|
Plagegeister aller Art und deren Bekämpfung: Antimalware Doctor - "idstrf" kommt immer wiederWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.04.2010, 21:52 | #1 |
| Antimalware Doctor - "idstrf" kommt immer wieder Hallo zusammen, wie viele andere teile ich das Antimalware -Doctor Problem. EIniges habe ich mit Hilfe des Forums auch schon gelernt und gemacht. 1) rkill 2) ccleaner 3) Malwarebytes mit aktueller Datenbak 4016 Malwarebytes habe ich mehrfach laufen lassen. Jedes Mal wurde etwas gefunden und entfernt. Nun bin ich aber an einem Punkt, wo es nicht weiter geht, da immer wieder derselbe infizierte Registrierungswert auftaucht: Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully. Antimalware Doctor taucht aktiv nicht mehr auf, allerdings finde ich es beunruhigend, dass Malwarebytes nach jedem Neustart dasselbe findet. Wer kann weiter helfen? Hier meine Logs: *********************************** Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 4016 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 21.04.2010 23:53:22 mbam-log-2010-04-21 (23-53-22).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 147563 Laufzeit: 19 Minute(n), 39 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ******************************************************* OTL OTL logfile created on: 22.04.2010 21:32:31 - Run 1 OTL by OldTimer - Version 3.2.2.0 Folder = C:\Dokumente und Einstellungen\***\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 735,00 Mb Total Physical Memory | 359,00 Mb Available Physical Memory | 49,00% Memory free 2,00 Gb Paging File | 1,00 Gb Available in Paging File | 78,00% Paging File free Paging file location(s): D:\pagefile.sys 1000 1104 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = D:\Programme Drive C: | 4,00 Gb Total Space | 0,62 Gb Free Space | 15,51% Space Free | Partition Type: NTFS Drive D: | 33,25 Gb Total Space | 16,44 Gb Free Space | 49,45% Space Free | Partition Type: NTFS Unable to calculate disk information. Drive F: | 241,71 Mb Total Space | 162,34 Mb Free Space | 67,16% Space Free | Partition Type: FAT G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: LAPPI Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) PRC - D:\Programme\Herbert\herbert.exe (Malwarebytes Corporation) PRC - D:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe () PRC - D:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org) PRC - D:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org) PRC - D:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - D:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) PRC - D:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation) PRC - D:\Programme\HPQ\Quick Launch Buttons\eabservr.exe (Hewlett-Packard ) PRC - D:\Programme\HPQ\Shared\HpqToaster.exe () PRC - C:\WINDOWS\system32\bcmntray.EXE (Broadcom Corporation) PRC - D:\Programme\palmOne\HOTSYNC.EXE (Palm, Inc.) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) ========== Win32 Services (SafeList) ========== SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (odserv) -- D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (ose) -- D:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (Ser2pl) -- C:\WINDOWS\system32\drivers\ser2pl.sys (Prolific Technology Inc.) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- D:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (tifm21) -- C:\WINDOWS\system32\drivers\tifm21.sys (Texas Instruments) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (CAMCHALA) -- C:\WINDOWS\system32\drivers\camc6hal.sys (Conexant Systems Inc.) DRV - (CAMCAUD) -- C:\WINDOWS\system32\drivers\camc6aud.sys (Conexant Systems Inc.) DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.) DRV - (BCM43XX) -- C:\WINDOWS\system32\drivers\BCMWL5.SYS (Broadcom Corporation) DRV - (eabfiltr) -- C:\WINDOWS\system32\drivers\eabfiltr.sys (Hewlett-Packard Development Company, L.P.) DRV - (eabusb) -- C:\WINDOWS\system32\drivers\EabUsb.sys (Hewlett-Packard Development Company, L.P.) DRV - (HSF_DP) -- C:\WINDOWS\system32\drivers\HSF_DP.sys (Conexant Systems, Inc.) DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.) DRV - (HSFHWATI) -- C:\WINDOWS\system32\drivers\HSFHWATI.sys (Conexant Systems, Inc.) DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices) DRV - (b57w2k) Broadcom NetLink (TM) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "www.web.de" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: D:\Programme\Mozilla Firefox\components [2010.04.18 23:08:47 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2010.04.18 23:08:47 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Components: D:\Programme\Mozilla Thunderbird\components [2010.04.06 22:47:11 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.4\extensions\\Plugins: D:\Programme\Mozilla Thunderbird\plugins [2010.02.04 22:58:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2010.02.04 22:58:22 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.02.03 23:16:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\h19togks.default\extensions [2010.04.20 21:26:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\qfbrfcrs.default\extensions [2010.02.16 11:08:14 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\qfbrfcrs.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.02.15 22:17:08 | 000,000,000 | ---D | M] -- D:\Programme\Mozilla Firefox\extensions [2010.01.20 11:49:24 | 000,164,120 | ---- | M] (Tracker Software Products Ltd.) -- D:\Programme\Mozilla Firefox\plugins\npPDFXCviewNPPlugin.dll [2010.01.16 03:15:29 | 000,001,392 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.01.16 03:15:29 | 000,002,344 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.01.16 03:15:29 | 000,006,805 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.01.16 03:15:29 | 000,001,178 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.01.16 03:15:29 | 000,001,105 | ---- | M] () -- D:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (C:\WINDOWS\system32\ezcimf5.dll) - {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - C:\WINDOWS\system32\ezcimf5.dll () O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\System32\bcmntray.exe (Broadcom Corporation) O4 - HKLM..\Run: [eabconfg.cpl] D:\Programme\HPQ\Quick Launch Buttons\EabServr.exe (Hewlett-Packard ) O4 - HKCU..\Run: [H/PC Connection Agent] D:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) O4 - HKCU..\Run: [mcexecwin] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\aq13xh59.dll () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk = D:\Programme\Windows Desktop Search\WindowsSearch.exe (Microsoft Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Sparbuch heute.lnk = D:\Programme\WISO\Sparbuch 2009\meinsparbuchheute.exe () O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\HotSync Manager.lnk = D:\Programme\palmOne\HOTSYNC.EXE (Palm, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = D:\Programme\OpenOffice.org 3\program\quickstart.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - D:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Java Plug-in 1.5.0_04) O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O22 - SharedTaskScheduler: {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - kjsfi8sjefiuoshiefyhiusdhfdf - C:\WINDOWS\system32\ezcimf5.dll () O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - D:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.02.03 09:13:42 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.04.22 21:32:04 | 000,562,176 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2010.04.22 00:03:15 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent [2010.04.20 23:16:11 | 000,000,000 | ---D | C] -- D:\Programme\Herbert [2010.04.20 22:35:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes [2010.04.20 22:35:06 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.04.20 22:35:04 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.04.20 22:35:04 | 000,000,000 | ---D | C] -- D:\Programme\Malwarebytes' Anti-Malware [2010.04.20 22:35:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.04.20 21:37:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\89489776028B56333CA1BC863035958F [2010.04.20 21:29:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun [2010.04.18 09:14:07 | 000,000,000 | ---D | C] -- D:\Programme\cdex_151 [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.04.22 21:38:16 | 000,562,176 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2010.04.22 21:17:23 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.04.22 21:17:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.04.22 00:03:21 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini [2010.04.22 00:03:20 | 003,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT [2010.04.20 23:44:31 | 000,000,523 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.04.20 22:03:11 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.04.20 21:37:07 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\ezcimf5.dll [2010.04.18 10:23:35 | 000,072,640 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.04.18 08:47:06 | 000,002,083 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft ActiveSync.lnk [2010.04.12 22:51:04 | 000,000,567 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Hotsync Manager.lnk [2010.04.12 22:39:42 | 000,000,541 | ---- | M] () -- C:\WINDOWS\wiso.ini [2010.04.07 06:57:34 | 001,086,472 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.04.07 06:57:34 | 000,477,378 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.04.07 06:57:34 | 000,435,594 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.04.07 06:57:34 | 000,091,122 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.04.07 06:57:34 | 000,068,490 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.04.06 22:44:48 | 000,001,527 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Thunderbird.lnk [2010.03.29 15:24:58 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.03.29 15:24:46 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.03.25 01:21:14 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\UMDF\Msft_User_WpdMtpDr_01_00_00.Wdf [2010.03.25 00:52:38 | 000,010,752 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.04.20 22:35:08 | 000,000,523 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.04.20 21:37:07 | 000,030,000 | ---- | C] () -- C:\WINDOWS\System32\ezcimf5.dll [2010.04.12 22:51:04 | 000,000,567 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Hotsync Manager.lnk [2010.04.06 22:44:48 | 000,001,527 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Thunderbird.lnk [2010.03.25 00:50:42 | 000,010,752 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.02.13 13:02:27 | 000,000,541 | ---- | C] () -- C:\WINDOWS\wiso.ini [2010.02.03 11:56:19 | 000,000,234 | ---- | C] () -- C:\WINDOWS\apis-iq.ini [2010.02.03 11:47:50 | 001,212,416 | ---- | C] () -- C:\WINDOWS\System32\bcmwcfg.dll [2010.02.03 11:47:50 | 000,950,272 | ---- | C] () -- C:\WINDOWS\System32\bcmacfg.dll [2010.02.03 11:47:50 | 000,913,408 | ---- | C] () -- C:\WINDOWS\System32\bcmctrls.dll [2010.02.03 11:47:50 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\preflib.dll [2010.02.03 11:42:01 | 000,000,027 | ---- | C] () -- C:\WINDOWS\SmartAudio.INI [2008.05.26 23:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini [2008.05.26 23:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini [2008.05.26 23:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini [2004.11.30 10:19:45 | 000,000,618 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2004.01.13 20:46:34 | 000,172,032 | ---- | C] () -- C:\WINDOWS\System32\tifmicon.dll < End of report > ******************************************************** OTL Extras logfile created on: 22.04.2010 21:32:31 - Run 1 OTL by OldTimer - Version 3.2.2.0 Folder = C:\Dokumente und Einstellungen\Michael\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 735,00 Mb Total Physical Memory | 359,00 Mb Available Physical Memory | 49,00% Memory free 2,00 Gb Paging File | 1,00 Gb Available in Paging File | 78,00% Paging File free Paging file location(s): D:\pagefile.sys 1000 1104 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = D:\Programme Drive C: | 4,00 Gb Total Space | 0,62 Gb Free Space | 15,51% Space Free | Partition Type: NTFS Drive D: | 33,25 Gb Total Space | 16,44 Gb Free Space | 49,45% Space Free | Partition Type: NTFS Unable to calculate disk information. Drive F: | 241,71 Mb Total Space | 162,34 Mb Free Space | 67,16% Space Free | Partition Type: FAT G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: LAPPI Current User Name: Michael Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .html [@ = htmlfile] -- Reg Error: Key error. File not found [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "D:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [open] -- Reg Error: Key error. htmlfile [opennew] -- Reg Error: Key error. htmlfile [print] -- "D:\Programme\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation) http [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome File not found https [open] -- "C:\Programme\Internet Explorer\iexplore.exe" -nohome File not found piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Applications\iexplore.exe [open] -- Reg Error: Key error. CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} [OpenHomePage] -- "C:\Programme\Internet Explorer\iexplore.exe" File not found ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNetisabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNetisabled:@xpsp2res.dll,-22008 "26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "D:\Programme\Microsoft ActiveSync\rapimgr.exe" = D:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation) "D:\Programme\Microsoft ActiveSync\wcescomm.exe" = D:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation) "D:\Programme\Microsoft ActiveSync\WCESMgr.exe" = D:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "D:\Programme\Opera\opera.exe" = D:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- File not found "D:\Programme\TVAnts\Tvants.exe" = D:\Programme\TVAnts\Tvants.exe:*:Enabled:TVAnts -- (Zhejiang University) "D:\Programme\SopCast\adv\SopAdver.exe" = D:\Programme\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver -- (www.sopcast.com) "D:\Programme\SopCast\SopCast.exe" = D:\Programme\SopCast\SopCast.exe:*:Enabled:SopCast Main Application -- (www.sopcast.com) "D:\Programme\Microsoft ActiveSync\rapimgr.exe" = D:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation) "D:\Programme\Microsoft ActiveSync\wcescomm.exe" = D:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation) "D:\Programme\Microsoft ActiveSync\WCESMgr.exe" = D:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation) "D:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = D:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}" = WISO Sparbuch 2009 "{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Systemsteuerung "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16 "{3248F0A8-6813-11D6-A77B-00B0D0150040}" = J2SE Runtime Environment 5.0 Update 4 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{4302B2DD-D958-40E3-BAF3-B07FFE1978CE}" = HP Wireless Assistant 2.00 B1 "{76ee9069-4bd0-5010-9753-7852aa9b060a}" = APIS IQ-RM PRO Version 5.1 "{7B6CF9EB-CB2B-4A1A-81A9-BE1A9044690A}" = TIPCI "{8D273DE5-ABFA-4BD0-A9D7-EE9C971438C4}_is1" = PDF-Viewer "{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12 "{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007 "{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007 "{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007 "{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007 "{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007 "{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{91120000-0014-0000-0000-0000000FF1CE}" = Microsoft Office Professional 2007 "{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync "{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1 "{9B7EBE71-677B-11D4-BD0F-0001020A5D35}" = DAO 3.6 Installation "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{B7F54262-AB66-44B3-88BF-9FC69941B643}" = Broadcom NetXtreme Ethernet Controller "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{CEB326EC-8F40-47B2-BA22-BB092565D66F}" = Quick Launch Buttons 5.20 G1 "{E89D78B8-28F7-412F-8B26-C684739CBBDC}" = Palm Desktop "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "Broadcom 802.11 Application" = Broadcom Wireless Utility "Broadcom 802.11b Network Adapter" = Broadcom 802.11 Wireless LAN Adapter "CCleaner" = CCleaner "CNXT_AUDIO" = Conexant AC-Link Audio "CNXT_MODEM_PCI_VEN_1002&DEV_4378&SUBSYS_308x103C" = SoftV.90 Data Fax Modem with SmartCP "FastStone Capture" = FastStone Capture 5.3 "InstallShield_{7B6CF9EB-CB2B-4A1A-81A9-BE1A9044690A}" = Texas Instruments PCIxx21/x515/xx12 drivers. "IrfanView" = IrfanView (remove only) "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) "Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4) "MP3Cover" = MP3Cover "Mp3tag" = Mp3tag v2.46a "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "PROR" = Microsoft Office Professional 2007 "SopCast" = SopCast 3.2.4 "SynTPDeinstKey" = Synaptics Pointing Device Driver "TVAnts 1.0" = TVAnts 1.0 "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows Mobile Device Handbook" = Windows Mobile®-MDA Compact V Handbuch "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 "xp-AntiSpy" = xp-AntiSpy 3.97-8 ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 17.02.2010 17:48:14 | Computer Name = LAPPI | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung wmain09.dll, Version 16.14.0.6537, fehlgeschlagenes Modul qtcore4.dll, Version 4.4.2.8283, Fehleradresse 0x000a5715. Error - 20.03.2010 03:42:07 | Computer Name = LAPPI | Source = Windows Search Service | ID = 3024 Description = Die Aktualisierung kann nicht gestartet werden, da kein Zugriff auf die Inhaltsquellen bestand. Beheben Sie die Fehler, und starten Sie die Aktualisierung erneut. Kontext: Anwendung, SystemIndex Katalog [ System Events ] Error - 22.04.2010 15:17:23 | Computer Name = LAPPI | Source = SideBySide | ID = 16842811 Description = Resolve Partial Assembly ist für Microsoft.VC90.CRT fehlgeschlagen. Referenzfehlermeldung: Die referenzierte Assemblierung ist nicht auf dem Computer installiert. . Error - 22.04.2010 15:17:23 | Computer Name = LAPPI | Source = SideBySide | ID = 16842811 Description = Generate Activation Context ist für D:\Programme\Avira\AntiVir Desktop\sched.exe fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. . Error - 22.04.2010 15:17:23 | Computer Name = LAPPI | Source = SideBySide | ID = 16842784 Description = Abhängige Assemblierung "Microsoft.VC90.CRT" konnte nicht gefunden werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer installiert. Error - 22.04.2010 15:17:23 | Computer Name = LAPPI | Source = SideBySide | ID = 16842811 Description = Resolve Partial Assembly ist für Microsoft.VC90.CRT fehlgeschlagen. Referenzfehlermeldung: Die referenzierte Assemblierung ist nicht auf dem Computer installiert. . Error - 22.04.2010 15:17:23 | Computer Name = LAPPI | Source = SideBySide | ID = 16842811 Description = Generate Activation Context ist für D:\Programme\Avira\AntiVir Desktop\avguard.exe fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. . Error - 22.04.2010 15:18:12 | Computer Name = LAPPI | Source = SideBySide | ID = 16842784 Description = Abhängige Assemblierung "Microsoft.VC90.CRT" konnte nicht gefunden werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer installiert. Error - 22.04.2010 15:18:12 | Computer Name = LAPPI | Source = SideBySide | ID = 16842811 Description = Resolve Partial Assembly ist für Microsoft.VC90.CRT fehlgeschlagen. Referenzfehlermeldung: Die referenzierte Assemblierung ist nicht auf dem Computer installiert. . Error - 22.04.2010 15:18:12 | Computer Name = LAPPI | Source = SideBySide | ID = 16842811 Description = Generate Activation Context ist für D:\Programme\Avira\AntiVir Desktop\avgnt.exe fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. . Error - 22.04.2010 15:18:21 | Computer Name = LAPPI | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Avira AntiVir Planer" wurde aufgrund folgenden Fehlers nicht gestartet: %%14001 Error - 22.04.2010 15:18:21 | Computer Name = LAPPI | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Avira AntiVir Guard" wurde aufgrund folgenden Fehlers nicht gestartet: %%14001 < End of report > ******************************************************** |
24.04.2010, 16:10 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Antimalware Doctor - "idstrf" kommt immer wieder Hallo und
__________________Starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O2 - BHO: (C:\WINDOWS\system32\ezcimf5.dll) - {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - C:\WINDOWS\system32\ezcimf5.dll () O4 - HKCU..\Run: [mcexecwin] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\aq13xh59.dll () O22 - SharedTaskScheduler: {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - kjsfi8sjefiuoshiefyhiusdhfdf - C:\WINDOWS\system32\ezcimf5.dll () [2010.04.20 21:37:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\89489776028B56333CA1BC863035958F [2010.04.20 21:37:07 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\ezcimf5.dll :Commands [resethosts] [emptytemp] Das Logfilemüsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte.
__________________ |
25.04.2010, 20:19 | #3 |
| Antimalware Doctor - "idstrf" kommt immer wieder Hallo Arne,
__________________zunächst Mal großes danke vorab Toll,das ich jemand mit meinem Problem beschäftigt. Ich wäre sonst ziemlich ratlos. Gerne würde ich ja auch verstehen, was mit meinem Rechner passiert, warum Malbytes nicht wie beschrieben alles killt und vor allem, wie ich mich besser schützen kann. Aber eins nach dem anderen. Hier das Logfile. Beim Booten kamm noch eine Rundll Fehlermeldung : "Fehler beim Laden von C:\Dokume...\aq13x59.dll" ********************************* All processes killed ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A2BA40A0-74F1-52BD-F411-00B15A2C8953}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A2BA40A0-74F1-52BD-F411-00B15A2C8953}\ deleted successfully. C:\WINDOWS\system32\ezcimf5.dll moved successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\mcexecwin deleted successfully. C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\aq13xh59.dll moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\\{A2BA40A0-74F1-52BD-F411-00B15A2C8953} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A2BA40A0-74F1-52BD-F411-00B15A2C8953}\ not found. File C:\WINDOWS\system32\ezcimf5.dll not found. C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\89489776028B56333CA1BC863035958F folder moved successfully. File C:\WINDOWS\System32\ezcimf5.dll not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 65984 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Michael ->Temp folder emptied: 147311140 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 58824087 bytes ->Flash cache emptied: 0 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Surfer ->Temp folder emptied: 12126913 bytes ->Temporary Internet Files folder emptied: 146903 bytes ->Java cache emptied: 13310071 bytes ->FireFox cache emptied: 116518485 bytes ->Flash cache emptied: 0 bytes Gruß mikl |
25.04.2010, 20:38 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Antimalware Doctor - "idstrf" kommt immer wiederZitat:
Mach bitte erstmal nen Durchgang mit CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
26.04.2010, 10:48 | #5 |
| Antimalware Doctor - "idstrf" kommt immer wieder Hallo Arne, hier der log, danke vorab Gruß Michael ********************************************* ComboFix 10-04-21.01 - Michael 26.04.2010 11:34:15.1.1 - x86 ausgeführt von:: c:\dokumente und einstellungen\Michael\Desktop\cofi.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . Infizierte Kopie von c:\windows\system32\drivers\eabfiltr.sys wurde gefunden und desinfiziert Kopie von - Kitty had a snack wurde wiederhergestellt . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SSHNAS -------\Legacy_SVCHOST ((((((((((((((((((((((( Dateien erstellt von 2010-03-26 bis 2010-04-26 )))))))))))))))))))))))))))))) . 2010-04-25 19:02 . 2010-04-25 19:02 -------- d-----w- C:\_OTL 2010-04-21 19:53 . 2010-04-21 19:53 -------- d-----w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\Malwarebytes 2010-04-20 21:16 . 2010-04-21 21:52 -------- d-----w- d:\programme\Herbert 2010-04-20 20:35 . 2010-04-20 20:35 -------- d-----w- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Malwarebytes 2010-04-20 20:35 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-04-20 20:35 . 2010-04-20 21:07 -------- d-----w- d:\programme\Malwarebytes' Anti-Malware 2010-04-20 20:35 . 2010-04-20 20:35 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-04-20 20:35 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-04-20 20:15 . 2010-04-20 20:16 -------- d-sh--w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\lowsec 2010-04-20 19:29 . 2010-04-20 19:29 -------- d-----w- c:\windows\Sun 2010-04-18 07:14 . 2010-04-18 09:57 -------- d-----w- d:\programme\cdex_151 2010-04-11 19:34 . 2010-04-11 19:46 -------- d-----w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\Mp3tag 2010-04-06 20:19 . 2010-04-06 20:19 -------- d-----w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\Windows Search . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-04-26 09:39 . 2008-04-14 12:00 91122 ----a-w- c:\windows\system32\perfc007.dat 2010-04-26 09:39 . 2008-04-14 12:00 477378 ----a-w- c:\windows\system32\perfh007.dat 2010-04-26 09:21 . 2010-02-14 09:43 -------- d-----w- d:\programme\CCleaner 2010-04-20 18:53 . 2010-02-04 20:57 -------- d-----w- d:\programme\Mozilla Thunderbird 2010-04-18 08:23 . 2010-02-03 12:25 72640 ----a-w- c:\dokumente und einstellungen\Michael\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-04-06 22:07 . 2010-03-20 09:33 -------- d-----w- d:\programme\MP3Cover 2010-04-06 21:05 . 2010-03-21 13:19 -------- d-----w- d:\programme\palmOne 2010-04-06 20:35 . 2010-02-04 21:55 72640 ----a-w- c:\dokumente und einstellungen\Surfer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-03-21 21:43 . 2010-03-21 21:43 65536 ----a-r- c:\dokumente und einstellungen\Urthe\Anwendungsdaten\Microsoft\Installer\{E89D78B8-28F7-412F-8B26-C684739CBBDC}\PalmDesktopShortcut.exe 2010-03-21 21:43 . 2010-03-21 21:43 65536 ----a-r- c:\dokumente und einstellungen\Urthe\Anwendungsdaten\Microsoft\Installer\{E89D78B8-28F7-412F-8B26-C684739CBBDC}\ARPPRODUCTICON.exe 2010-03-21 21:38 . 2010-03-21 21:38 -------- d-----w- c:\dokumente und einstellungen\Urthe\Anwendungsdaten\Windows Search 2010-03-21 13:19 . 2010-03-21 13:19 65536 ----a-r- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{E89D78B8-28F7-412F-8B26-C684739CBBDC}\PalmDesktopShortcut.exe 2010-03-21 13:19 . 2010-03-21 13:19 65536 ----a-r- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Microsoft\Installer\{E89D78B8-28F7-412F-8B26-C684739CBBDC}\ARPPRODUCTICON.exe 2010-03-21 12:41 . 2010-03-21 12:41 -------- d-----w- c:\dokumente und einstellungen\Urthe\Anwendungsdaten\Windows Desktop Search 2010-03-20 21:07 . 2010-03-21 12:32 39552 ----a-w- c:\windows\system32\drivers\ser2pl.sys 2010-03-20 19:42 . 2010-03-20 19:42 -------- d-----w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\Windows Desktop Search 2010-03-20 11:24 . 2010-03-20 11:24 -------- d-----w- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Windows Search 2010-03-20 11:16 . 2010-03-20 09:41 -------- d-----w- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mp3tag 2010-03-20 09:40 . 2010-03-20 09:40 -------- d-----w- d:\programme\Mp3tag 2010-03-20 07:51 . 2010-03-19 21:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2010-03-19 22:47 . 2010-03-19 22:47 -------- d-----w- d:\programme\Windows Media Connect 2 2010-03-19 21:49 . 2010-03-19 21:49 -------- d-----w- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Windows Desktop Search 2010-03-19 21:48 . 2010-03-19 21:48 -------- d-----w- d:\programme\Windows Desktop Search 2010-03-19 21:29 . 2010-03-19 21:29 -------- d-----w- d:\programme\Microsoft Works 2010-03-19 21:27 . 2010-03-19 21:27 -------- d-----w- d:\programme\Microsoft.NET 2010-03-19 20:40 . 2010-03-19 20:40 -------- d-----w- d:\programme\Microsoft ActiveSync 2010-03-19 20:39 . 2010-03-19 20:39 -------- d-----w- d:\programme\Windows Mobile-MDA Compact V Handbuch 2010-03-16 20:21 . 2010-02-16 09:12 1 ----a-w- c:\dokumente und einstellungen\Michael\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-03-14 19:34 . 2010-03-02 20:54 1 ----a-w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-03-14 10:09 . 2010-02-05 21:56 1 ----a-w- c:\dokumente und einstellungen\Urthe\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2010-03-12 19:33 . 2010-03-12 19:33 -------- d-----w- c:\dokumente und einstellungen\Michael\Anwendungsdaten\Thunderbird 2010-03-02 20:52 . 2010-03-02 20:52 -------- d-----w- c:\dokumente und einstellungen\Surfer\Anwendungsdaten\OpenOffice.org 2010-02-05 21:47 . 2010-02-05 21:48 411368 ----a-w- c:\windows\system32\deploytk.dll 2010-02-04 20:58 . 2010-02-04 20:58 0 ----a-w- c:\windows\nsreg.dat 2010-02-04 11:38 . 2010-02-03 21:06 4212 ---h--w- c:\windows\system32\zllictbl.dat 2010-02-03 09:47 . 2010-02-03 09:47 17801 ----a-w- c:\windows\system32\drivers\AegisP.sys 2010-02-03 08:12 . 2010-02-03 07:12 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2010-02-03 07:09 . 2010-02-03 07:09 21740 ----a-w- c:\windows\system32\emptyregdb.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Broadcom Wireless Manager UI"="c:\windows\system32\bcmntray" [X] "SynTPEnh"="d:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-06-20 729178] "ATIPTA"="d:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-09 344064] "SunJavaUpdateSched"="d:\programme\Java\jre6\bin\jusched.exe" [2010-02-05 149280] "hpWirelessAssistant"="d:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-10-24 499712] "eabconfg.cpl"="d:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2005-12-22 405504] "avgnt"="d:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "IQ Data Setup"="d:\programme\Apis\IQRMPRO51\setup.exe" [2006-11-09 1112545] c:\dokumente und einstellungen\Surfer\Startmen\Programme\Autostart\ OpenOffice.org 3.1.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000] c:\dokumente und einstellungen\Urthe\Startmen\Programme\Autostart\ HotSync Manager.lnk - d:\programme\palmOne\HOTSYNC.EXE [2004-4-13 299008] OpenOffice.org 3.1.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000] c:\dokumente und einstellungen\Michael\Startmen\Programme\Autostart\ HotSync Manager.lnk - d:\programme\palmOne\HOTSYNC.EXE [2004-4-13 299008] OpenOffice.org 3.1.lnk - d:\programme\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Windows Search.lnk - d:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904] WISO Mein Sparbuch heute.lnk - d:\programme\WISO\Sparbuch 2009\meinsparbuchheute.exe [2010-2-13 1140008] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "d:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Programme\\TVAnts\\Tvants.exe"= "d:\\Programme\\SopCast\\adv\\SopAdver.exe"= "d:\\Programme\\SopCast\\SopCast.exe"= "d:\programme\Microsoft ActiveSync\rapimgr.exe"= d:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "d:\programme\Microsoft ActiveSync\wcescomm.exe"= d:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "d:\programme\Microsoft ActiveSync\WCESMgr.exe"= d:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "d:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [03.02.2010 11:42 200576] S0 cwzcszxh;cwzcszxh; [x] S2 AntiVirSchedulerService;Avira AntiVir Planer;d:\programme\Avira\AntiVir Desktop\sched.exe [03.02.2010 20:42 108289] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank IE: Nach Microsoft E&xel exportieren - d:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\qfbrfcrs.default\ FF - prefs.js: browser.startup.homepage - WEB.DE - E-Mail - Suche - DSL - Modem - Shopping - Entertainment FF - plugin: d:\programme\PDF\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); d:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); d:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); d:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); d:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); d:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); d:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); d:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); d:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); d:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com"); d:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); d:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2010-04-26 11:40 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(868) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(1836) d:\programme\Windows Desktop Search\deskbar.dll d:\programme\Windows Desktop Search\de-de\dbres.dll.mui d:\programme\Windows Desktop Search\dbres.dll d:\programme\Windows Desktop Search\wordwheel.dll d:\programme\Windows Desktop Search\de-de\msnlExtRes.dll.mui d:\programme\Windows Desktop Search\msnlExtRes.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\System32\wltrysvc.exe c:\windows\System32\bcmwltry.exe d:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\SearchIndexer.exe d:\programme\Hewlett-Packard\Shared\hpqwmiex.exe c:\windows\system32\Ati2evxx.exe c:\windows\system32\bcmntray.exe d:\programme\Microsoft ActiveSync\wcescomm.exe d:\progra~1\HPQ\SHARED\HPQTOA~1.EXE d:\programme\HPQ\Shared\hpqwmi.exe d:\progra~1\MICROS~2\rapimgr.exe d:\programme\OpenOffice.org 3\program\soffice.exe d:\programme\OpenOffice.org 3\program\soffice.bin c:\\?\c:\windows\system32\WBEM\WMIADAP.EXE . ************************************************************************** . Zeit der Fertigstellung: 2010-04-26 11:43:57 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-04-26 09:43 Vor Suchlauf: 1.082.494.976 Bytes frei Nach Suchlauf: 1.006.362.624 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - E70F1650083471377586ABD4CFA60247 |
26.04.2010, 11:02 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Antimalware Doctor - "idstrf" kommt immer wieder Ok. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ --> Antimalware Doctor - "idstrf" kommt immer wieder |
26.04.2010, 11:10 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Antimalware Doctor - "idstrf" kommt immer wieder @Computerfan: Solche Tipps von Dir sind kontraproduktiv! Bitte AVG nicht installieren! Das bringt einen Hintergrundwächter mit, deswegen müsste AntiVir zuerst deinstalliert werden! Außerdem stört das jetzt nur, ich will die Kontrollscans von den anderen Tools sehen, die sich wohlgemerkt mit einem anderen aktiven Virenscanner "verstehen". Nein. Ich möchte erst die Logs der anderen Tools sehen.
__________________ Logfiles bitte immer in CODE-Tags posten |
28.04.2010, 11:44 | #8 |
| Antimalware Doctor - "idstrf" kommt immer wieder Hallo Arne, habe soeben beide Scans gemacht. Malwarebytes hat drei Infektionen gefunden. Log Folgt. Die habe ich entfernen lassen, dann Neustart. Dann habe ich SUPERAntiSpyware laufen lassen, der hat nichts gefunden, dann habe ich noch mal Malwarebytes losgeschickt und der hat dann auch nichts gefunden. Die Logs kommen also in folgender Rehenfolge: Malwrebtes - SASW - Malwarebytes gruß mikl ********************************************* Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 4044 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 28.04.2010 09:35:00 mbam-log-2010-04-28 (09-35-00).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 147353 Laufzeit: 25 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a2ba40a0-74f1-52bd-f411-00b15a2c8953} (Trojan.Ertfor) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\_OTL\MovedFiles\04252010_210232\C_Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\aq13xh59.dll (Trojan.Agent) -> No action taken. C:\_OTL\MovedFiles\04252010_210232\C_WINDOWS\system32\ezcimf5.dll (Trojan.Agent) -> No action taken. ********************************************** SUPERAntiSpyware Scann-Protokoll hxxp://www.superantispyware.com Generiert 04/28/2010 bei 09:58 AM Version der Applikation : 4.35.1002 Version der Kern-Datenbank : 4744 Version der Spur-Datenbank : 2673 Scan Art : kompletter Scann Totale Scann-Zeit : 00:07:59 Gescannte Speicherelemente : 565 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 4882 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 5084 Erfasste Datei-Elemente : 0 **************************************************** Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Datenbank Version: 4044 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 28.04.2010 12:34:47 mbam-log-2010-04-28 (12-34-47).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 147428 Laufzeit: 24 Minute(n), 55 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) |
30.04.2010, 07:42 | #9 |
| Antimalware Doctor - "idstrf" kommt immer wieder Hallo Arne, kannst Du nochmal kurz eine Rückmeldung geben, ob Deiner Meinung nach der Rechner jetzt sauber ist? Und dann hatte ich ja noch die Frage, was ich auf meinem Rechner falsch gemacht habe und mir den Virus eingefangen habe. Danke vorab, Gruß MIchael |
30.04.2010, 12:32 | #10 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Antimalware Doctor - "idstrf" kommt immer wieder Die Logs sind jetzt ok. Läuft der Rechner wieder normal unauffällig? Zitat:
1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!! 2) Halte Windows und alle verwendeten Programme immer aktuell 3) Führe regelmäßig Backups auf externe Medien durch 4) Arbeite mit eingeschränkten Rechten 5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?
__________________ Logfiles bitte immer in CODE-Tags posten |
01.05.2010, 23:39 | #11 |
| Antimalware Doctor - "idstrf" kommt immer wieder Hallo Arne, zunächst mal musste ich Virenscanner neu installieren, der lief nicht mehr, dann die Firewall neu aktivieren, dabei hat der Rehner ein bisschen gemeckert mit Fehlermeldungen, nun läuft aber beides wieder. Dann habe ich einen AntiVir Scan gemacht, dabei wurde wieder etwas gefunden. s.u. anschließend SASW -> 79 Funde!!!???, dann Malwarebytes keine Funde.... Ist das normal? Gruß Michael ********************************************************* Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 1. Mai 2010 22:48 Es wird nach 2062283 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : LAPPI Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 08:22:25 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 08:22:38 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 08:22:43 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 20:46:54 VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 20:46:54 VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 20:46:54 VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 20:46:54 VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 20:46:54 VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 20:46:54 VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 20:46:54 VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 20:46:55 VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 20:46:55 VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 20:46:56 VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 20:46:56 VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 20:46:57 VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 20:46:57 VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 20:46:58 VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 20:46:59 VBASE020.VDF : 7.10.7.3 2048 Bytes 30.04.2010 20:46:59 VBASE021.VDF : 7.10.7.4 2048 Bytes 30.04.2010 20:46:59 VBASE022.VDF : 7.10.7.5 2048 Bytes 30.04.2010 20:46:59 VBASE023.VDF : 7.10.7.6 2048 Bytes 30.04.2010 20:46:59 VBASE024.VDF : 7.10.7.7 2048 Bytes 30.04.2010 20:46:59 VBASE025.VDF : 7.10.7.8 2048 Bytes 30.04.2010 20:46:59 VBASE026.VDF : 7.10.7.9 2048 Bytes 30.04.2010 20:46:59 VBASE027.VDF : 7.10.7.10 2048 Bytes 30.04.2010 20:46:59 VBASE028.VDF : 7.10.7.11 2048 Bytes 30.04.2010 20:46:59 VBASE029.VDF : 7.10.7.12 2048 Bytes 30.04.2010 20:46:59 VBASE030.VDF : 7.10.7.13 2048 Bytes 30.04.2010 20:46:59 VBASE031.VDF : 7.10.7.16 43520 Bytes 30.04.2010 20:47:00 Engineversion : 8.2.1.224 AEVDF.DLL : 8.1.2.0 106868 Bytes 01.05.2010 20:47:10 AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 01.05.2010 20:47:10 AESCN.DLL : 8.1.5.0 127347 Bytes 25.02.2010 17:38:41 AESBX.DLL : 8.1.3.1 254324 Bytes 01.05.2010 20:47:11 AERDL.DLL : 8.1.4.6 541043 Bytes 01.05.2010 20:47:09 AEPACK.DLL : 8.2.1.1 426358 Bytes 19.03.2010 11:34:51 AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17.03.2010 10:09:46 AEHEUR.DLL : 8.1.1.24 2613623 Bytes 01.05.2010 20:47:07 AEHELP.DLL : 8.1.11.3 242039 Bytes 01.04.2010 15:05:25 AEGEN.DLL : 8.1.3.7 373106 Bytes 01.05.2010 20:47:02 AEEMU.DLL : 8.1.2.0 393588 Bytes 01.05.2010 20:47:02 AECORE.DLL : 8.1.13.1 188790 Bytes 01.04.2010 15:05:25 AEBB.DLL : 8.1.1.0 53618 Bytes 01.05.2010 20:47:01 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: D:\Programme\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Samstag, 1. Mai 2010 22:48 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqwmi.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '82' Modul(e) wurden durchsucht Durchsuche Prozess 'HPQTOA~1.EXE' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'HOTSYNC.EXE' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'meinsparbuchheute.exe' - '92' Modul(e) wurden durchsucht Durchsuche Prozess 'rapimgr.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'WindowsSearch.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'SUPERAntiSpyware.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'wcescomm.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'EabServr.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'bcmntray.exe' - '28' Modul(e) wurden durchsucht Durchsuche Prozess 'HP Wireless Assistant.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'atiptaxx.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '96' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqwmiex.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '89' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'bcmwltry.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'wltrysvc.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '165' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '13' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '381' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\eabfiltr.sys.vir [FUND] Ist das Trojanische Pferd TR/Patched.Gen Beginne mit der Suche in 'D:\' <Daten> Beginne mit der Desinfektion: C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\eabfiltr.sys.vir [FUND] Ist das Trojanische Pferd TR/Patched.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b23927.qua' verschoben! Ende des Suchlaufs: Samstag, 1. Mai 2010 23:29 Benötigte Zeit: 37:28 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 4160 Verzeichnisse wurden überprüft 348834 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 348833 Dateien ohne Befall 2955 Archive wurden durchsucht 0 Warnungen 1 Hinweise 240095 Objekte wurden beim Rootkitscan durchsucht 1 Versteckte Objekte wurden gefunden ************************************************************ SUPERAntiSpyware Scan Log SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware! Generated 05/01/2010 at 11:51 PM Application Version : 4.35.1002 Core Rules Database Version : 4878 Trace Rules Database Version: 2690 Scan type : Quick Scan Total Scan Time : 00:10:05 Memory items scanned : 626 Memory threats detected : 0 Registry items scanned : 359 Registry threats detected : 0 File items scanned : 4814 File threats detected : 79 Adware.Tracking Cookie .doubleclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] tracking.mlsat02.de [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .tradedoubler.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .tradedoubler.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .tradedoubler.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .tradedoubler.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] rotator.adjuggler.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] rotator.adjuggler.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .bs.serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .serving-sys.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .mediaplex.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .mediaplex.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] ad.zanox.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .zanox.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] ad.zanox.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] Suchmaschinenoptimierung (SEO) & Online Marketing Services [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .atdmt.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .atdmt.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] Discountfan - Alles andere können Sie sich sparen! [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] Discountfan - Alles andere können Sie sich sparen! [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] adsrv.admediate.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] adsrv.admediate.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .webmasterplan.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] cdn5.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] cdn5.specificclick.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .questionmarket.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .questionmarket.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .adviva.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .bluestreak.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .zanox-affiliate.de [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .traffictrack.de [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .e-2dj6wfkyeidzeko.stats.esomniture.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .e-2dj6wfk4ckdzikp.stats.esomniture.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] statse.webtrendslive.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .im.banner.t-online.de [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .e-2dj6wjlyqgdzodp.stats.esomniture.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .tracking.quisma.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .unitymedia.de [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .tracking.quisma.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .adtech.de [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .paypal.112.2o7.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] ad.yieldmanager.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] ad.yieldmanager.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] ad.yieldmanager.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .content.yieldmanager.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .adfarm1.adition.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .advertising.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .advertising.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .advertising.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .advertising.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .apmebf.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .e-2dj6wamyojazmeo.stats.esomniture.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] data.coremetrics.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .ehg-adidas.hitbox.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .hitbox.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] .ehg-adidas.hitbox.com [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] adserver.sensusdata.net [ D:\Anwendungsdateien1\Mozilla\Firefox\Profiles\qfbrfcrs.default\cookies.txt ] *************************************************************** Malwarebytes' Anti-Malware 1.45 Malwarebytes Datenbank Version: 4052 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 02.05.2010 00:21:52 mbam-log-2010-05-02 (00-21-52).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 148864 Laufzeit: 27 Minute(n), 23 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
03.05.2010, 07:38 | #12 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Antimalware Doctor - "idstrf" kommt immer wiederZitat:
Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Antimalware Doctor - "idstrf" kommt immer wieder |
.com, 0x00000001, adobe, antivir guard, assembly, avgntflt.sys, avira, bho, components, einstellungen, error, excel.exe, firefox, firefox 3.6.3, firefox.exe, flash player, format, iexplore.exe, infizierte, internet browser, kommt immer wieder, launch, location, logfile, microsoft office word, mozilla, mozilla thunderbird, oldtimer, opera.exe, otl.exe, plug-in, registry, rundll, saver, sched.exe, searchplugins, security, shell32.dll, software, sparbuch, starten, tcp, tracker, udp, windows, wireless lan, wiso |