258649061-2209821478-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box; 192.168.178.1 O1 HOSTS File: ([2010.04.10 12:45:52 | 000,424,229 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 abcsearch.com #[IE-SpyAd] O1 - Hosts: 127.0.0.1 admin.abcsearch.com O1 - Hosts: 127.0.0.1 www3.abcsearch.com #[Browseraid] O1 - Hosts: 127.0.0.1 www.abcsearch.com O1 - Hosts: 127.0.0.1 absoluagency.com #[Trojan.StartPage.H] O1 - Hosts: 127.0.0.1 acestats.com O1 - Hosts: 127.0.0.1 www.acestats.com O1 - Hosts: 127.0.0.1 www.activesearch.com #[Adware.ActiveSearch] O1 - Hosts: 127.0.0.1 actualnames.com #[Parasite.ActualNames][Spyware.ActualNames] O1 - Hosts: 127.0.0.1 www.actualnames.com O1 - Hosts: 127.0.0.1 ad-up.com O1 - Hosts: 127.0.0.1 www.ad-up.com O1 - Hosts: 127.0.0.1 adatom.com O1 - Hosts: 127.0.0.1 aesp.adatom.com O1 - Hosts: 127.0.0.1 adbest.com #[IE-SpyAd] O1 - Hosts: 127.0.0.1 www.adcipta.net #[W32/Malware] O1 - Hosts: 127.0.0.1 adserv.adbonus.com #[IE-SpyAd] O1 - Hosts: 127.0.0.1 www.adbonus.com O1 - Hosts: 127.0.0.1 media.adcentriconline.com #[IE-SpyAd] O1 - Hosts: 127.0.0.1 ad2.adcept.net O1 - Hosts: 127.0.0.1 ad3.adcept.net O1 - Hosts: 127.0.0.1 www.adcept.net #[IE-SpyAd] O1 - Hosts: 127.0.0.1 adcomplete.com #[IE-SpyAd] O1 - Hosts: 127.0.0.1 www.adcomplete.com O1 - Hosts: 13375 more lines... O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll (Google Inc.) O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKU\S-1-5-21-1467021206-258649061-2209821478-1006\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKU\S-1-5-21-1467021206-258649061-2209821478-1006\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O4 - HKLM..\Run: [AcronisTimounterMonitor] C:\Programme\Seagate\DiscWizard\TimounterMonitor.exe (Acronis) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [BrStsWnd] C:\Programme\Brownie\BrstsWnd.exe (brother) O4 - HKLM..\Run: [DiscWizardMonitor.exe] C:\Programme\Seagate\DiscWizard\DiscWizardMonitor.exe (Seagate) O4 - HKLM..\Run: [dit] C:\WINDOWS\Dit.exe () O4 - HKLM..\Run: [Seagate Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedhlp.exe (Seagate) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKU\S-1-5-21-1467021206-258649061-2209821478-1006..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-1467021206-258649061-2209821478-1006..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe (DeTeWe AG & Co.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation) O4 - Startup: C:\Dokumente und Einstellungen\*\Startmenü\Programme\Autostart\Microsoft-Indexerstellung.lnk.disabled () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1467021206-258649061-2209821478-1006\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-1467021206-258649061-2209821478-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsNetHood = 1 O7 - HKU\S-1-5-21-1467021206-258649061-2209821478-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll (Google Inc.) O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O15 - HKU\S-1-5-21-1467021206-258649061-2209821478-1006\..Trusted Domains: fritz.box ([]* in Local intranet) O15 - HKU\S-1-5-21-1467021206-258649061-2209821478-1006\..Trusted Ranges: Range41 ([*] in Local intranet) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/9/b/d/9bdc68ef-6a9f-4505-8fb8-d0d2d160e512/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} hxxp://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab (Trend Micro ActiveX Scan Agent 6.6) O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} hxxp://codecs.microsoft.com/codecs/i386/wmv9dmo.cab (Reg Error: Key error.) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1260631760613 (WUWebControl Class) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1258815867962 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38116.3287847222 (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_01-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} hxxp://download.abacast.com/download/files/abasetup.cab (Reg Error: Key error.) O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation) O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2003.01.09 10:13:58 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe () O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.04.25 17:24:00 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\*\Recent [2010.04.25 17:17:50 | 000,562,688 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*\Desktop\OTL.exe [2010.04.25 14:30:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\Avira [2010.04.25 14:27:45 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2010.04.25 14:27:45 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2010.04.25 14:27:45 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys [2010.04.25 14:27:45 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys [2010.04.25 14:27:44 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2010.04.25 14:27:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2010.04.25 00:52:53 | 000,000,000 | -HSD | C] -- C:\RECYCLER [2010.04.24 19:15:11 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\*\PrivacIE [2010.04.24 16:54:23 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\*\IETldCache [2010.04.24 16:47:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates [2010.04.24 16:45:34 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8 [2010.04.24 16:33:02 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2010.04.24 12:46:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com [2010.04.24 12:45:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\*\Anwendungsdaten\SUPERAntiSpyware.com [2010.04.24 12:45:47 | 000,000,000 | ---D | C] -- C:\Programme\SUPERAntiSpyware [2010.04.22 00:23:16 | 000,000,000 | -HSD | C] -- C:\Recycled [2010.04.21 23:38:26 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2010.04.21 22:01:53 | 000,000,000 | RHSD | C] -- C:\cmdcons [2010.04.21 22:00:50 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2010.04.21 22:00:50 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2010.04.21 22:00:50 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2010.04.21 22:00:44 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2010.04.21 22:00:43 | 000,000,000 | ---D | C] -- C:\CoFi [2010.04.21 22:00:05 | 000,000,000 | ---D | C] -- C:\Qoobox [2010.04.17 13:06:12 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2010.04.17 13:06:12 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.04.17 13:06:12 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.04.17 13:06:12 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.04.11 23:25:23 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe [2010.04.11 00:14:54 | 000,000,000 | ---D | C] -- C:\rsit [2010.04.03 21:18:31 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2010.04.03 18:02:12 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.04.03 18:02:08 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.04.03 18:02:08 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.04.02 11:08:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.04.25 17:17:54 | 000,562,688 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\*\Desktop\OTL.exe [2010.04.25 16:34:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.04.25 14:43:34 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.04.25 14:42:41 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job [2010.04.25 14:42:23 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.04.25 14:42:15 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.04.25 14:42:06 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.04.25 14:41:08 | 008,126,464 | ---- | M] () -- C:\Dokumente und Einstellungen\*\ntuser.dat [2010.04.25 14:41:08 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\*\ntuser.ini [2010.04.25 14:28:15 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2010.04.25 12:23:08 | 000,001,455 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\explorer.lnk [2010.04.24 20:52:16 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job [2010.04.22 21:17:04 | 000,077,312 | ---- | M] () -- C:\mbr.exe [2010.04.21 23:45:06 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.04.21 22:01:58 | 000,000,281 | RHS- | M] () -- C:\boot.ini [2010.04.21 21:46:24 | 003,923,062 | R--- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\CoFi.exe [2010.04.19 22:26:06 | 000,088,064 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.04.17 10:14:30 | 006,575,263 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\17-04-2010 10;14;27.PDF [2010.04.17 09:53:32 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\XPclean.lnk [2010.04.17 09:47:00 | 000,001,613 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk [2010.04.13 23:51:30 | 000,001,407 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Browserwahl.lnk [2010.04.13 22:57:08 | 000,000,470 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI [2010.04.13 22:56:22 | 000,000,352 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\Gemeinsame Dokumente.lnk [2010.04.13 06:36:20 | 000,001,791 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk [2010.04.12 17:29:28 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.04.12 17:29:26 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.04.12 17:29:26 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.04.12 17:29:20 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2010.04.12 15:19:02 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2010.04.10 14:59:00 | 001,086,232 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.04.10 14:59:00 | 000,476,804 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.04.10 14:59:00 | 000,435,260 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.04.10 14:59:00 | 000,090,726 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.04.10 14:59:00 | 000,068,156 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.04.03 18:02:16 | 000,000,580 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.03.31 23:50:36 | 000,001,416 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\CCleaner.lnk [2010.03.30 23:07:52 | 000,000,238 | ---- | M] () -- C:\WINDOWS\Brownie.ini [2010.03.29 21:33:00 | 000,001,397 | ---- | M] () -- C:\Dokumente und Einstellungen\*\Desktop\explorer -*.lnk [2010.03.29 15:24:58 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.03.29 15:24:46 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.03.28 08:58:42 | 000,272,576 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.03.26 21:48:28 | 000,000,237 | ---- | M] () -- C:\WINDOWS\ktel.ini [6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.04.25 14:28:14 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2010.04.22 21:26:36 | 000,000,324 | ---- | C] () -- C:\Dokumente und Einstellungen\*\mbr.log [2010.04.22 21:17:14 | 000,077,312 | ---- | C] () -- C:\mbr.exe [2010.04.21 22:01:57 | 000,000,211 | ---- | C] () -- C:\Boot.bak [2010.04.21 22:01:54 | 000,262,448 | ---- | C] () -- C:\cmldr [2010.04.21 22:00:50 | 000,261,632 | ---- | C] () -- C:\WINDOWS\PEV.exe [2010.04.21 22:00:50 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2010.04.21 22:00:50 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2010.04.21 22:00:50 | 000,077,312 | ---- | C] () -- C:\WINDOWS\MBR.exe [2010.04.21 22:00:50 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe [2010.04.21 21:46:15 | 003,923,062 | R--- | C] () -- C:\Dokumente und Einstellungen\*\Desktop\CoFi.exe [2010.04.17 10:14:28 | 006,575,263 | ---- | C] () -- C:\Dokumente und Einstellungen\*\Eigene Dateien\17-04-2010 10;14;27.PDF [2010.04.13 23:51:24 | 000,001,407 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Browserwahl.lnk [2010.04.13 06:36:18 | 000,001,791 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Earth.lnk [2010.04.03 18:02:14 | 000,000,580 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.02.27 20:21:10 | 000,000,470 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2010.02.27 16:01:08 | 000,000,142 | ---- | C] () -- C:\WINDOWS\BRVIDEO.INI [2010.02.27 16:01:08 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini [2010.02.27 16:00:59 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\brlmw03a.ini [2010.02.27 16:00:58 | 000,009,868 | ---- | C] () -- C:\WINDOWS\HL-2150N.INI [2010.02.27 15:49:49 | 000,000,238 | ---- | C] () -- C:\WINDOWS\Brownie.ini [2009.01.03 17:55:25 | 000,000,088 | ---- | C] () -- C:\WINDOWS\jascreg.ini [2008.06.08 21:36:00 | 000,000,778 | ---- | C] () -- C:\WINDOWS\CVMiniViewer.ini [2008.05.26 22:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini [2008.05.26 22:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini [2008.05.26 22:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini [2008.04.20 17:55:06 | 000,047,104 | ---- | C] () -- C:\WINDOWS\System32\Wh2Robo.dll [2008.01.05 20:46:30 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Ulead32.INI [2008.01.05 20:43:28 | 000,000,040 | ---- | C] () -- C:\WINDOWS\System32\mscandc.ini [2008.01.05 19:40:06 | 000,044,491 | ---- | C] () -- C:\WINDOWS\System32\MiiIniFile13.ini [2008.01.05 19:40:03 | 000,285,216 | ---- | C] () -- C:\WINDOWS\System32\drivers\Onsio.sys [2008.01.05 19:40:03 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\drivers\Onsreged.sys [2007.05.26 16:52:09 | 000,000,044 | ---- | C] () -- C:\WINDOWS\w9kenlab.dll [2007.03.29 21:23:59 | 000,000,237 | ---- | C] () -- C:\WINDOWS\ktel.ini [2007.01.07 13:22:07 | 000,000,253 | ---- | C] () -- C:\WINDOWS\tm.ini [2006.03.26 20:54:42 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD-Start.INI [2006.01.18 23:38:31 | 000,016,229 | ---- | C] () -- C:\WINDOWS\uedit32.INI [2006.01.18 22:08:14 | 000,001,303 | ---- | C] () -- C:\WINDOWS\wincmd.ini [2005.11.26 17:21:23 | 000,000,027 | ---- | C] () -- C:\WINDOWS\stwin05.ini [2005.10.23 20:28:58 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI [2005.06.08 21:46:25 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxbvvs.dll [2005.06.08 21:46:08 | 000,000,187 | ---- | C] () -- C:\WINDOWS\System32\lxbvcoin.ini [2005.05.06 09:47:01 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\LXPRMON.DLL [2005.05.06 09:47:01 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\LXPMONUI.DLL [2005.01.12 21:53:24 | 000,000,835 | ---- | C] () -- C:\WINDOWS\stwin04.ini [2005.01.07 14:55:51 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2004.12.13 00:22:25 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini [2004.09.26 19:34:11 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI [2004.07.10 17:54:34 | 000,000,094 | ---- | C] () -- C:\WINDOWS\Best32.INI [2004.06.04 10:59:58 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2004.04.03 21:28:29 | 000,053,248 | ---- | C] () -- C:\WINDOWS\Dit.dll [2004.04.03 21:28:29 | 000,000,208 | ---- | C] () -- C:\WINDOWS\Dit.ini [2004.01.10 17:45:15 | 000,000,027 | ---- | C] () -- C:\WINDOWS\stwin03.ini [2003.08.03 22:57:29 | 000,000,137 | ---- | C] () -- C:\WINDOWS\TC.INI [2003.03.29 19:39:59 | 000,000,327 | ---- | C] () -- C:\WINDOWS\d2hnav.ini [2003.03.29 19:36:45 | 000,000,027 | ---- | C] () -- C:\WINDOWS\stwin02.ini [2003.03.29 19:12:34 | 000,048,128 | ---- | C] () -- C:\WINDOWS\System32\V24.DLL [2003.03.29 19:10:12 | 000,001,647 | ---- | C] () -- C:\WINDOWS\QUICKEN.INI [2003.03.29 19:10:12 | 000,000,185 | ---- | C] () -- C:\WINDOWS\Intuprof.ini [2003.02.16 15:33:02 | 000,000,002 | ---- | C] () -- C:\WINDOWS\msoffice.ini [2003.02.16 12:57:53 | 000,000,022 | ---- | C] () -- C:\WINDOWS\exchng.ini [2003.02.08 20:50:55 | 000,001,736 | ---- | C] () -- C:\WINDOWS\TLSDIRX.INI [2003.02.08 17:45:16 | 000,000,487 | ---- | C] () -- C:\WINDOWS\Capictrl.INI [2003.02.08 16:56:38 | 000,000,059 | ---- | C] () -- C:\WINDOWS\WINPHONE.INI [2003.01.20 17:19:01 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2003.01.15 16:41:55 | 000,000,776 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2003.01.15 11:56:26 | 000,003,072 | R--- | C] () -- C:\WINDOWS\winio.sys [2002.11.21 11:01:34 | 000,000,452 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2002.03.28 16:19:04 | 000,491,077 | ---- | C] () -- C:\WINDOWS\System32\QCONNECT.DLL [2001.10.28 17:42:30 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [1998.03.30 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL [1997.11.14 21:06:50 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll [1997.10.24 14:56:36 | 000,001,456 | ---- | C] () -- C:\WINDOWS\LEXSTAT.INI [1996.12.14 00:00:00 | 000,025,600 | ---- | C] () -- C:\WINDOWS\System32\VADE232.DLL [1996.12.14 00:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\ODBCSTF.DLL [1996.12.14 00:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL < End of report > ..passte nicht in das Posting (Fatal Error beim Einfügen) Grüße RJB |
25.04.2010, 16:59 | #27 |
| 10 TAN eingeben und IE7 Browser-Hijack Das Extra-Log: Code:
ATTFilter OTL Extras logfile created on: 25.04.2010 17:26:09 - Run 2 OTL by OldTimer - Version 3.2.3.0 Folder = C:\Dokumente und Einstellungen\*\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 511,00 Mb Total Physical Memory | 176,00 Mb Available Physical Memory | 34,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 73,00% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 54,43 Gb Total Space | 15,04 Gb Free Space | 27,62% Space Free | Partition Type: NTFS Drive D: | 54,87 Gb Total Space | 9,86 Gb Free Space | 17,97% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: * Current User Name: * Logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008 "10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 "65533:TCP" = 65533:TCP:*:Enabled:Services "52344:TCP" = 52344:TCP:*:Enabled:Services "2476:TCP" = 2476:TCP:*:Enabled:Services "3452:TCP" = 3452:TCP:*:Enabled:Services "3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop "8713:TCP" = 8713:TCP:*:Enabled:Services "8714:TCP" = 8714:TCP:*:Enabled:Services "6821:TCP" = 6821:TCP:*:Enabled:Services "6822:TCP" = 6822:TCP:*:Enabled:Services "5134:TCP" = 5134:TCP:*:Enabled:Services "8768:TCP" = 8768:TCP:*:Enabled:Services "5885:TCP" = 5885:TCP:*:Enabled:Services "5886:TCP" = 5886:TCP:*:Enabled:Services "3196:TCP" = 3196:TCP:*:Enabled:Services "4892:TCP" = 4892:TCP:*:Enabled:Services "2697:TCP" = 2697:TCP:*:Enabled:Services "3894:TCP" = 3894:TCP:*:Enabled:Services "7244:TCP" = 7244:TCP:*:Enabled:Services "7245:TCP" = 7245:TCP:*:Enabled:Services "2666:TCP" = 2666:TCP:*:Enabled:Services "3832:TCP" = 3832:TCP:*:Enabled:Services "4603:TCP" = 4603:TCP:*:Enabled:Services "7706:TCP" = 7706:TCP:*:Enabled:Services "7852:TCP" = 7852:TCP:*:Enabled:Services "7853:TCP" = 7853:TCP:*:Enabled:Services "7321:TCP" = 7321:TCP:*:Enabled:Services "7322:TCP" = 7322:TCP:*:Enabled:Services "9805:TCP" = 9805:TCP:*:Enabled:Services "9806:TCP" = 9806:TCP:*:Enabled:Services "7618:TCP" = 7618:TCP:*:Enabled:Services "7619:TCP" = 7619:TCP:*:Enabled:Services "3477:TCP" = 3477:TCP:*:Enabled:Services "5454:TCP" = 5454:TCP:*:Enabled:Services "6311:TCP" = 6311:TCP:*:Enabled:Services "6312:TCP" = 6312:TCP:*:Enabled:Services "2556:TCP" = 2556:TCP:*:Enabled:Services "3612:TCP" = 3612:TCP:*:Enabled:Services "9320:TCP" = 9320:TCP:*:Enabled:Services "9321:TCP" = 9321:TCP:*:Enabled:Services "7040:TCP" = 7040:TCP:*:Enabled:Services "7041:TCP" = 7041:TCP:*:Enabled:Services "7649:TCP" = 7649:TCP:*:Enabled:Services "7650:TCP" = 7650:TCP:*:Enabled:Services "6886:TCP" = 6886:TCP:*:Enabled:Services "6887:TCP" = 6887:TCP:*:Enabled:Services "7489:TCP" = 7489:TCP:*:Enabled:Services "7490:TCP" = 7490:TCP:*:Enabled:Services "2447:TCP" = 2447:TCP:*:Enabled:Services "3394:TCP" = 3394:TCP:*:Enabled:Services "4393:TCP" = 4393:TCP:*:Enabled:Services "7286:TCP" = 7286:TCP:*:Enabled:Services [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008 "10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Player-Netzwerkfreigabedienst "26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 "3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation) "C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation) "C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\Real\RealPlayer\RealPlay.exe" = C:\Programme\Real\RealPlayer\RealPlay.exe:*:Disabled:RealPlayer -- (RealNetworks, Inc.) "C:\Programme\FRITZ!DSL\IGDCTRL.EXE" = C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe -- (AVM Berlin) "C:\Programme\FRITZ!DSL\FBOXUPD.EXE" = C:\Programme\FRITZ!DSL\FBOXUPD.EXE:*:Enabled:AVM FRITZ!Box Firmware-Update -- (AVM Berlin) "C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation) "C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation) "C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{00BA866C-F2A2-4BB9-A308-3DFA695B6F7C}" = Java DB 10.5.3.0 "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{08C0729E-3E50-11DF-9D81-005056806466}" = Google Earth "{121634B0-2F4B-11D3-ADA3-00C04F52DD52}" = Windows Installer Clean Up "{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer "{1B87E140-5F9A-4105-893F-64608B4DF043}" = Verbrauchserfassung "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{208C8C05-6CB8-4950-AFE3-6926B5BA8AB1}" = Application Suite "{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer "{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java(TM) 6 Update 20 "{32A3A4F4-B792-11D6-A78A-00B0D0160180}" = Java(TM) SE Development Kit 6 Update 18 "{32E00E5E-22B1-4D5A-9DC2-CD75E087A5E6}" = Steuer-Spar-Erklärung 2009 "{330184D5-93B0-4FFB-AB93-403FACAE2992}" = Haushaltsbuch8 "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{61738426-8A90-410F-8AE8-DC82BA652C81}" = Hausratverwaltung "{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 "{74A929E2-FBD8-4736-A84E-2ABBB2ABADF2}" = AVM FRITZ!DSL "{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 "{78D7D7CD-A06B-4514-ACBD-8055BF945A8E}" = InfoBibliothek 2 "{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12 "{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{91120000-001A-0000-0000-0000000FF1CE}" = Microsoft Office Outlook 2007 "{95F48480-6D51-49A5-BFC3-7D8043AC5386}" = XP-Clean "{9816CDB7-C36A-4E30-A10D-FD2C5D1313D8}" = Brother HL-2150N "{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9E2C4E97-3C05-4EF8-A3E4-D30261ADA5FE}" = Application Suite "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{AA2E95A6-3B69-4C5B-AA3F-8C4A7E88AAA5}" = AAVUpdateManager "{ABC5404F-F0F3-4221-8DB9-5D34DD866E50}" = Sprite Backup "{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch "{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9 "{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint "{ADFD5C51-7C02-4959-84ED-A44027BE658E}" = Verbrauchserfassung "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{B86DD804-1BA4-4107-AE5C-CB749A65D4EA}" = Application Suite "{BC6349CD-AD7F-4429-9FF3-595C45D5B85A}" = Application Suite "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU "{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU "{C43E4B9C-14C8-4EB0-998B-85211B6EDD61}" = Seagate*DiscWizard "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{CE325D55-FCAF-4273-BB79-069BB8747270}" = TomTom HOME "{DCDDD7DE-E104-4941-B4DD-BE1DD19F889E}" = Application Suite "{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware "{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729) "{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01 "7-Zip" = 7-Zip 4.65 "Ad-Aware" = Ad-Aware "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 "Anti-Twin 2009-05-10 22.42.31" = Anti-Twin (Installation 10.05.2009) "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CCleaner" = CCleaner "FastStone Capture" = FastStone Capture 5.3 "Google Updater" = Google Updater "HDD Health_is1" = HDD Health v3.3 Beta "HijackThis" = HijackThis 2.0.2 "ie8" = Windows Internet Explorer 8 "Lexmark 2200 Series" = Lexmark 2200 Series "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "OUTLOOKR" = Microsoft Office Outlook 2007 Trial "PC SECURITY TEST 2009_is1" = PC SECURITY TEST 2009 "Secunia PSI" = Secunia PSI "SiSLan" = SiS 900 PCI Fast Ethernet Adapter Driver "VLC media player" = VLC media player 1.0.1 "Windows XP Service Pack" = Windows XP Service Pack 3 "XnView_is1" = XnView 1.97.2 "xp-AntiSpy" = xp-AntiSpy 3.97-9 ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 25.04.2010 08:46:07 | Computer Name = * | Source = MSDTC | ID = 4163 Description = Die MS DTC-Protokolldatei wurde nicht gefunden. Stellen Sie sicher, dass alle von MS DTC koordinierten Ressourcen-Manager frei von unsicheren Transaktionen sind, und führen Sie dann "msdtc -resetlog" aus, um die Protokolldatei zu erstelle Error - 25.04.2010 08:46:07 | Computer Name = * | Source = MSDTC | ID = 4185 Description = Der Transaktions-Manager von MS DTC konnte nicht gestartet werden. 'LogInit' hat den Fehler 0x2 zurückgegebe Error - 25.04.2010 08:46:07 | Computer Name = * | Source = MSDTC | ID = 4112 Description = Der Transaktions-Manager von MS DTC konnte nicht gestartet werde Error - 25.04.2010 08:46:07 | Computer Name = * | Source = COM+ | ID = 135763 Description = Transaktionen, die zur Unterstützung von Transaktionskomponenten erforderlich sind, konnten von der Laufzeitumgebung nicht initialisiert werden. Stellen Sie sicher, dass MS DTC ausgeführt wird.(DtcGetTransactionManagerEx(): hr = 0x8004d01 Error - 25.04.2010 09:21:19 | Computer Name = * | Source = MSDTC | ID = 4163 Description = Die MS DTC-Protokolldatei wurde nicht gefunden. Stellen Sie sicher, dass alle von MS DTC koordinierten Ressourcen-Manager frei von unsicheren Transaktionen sind, und führen Sie dann "msdtc -resetlog" aus, um die Protokolldatei zu erstelle Error - 25.04.2010 09:21:19 | Computer Name = * | Source = MSDTC | ID = 4185 Description = Der Transaktions-Manager von MS DTC konnte nicht gestartet werden. 'LogInit' hat den Fehler 0x2 zurückgegebe Error - 25.04.2010 09:21:19 | Computer Name = * | Source = MSDTC | ID = 4112 Description = Der Transaktions-Manager von MS DTC konnte nicht gestartet werde Error - 25.04.2010 10:32:45 | Computer Name = * | Source = MSDTC | ID = 4163 Description = Die MS DTC-Protokolldatei wurde nicht gefunden. Stellen Sie sicher, dass alle von MS DTC koordinierten Ressourcen-Manager frei von unsicheren Transaktionen sind, und führen Sie dann "msdtc -resetlog" aus, um die Protokolldatei zu erstelle Error - 25.04.2010 10:32:45 | Computer Name = * | Source = MSDTC | ID = 4185 Description = Der Transaktions-Manager von MS DTC konnte nicht gestartet werden. 'LogInit' hat den Fehler 0x2 zurückgegebe Error - 25.04.2010 10:32:45 | Computer Name = * | Source = MSDTC | ID = 4112 Description = Der Transaktions-Manager von MS DTC konnte nicht gestartet werde [ System Events ] Error - 25.04.2010 08:43:55 | Computer Name = * | Source = Service Control Manager | ID = 7001 Description = Der Dienst "Windows Media Player-Netzwerkfreigabedienst" ist vom Dienst "Universeller Plug & Play-Gerätehost" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: %%1058 Error - 25.04.2010 08:46:07 | Computer Name = * | Source = Service Control Manager | ID = 7024 Description = Der Dienst "Distributed Transaction Coordinator" wurde mit folgendem dienstspezifischem Fehler beendet: 3221229584 (0xC0001010). Error - 25.04.2010 08:57:49 | Computer Name = * | Source = W32Time | ID = 39452689 Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer ",0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 30 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751) Error - 25.04.2010 08:57:49 | Computer Name = * | Source = W32Time | ID = 39452701 Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 29 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. Error - 25.04.2010 09:21:19 | Computer Name = * | Source = Service Control Manager | ID = 7024 Description = Der Dienst "Distributed Transaction Coordinator" wurde mit folgendem dienstspezifischem Fehler beendet: 3221229584 (0xC0001010). Error - 25.04.2010 09:27:50 | Computer Name = * | Source = W32Time | ID = 39452689 Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer ",0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 60 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751) Error - 25.04.2010 09:27:50 | Computer Name = * | Source = W32Time | ID = 39452701 Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 59 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. Error - 25.04.2010 10:27:50 | Computer Name = * | Source = W32Time | ID = 39452689 Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer ",0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 120 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751) Error - 25.04.2010 10:27:50 | Computer Name = * | Source = W32Time | ID = 39452701 Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 118 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit. Error - 25.04.2010 10:32:45 | Computer Name = * | Source = Service Control Manager | ID = 7024 Description = Der Dienst "Distributed Transaction Coordinator" wurde mit folgendem dienstspezifischem Fehler beendet: 3221229584 (0xC0001010). < End of report > Grüße RJB |
25.04.2010, 20:36 | #28 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 10 TAN eingeben und IE7 Browser-Hijack Sieht sehr gut aus. Noch Probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
25.04.2010, 20:54 | #29 | ||
| 10 TAN eingeben und IE7 Browser-Hijack Hallo Cosinus, Zitat:
Zitat:
...kann ja ein, dass ich durch die MBR-Infektion jetzt "die Flöhe husten höre" aber was ist damit: Code:
ATTFilter "3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop Grüße RJB |
26.04.2010, 10:09 | #30 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 10 TAN eingeben und IE7 Browser-Hijack Die MSDTC Fehler sagen mir so nichts. Müsste ich auch erstmal recherchieren, was das für Auswirkungen haben könnte. Den 3389-Eintrag kannst Du eigentlich entfernen über die Windows-Firewall, der muss mir durch die Lappen gegangen sein. Der sorgt dafür, dass RemoteDesktop in der Windows-Firewall erlaubt ist.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu 10 TAN eingeben und IE7 Browser-Hijack |
10 tan, 10 tan trojaner, ad-watch, adobe, antivir, antivir guard, avgntflt.sys, avira, bho, browser, browser hijacker, desktop, diagnostics, dsl, e-banking, einstellungen, explorer, fontcache, google links umgeleitet, gupdate, hijack, hijackthis, hkus\s-1-5-18, home, install.exe, msiexec.exe, nvidia, object, pdf, plug-in, realtek, registry, schannel.dll, software, starten, stick, suchlauf, system, tracker, usb, windows internet, windows internet explorer, windows xp, wlan, wsearch |