|
Plagegeister aller Art und deren Bekämpfung: IE öffnete Werbung - nun verschiedene Trojaner im SystemWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.05.2010, 16:23 | #1 |
| IE öffnete Werbung - nun verschiedene Trojaner im System Hallo zusammen, ich habe ein Problem. Letzte Woche Donnerstag (20.05.) hat mein PC angefangen, selbständig bis zu vier Internet Explorer mit Werbung zu öffnen. (Den IE benutze ich nur für Updates, ansonsten verwende ich ausschließlich Firefox.) Einen Tag später begann Firefox ebenfalls, in Tabs Werbung für US-Casions zu öffnen. Mehrere Tests mit AVG haben ergeben, dass mein PC u.a. mit folgenden Viren infiziert ist: SHeur3.YAZ, Clicker.AFJE, Downloader.Generic9.BXSV, Cryptic.OS, Cryptic.TF, Java/Downloader.Q, Cryptic.UV und Downloader.Generic_c.BLR. Davon abgesehen versuchen laut ZoneAlarm die Dateien bavmqfdtssd.exe und hfh.exe Verbindung mit dem Internet aufzunehmen. Nach etwas Recherche im Internet bin ich bei euch gelandet und habe sowohl CCleaner, Malwarebytes Anti-Malware als auch HijackThis über mein System laufen lassen. Die aktuellsten Log-Files von Anti-Malware und HijackThis habe ich weiter unter gepostet. Da mir das alles ziemlich komisch vorkam, mein PC mittlerweile doppelt so lange zum booten von Windows XP braucht und ich nicht zuletzt das Nachladen von weiteren Viren verhindern will, habe ich ihn komplett vom Internet getrennt. Kennt jemand eine Möglichkeit, den PC so zu reparieren, dass ich mir eine Formatierung sparen kann? Ich bin für jede Anregung und Hilfe dankbar. Viele Grüße, Chris Anti-Malware: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4122 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 24.05.2010 17:02:12 mbam-log-2010-05-24 (17-02-12).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 178961 Laufzeit: 29 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:06:33, on 24.05.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe D:\AVG9\avgchsvx.exe D:\AVG9\avgrsx.exe D:\AVG9\avgcsrvx.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\system32\svchost.exe D:\AVG9\avgwdsvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe C:\WINDOWS\system32\nvsvc32.exe D:\AVG9\avgnsx.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RUNDLL32.EXE D:\AVG9\avgtray.exe C:\WINDOWS\system32\KADxMain.exe C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe C:\Programme\Dell\QuickSet\quickset.exe C:\WINDOWS\system32\StacSV.exe C:\Programme\Apoint\Apoint.exe D:\Roxio\Drag-to-Disc\DrgToDsc.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe D:\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Apoint\ApMsgFwd.exe C:\Programme\Apoint\HidFind.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Apoint\Apntex.exe D:\AVG9\avgemc.exe D:\AVG9\avgcsrvx.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe D:\HijackThis\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157 F1 - win.ini: run= D:\C&C\INSTICON.EXE F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msywdo32.exe, O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\AVG9\avgssie.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVG9_TRAY] D:\AVG9\avgtray.exe O4 - HKLM\..\Run: [KADxMain] C:\WINDOWS\system32\KADxMain.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [RoxioDragToDisc] "D:\Roxio\Drag-to-Disc\DrgToDsc.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [hhpsdoll] C:\Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Anwendungsdaten\opkrgkctm\bavmqfdtssd.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [hhpsdoll] C:\Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Anwendungsdaten\opkrgkctm\bavmqfdtssd.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1259233289593 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\AVG9\avgpp.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - D:\AVG9\avgemc.exe O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - D:\AVG9\avgwdsvc.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\StacSV.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 8143 bytes |
25.05.2010, 08:49 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | IE öffnete Werbung - nun verschiedene Trojaner im System Hallo und
__________________Zitat:
Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
25.05.2010, 14:11 | #3 |
| IE öffnete Werbung - nun verschiedene Trojaner im System Hallo Arne,
__________________vielen Dank für deine Hilfe. Ich habe mittlerweile alles ausgeführt. Während des Suchlaufs von Anti-Malware und OTL hat AVG den Trojaner PSW.Generic7.CDBY in den Dateien svchost.exe und msywdo32.exe entdeckt. Weiterhin ist mir aufgefallen, dass die beiden Profile in meinem WLAN-Client (Intel PROSet/Wireless) gelöscht worden sind. Hier sind die drei Logs: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4141 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 25.05.2010 13:59:19 mbam-log-2010-05-25 (13-59-19).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 179722 Laufzeit: 28 Minute(n), 48 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter OTL logfile created on: 25.05.2010 14:02:16 - Run 1 OTL by OldTimer - Version 3.2.5.0 Folder = C:\Dokumente und Einstellungen\Vorname\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 58,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 77,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 15,00 Gb Total Space | 5,66 Gb Free Space | 37,71% Space Free | Partition Type: NTFS Drive D: | 10,00 Gb Total Space | 3,40 Gb Free Space | 34,00% Space Free | Partition Type: NTFS Drive E: | 86,68 Gb Total Space | 1,07 Gb Free Space | 1,24% Space Free | Partition Type: NTFS F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: VORNAME Current User Name: Vorname Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Vorname\Desktop\OTL.exe (OldTimer Tools) PRC - D:\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) PRC - D:\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.) PRC - D:\AVG9\avgnsx.exe (AVG Technologies CZ, s.r.o.) PRC - D:\AVG9\avgchsvx.exe (AVG Technologies CZ, s.r.o.) PRC - D:\AVG9\avgrsx.exe (AVG Technologies CZ, s.r.o.) PRC - D:\AVG9\avgwdsvc.exe (AVG Technologies CZ, s.r.o.) PRC - D:\AVG9\avgemc.exe (AVG Technologies CZ, s.r.o.) PRC - D:\AVG9\avgcsrvx.exe (AVG Technologies CZ, s.r.o.) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD) PRC - D:\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\stacsv.exe (SigmaTel, Inc.) PRC - C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe (SigmaTel, Inc.) PRC - C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe (Intel(R) Corporation) PRC - C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation ) PRC - C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation) PRC - C:\Programme\Dell\QuickSet\quickset.exe (Dell Inc) PRC - C:\Programme\Dell\QuickSet\NicConfigSvc.exe (Dell Inc.) PRC - C:\Programme\Apoint\ApMsgFwd.exe (Alps Electric Co., Ltd.) PRC - C:\Programme\Apoint\Apoint.exe (Alps Electric Co., Ltd.) PRC - C:\WINDOWS\system32\KADxMain.exe (Knowles Acoustics) PRC - C:\Programme\Apoint\hidfind.exe (Alps Electric Co., Ltd.) PRC - C:\Programme\Apoint\ApntEx.exe (Alps Electric Co., Ltd.) PRC - D:\Roxio\Drag-to-Disc\DrgToDsc.exe (Roxio) PRC - C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation) PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe (HP) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Vorname\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (avg9wd) -- D:\AVG9\avgwdsvc.exe (AVG Technologies CZ, s.r.o.) SRV - (avg9emc) -- D:\AVG9\avgemc.exe (AVG Technologies CZ, s.r.o.) SRV - (TuneUp.Defrag) -- C:\WINDOWS\system32\TuneUpDefragService.exe (TuneUp Software GmbH) SRV - (vsmon) -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD) SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software GmbH) SRV - (STacSV) -- C:\WINDOWS\system32\stacsv.exe (SigmaTel, Inc.) SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\Wireless\Bin\EvtEng.exe (Intel Corporation) SRV - (WLANKEEPER) Intel(R) -- C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe (Intel(R) Corporation) SRV - (S24EventMonitor) Intel(R) -- C:\Programme\Intel\Wireless\Bin\S24EvMon.exe (Intel Corporation ) SRV - (RegSrvc) Intel(R) -- C:\Programme\Intel\Wireless\Bin\RegSrvc.exe (Intel Corporation) SRV - (NICCONFIGSVC) -- C:\Programme\Dell\QuickSet\NicConfigSvc.exe (Dell Inc.) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (MBAMSwissArmy) -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation) DRV - (AvgTdiX) -- C:\WINDOWS\System32\Drivers\avgtdix.sys (AVG Technologies CZ, s.r.o.) DRV - (AvgMfx86) -- C:\WINDOWS\System32\Drivers\avgmfx86.sys (AVG Technologies CZ, s.r.o.) DRV - (AvgLdx86) -- C:\WINDOWS\System32\Drivers\avgldx86.sys (AVG Technologies CZ, s.r.o.) DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Check Point Software Technologies LTD) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (HSF_DPV) -- C:\WINDOWS\system32\drivers\HSF_DPV.sys (Conexant Systems, Inc.) DRV - (HSFHWAZL) -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys (Conexant Systems, Inc.) DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems, Inc.) DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.) DRV - (NETw4x32) Intel(R) -- C:\WINDOWS\system32\drivers\NETw4x32.sys (Intel Corporation) DRV - (guardian2) -- C:\WINDOWS\system32\drivers\oz776.sys (O2Micro) DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation) DRV - (ApfiltrService) -- C:\WINDOWS\system32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.) DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation) DRV - (DXEC01) -- C:\WINDOWS\system32\drivers\dxec01.sys (Knowles Acoustics) DRV - (DLADResM) -- C:\WINDOWS\system32\DLA\DLADResM.SYS (Roxio) DRV - (DLABMFSM) -- C:\WINDOWS\system32\DLA\DLABMFSM.SYS (Roxio) DRV - (DLAUDF_M) -- C:\WINDOWS\system32\DLA\DLAUDF_M.SYS (Roxio) DRV - (DLAUDFAM) -- C:\WINDOWS\system32\DLA\DLAUDFAM.SYS (Roxio) DRV - (DLAOPIOM) -- C:\WINDOWS\system32\DLA\DLAOPIOM.SYS (Roxio) DRV - (DLABOIOM) -- C:\WINDOWS\system32\DLA\DLABOIOM.SYS (Roxio) DRV - (DLAIFS_M) -- C:\WINDOWS\system32\DLA\DLAIFS_M.SYS (Roxio) DRV - (DLAPoolM) -- C:\WINDOWS\system32\DLA\DLAPoolM.SYS (Roxio) DRV - (DRVNDDM) -- C:\WINDOWS\system32\drivers\DRVNDDM.SYS (Roxio) DRV - (DLACDBHM) -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS (Roxio) DRV - (DLARTL_M) -- C:\WINDOWS\system32\drivers\DLARTL_M.SYS (Roxio) DRV - (DRVMCDB) -- C:\WINDOWS\System32\Drivers\DRVMCDB.SYS (Sonic Solutions) DRV - (APPDRV) -- C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS (Dell Inc) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Wikipedia (Eng)" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "about:blank" FF - prefs.js..extensions.enabledItems: {0538E3E3-7E9B-4d49-8831-A227C80A7AD3}:0.9.10.2 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..network.proxy.ftp: "w*w-cache.fh-giessen.de" FF - prefs.js..network.proxy.ftp_port: 3128 FF - prefs.js..network.proxy.gopher: "w*w-cache.fh-giessen.de" FF - prefs.js..network.proxy.gopher_port: 3128 FF - prefs.js..network.proxy.http: "w*w-cache.fh-giessen.de" FF - prefs.js..network.proxy.http_port: 3128 FF - prefs.js..network.proxy.share_proxy_settings: true FF - prefs.js..network.proxy.socks: "w*w-cache.fh-giessen.de" FF - prefs.js..network.proxy.socks_port: 3128 FF - prefs.js..network.proxy.ssl: "w*w-cache.fh-giessen.de" FF - prefs.js..network.proxy.ssl_port: 3128 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: D:\Mozilla Firefox\components [2010.04.24 12:12:28 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: D:\Mozilla Firefox\plugins [2010.05.20 14:01:36 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Components: D:\Mozilla Thunderbird\components [2010.03.17 19:25:57 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.24\extensions\\Plugins: D:\Mozilla Thunderbird\plugins [2009.11.26 14:15:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Vorname\Anwendungsdaten\Mozilla\Extensions [2010.05.21 13:26:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Vorname\Anwendungsdaten\Mozilla\Firefox\Profiles\y24i36x8.default\extensions [2010.03.15 14:34:59 | 000,000,000 | ---D | M] (Forecastfox) -- C:\Dokumente und Einstellungen\Vorname\Anwendungsdaten\Mozilla\Firefox\Profiles\y24i36x8.default\extensions\{0538E3E3-7E9B-4d49-8831-A227C80A7AD3} [2010.04.06 12:26:14 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\Mozilla\Firefox\Profiles\y24i36x8.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.03.06 14:30:44 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Vorname\Anwendungsdaten\Mozilla\Firefox\Profiles\y24i36x8.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} [2010.03.13 11:52:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Vorname\Anwendungsdaten\Mozilla\Firefox\Profiles\y24i36x8.default\extensions\arcticglow-ff3-30@glowplug.bitasylum.net [2010.04.06 12:26:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Vorname\Anwendungsdaten\Mozilla\Firefox\Profiles\y24i36x8.default\extensions\staged-xpis [2008.09.03 10:55:54 | 000,001,504 | ---- | M] () -- C:\Dokumente und Einstellungen\Vorname\Anwendungsdaten\Mozilla\Firefox\Profiles\y24i36x8.default\searchplugins\imdb.xml [2008.09.03 10:55:32 | 000,001,032 | ---- | M] () -- C:\Dokumente und Einstellungen\Vorname\Anwendungsdaten\Mozilla\Firefox\Profiles\y24i36x8.default\searchplugins\wikipedia-eng.xml O1 HOSTS File: ([2004.08.04 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\AVG9\avgssie.dll (AVG Technologies CZ, s.r.o.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe (Alps Electric Co., Ltd.) O4 - HKLM..\Run: [AVG9_TRAY] D:\AVG9\avgtray.exe (AVG Technologies CZ, s.r.o.) O4 - HKLM..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe (Dell Inc) O4 - HKLM..\Run: [hhpsdoll] C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Anwendungsdaten\opkrgkctm\bavmqfdtssd.exe File not found O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe (HP) O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation) O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation) O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation) O4 - HKLM..\Run: [KADxMain] C:\WINDOWS\system32\KADxMain.exe (Knowles Acoustics) O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NVHotkey] C:\WINDOWS\System32\nvhotkey.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [RoxioDragToDisc] D:\Roxio\Drag-to-Disc\DrgToDsc.exe (Roxio) O4 - HKLM..\Run: [SigmatelSysTrayApp] C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe (SigmaTel, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [ZoneAlarm Client] D:\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD) O4 - HKCU..\Run: [hhpsdoll] C:\Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Anwendungsdaten\opkrgkctm\bavmqfdtssd.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - D:\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} h++p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1259233289593 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} h++p://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} h++p://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} h++p://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.81.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\AVG9\avgpp.dll (AVG Technologies CZ, s.r.o.) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\msywdo32.exe) - C:\WINDOWS\system32\msywdo32.exe () O20 - Winlogon\Notify\avgrsstarter: DllName - avgrsstx.dll - C:\WINDOWS\System32\avgrsstx.dll (AVG Technologies CZ, s.r.o.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.11.26 11:37:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{05f1d7c5-3e6b-11df-83ff-001cbf4a2460}\Shell - "" = AutoRun O33 - MountPoints2\{05f1d7c5-3e6b-11df-83ff-001cbf4a2460}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{05f1d7c5-3e6b-11df-83ff-001cbf4a2460}\Shell\AutoRun\command - "" = G:\WD SmartWare.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.05.25 14:00:41 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Vorname\Desktop\OTL.exe [2010.05.21 11:41:19 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Vorname\Recent [2010.05.21 11:21:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Vorname\Desktop\Ordner [2010.05.21 10:39:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Vorname\Anwendungsdaten\Malwarebytes [2010.05.21 10:39:12 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.05.21 10:39:11 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.05.21 10:39:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.05.20 14:01:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun [2010.05.20 14:01:48 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2010.05.20 14:01:36 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2010.05.20 14:01:36 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.05.20 14:01:36 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.05.20 14:01:36 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.05.20 13:51:39 | 000,046,472 | ---- | C] (Zone Labs Inc.) -- C:\WINDOWS\System32\vsutil_loc0407.dll [2010.05.20 13:51:38 | 000,058,248 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsregexp.dll [2010.05.20 13:51:34 | 000,103,816 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\zlcommdb.dll [2010.05.20 13:51:34 | 000,069,000 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\zlcomm.dll [2010.05.20 13:51:30 | 000,041,864 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vswmi.dll [2010.05.20 13:51:29 | 001,238,408 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\zpeng25.dll [2010.05.20 13:51:29 | 000,299,912 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vspubapi.dll [2010.05.20 13:51:29 | 000,109,960 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsxml.dll [2010.05.20 13:51:29 | 000,107,912 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsmonapi.dll [2010.05.20 13:51:29 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ZoneLabs [2010.05.20 13:51:27 | 000,486,280 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsdatant.sys [2010.05.20 13:50:05 | 000,621,960 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsutil.dll [2010.05.20 13:50:05 | 000,227,720 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsinit.dll [2010.05.20 13:50:05 | 000,112,008 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsdata.dll [2010.05.20 13:50:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\Internet Logs [2010.05.20 13:21:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Anwendungsdaten\opkrgkctm [2004.11.24 20:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.05.25 14:00:54 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Vorname\Desktop\OTL.exe [2010.05.25 12:01:44 | 000,032,251 | ---- | M] () -- C:\WINDOWS\System32\nvModes.001 [2010.05.25 11:45:24 | 060,360,981 | ---- | M] () -- C:\WINDOWS\System32\drivers\Avg\incavi.avm [2010.05.25 11:38:25 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.05.25 11:38:21 | 000,201,679 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2010.05.25 11:38:01 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.05.25 11:37:53 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.05.24 18:34:13 | 004,194,304 | -H-- | M] () -- C:\Dokumente und Einstellungen\Vorname\NTUSER.DAT [2010.05.24 18:34:13 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Vorname\ntuser.ini [2010.05.24 15:37:07 | 004,807,216 | -H-- | M] () -- C:\Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.05.24 15:20:52 | 000,002,075 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2010.05.22 09:28:33 | 000,014,612 | ---- | M] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\JGA Vorname 4.docx [2010.05.21 10:39:14 | 000,000,483 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.05.21 10:36:17 | 000,028,846 | ---- | M] () -- C:\Dokumente und Einstellungen\Vorname\Eigene Dateien\cc_20100521_103605.reg [2010.05.21 10:32:46 | 000,000,519 | ---- | M] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\CCleaner.lnk [2010.05.20 14:00:57 | 001,042,054 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.05.20 14:00:57 | 000,449,044 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.05.20 14:00:57 | 000,432,690 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.05.20 14:00:57 | 000,080,306 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.05.20 14:00:57 | 000,067,646 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.05.20 13:52:04 | 000,428,416 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml [2010.05.20 13:51:47 | 000,004,212 | -H-- | M] () -- C:\WINDOWS\System32\zllictbl.dat [2010.05.20 13:51:46 | 000,000,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\ZoneAlarm Security.lnk [2010.05.18 22:48:18 | 000,149,420 | ---- | M] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\Vorname HH.JPG [2010.05.17 23:13:45 | 000,069,120 | ---- | M] () -- C:\Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.05.15 19:08:30 | 000,018,220 | ---- | M] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\Training 2010_3.xlsx [2010.05.14 21:05:42 | 000,032,251 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat [2010.05.12 16:47:42 | 000,137,529 | ---- | M] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\defense_13.JPG [2010.05.05 22:03:12 | 000,010,859 | ---- | M] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\Sport.xlsx [2010.05.02 10:57:11 | 000,018,307 | ---- | M] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\Training 2010_2.xlsx [2010.04.30 10:29:27 | 000,048,835 | ---- | M] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\Experteninterview - Fragebogen DvS.pdf [2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.05.21 10:39:14 | 000,000,483 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.05.21 10:36:08 | 000,028,846 | ---- | C] () -- C:\Dokumente und Einstellungen\Vorname\Eigene Dateien\cc_20100521_103605.reg [2010.05.21 10:32:46 | 000,000,519 | ---- | C] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\CCleaner.lnk [2010.05.20 13:51:47 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat [2010.05.20 13:51:46 | 000,000,448 | ---- | C] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\ZoneAlarm Security.lnk [2010.05.20 13:51:27 | 000,428,416 | ---- | C] () -- C:\WINDOWS\System32\vsconfig.xml [2010.05.18 22:47:35 | 000,149,420 | ---- | C] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\Vorname HH.JPG [2010.05.15 19:02:42 | 000,018,220 | ---- | C] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\Training 2010_3.xlsx [2010.05.12 16:47:42 | 000,137,529 | ---- | C] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\defense_13.JPG [2010.05.07 11:50:37 | 000,014,612 | ---- | C] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\JGA Vorname 4.docx [2010.04.30 10:29:27 | 000,048,835 | ---- | C] () -- C:\Dokumente und Einstellungen\Vorname\Desktop\Experteninterview - Fragebogen DvS.pdf [2009.11.30 13:01:20 | 000,002,305 | ---- | C] () -- C:\WINDOWS\hpdj5600.ini [2009.11.30 13:00:32 | 000,000,478 | ---- | C] () -- C:\WINDOWS\hpbvspst.ini [2009.11.26 18:03:40 | 000,056,056 | ---- | C] () -- C:\WINDOWS\System32\DLAAPI_W.DLL [2009.11.26 18:03:39 | 000,000,169 | ---- | C] () -- C:\WINDOWS\wininit.ini [2009.11.26 11:50:25 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2009.11.26 11:50:25 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2009.11.26 11:50:25 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2009.11.26 11:50:24 | 001,503,232 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2008.12.19 16:15:58 | 004,338,246 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll [2008.12.17 18:41:18 | 000,884,237 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll [2008.12.17 18:22:58 | 000,093,184 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll [2008.12.17 18:22:48 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2008.12.17 18:17:34 | 000,239,247 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll [2008.12.17 17:59:54 | 000,560,802 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll [2008.12.11 12:27:02 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest [2006.11.09 23:07:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini [2006.09.17 00:36:50 | 000,520,192 | ---- | C] () -- C:\WINDOWS\System32\CddbPlaylist2Roxio.dll [2006.09.17 00:36:50 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\CddbFileTaggerRoxio.dll [2004.10.03 18:50:54 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll < End of report > Code:
ATTFilter OTL Extras logfile created on: 25.05.2010 14:02:16 - Run 1 OTL by OldTimer - Version 3.2.5.0 Folder = C:\Dokumente und Einstellungen\Vorname\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 58,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 77,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 15,00 Gb Total Space | 5,66 Gb Free Space | 37,71% Space Free | Partition Type: NTFS Drive D: | 10,00 Gb Total Space | 3,40 Gb Free Space | 34,00% Space Free | Partition Type: NTFS Drive E: | 86,68 Gb Total Space | 1,07 Gb Free Space | 1,24% Space Free | Partition Type: NTFS F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: VORNAME Current User Name: Vorname Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- D:\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "D:\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "D:\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "D:\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [OneNote.Open] -- D:\MICROS~1\Office12\ONENOTE.EXE "%L" (Microsoft Corporation) Directory [PlayWithVLC] -- "D:\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] "DisableMonitoring" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "EnableFirewall" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 0 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Enabled:Windows Shell -- (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "D:\AVG9\avgemc.exe" = D:\AVG9\avgemc.exe:*:Enabled:avgemc.exe -- (AVG Technologies CZ, s.r.o.) "D:\AVG9\avgupd.exe" = D:\AVG9\avgupd.exe:*:Enabled:avgupd.exe -- (AVG Technologies CZ, s.r.o.) "D:\AVG9\avgnsx.exe" = D:\AVG9\avgnsx.exe:*:Enabled:avgnsx.exe -- (AVG Technologies CZ, s.r.o.) "D:\Microsoft Office\Office12\ONENOTE.EXE" = D:\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote -- (Microsoft Corporation) "D:\Miranda IM\miranda32.exe" = D:\Miranda IM\miranda32.exe:*:Enabled:Miranda IM -- ( ) "D:\C&C Generäle\game.dat" = D:\C&C Generäle\game.dat:*:Disabled:game -- File not found "C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Enabled:Windows Shell -- (Microsoft Corporation) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0394CDC8-FABD-4ed8-B104-03393876DFDF}" = Roxio Creator Tools "{06BE8AFD-A8E2-4B63-BAE7-287016D16ACB}" = mSSO "{0D397393-9B50-4c52-84D5-77E344289F87}" = Roxio Creator Data "{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}" = mLogView "{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 20 "{2F4C24E6-CBD4-4AAC-B56F-C9FD44DE5668}" = Roxio Drag-to-Disc "{30465B6C-B53F-49A1-9EBA-A3F187AD502E}" = Roxio Update Manager "{343D8DE3-AE1F-431A-830C-B66352E8CA12}" = OZ776 SCR Driver V1.1.3.9 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{35E1EC43-D4FC-4E4A-AAB3-20DDA27E8BB0}" = Sonic Activation Module "{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA "{42929F0F-CE14-47AF-9FC7-FF297A603021}" = Dell Resource CD "{49D687E5-6784-431B-A0A2-2F23B8CC5A1B}" = mHlpDell "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{5888428E-699C-4E71-BF71-94EE06B497DA}" = TuneUp Utilities 2008 "{619CDD8A-14B6-43a1-AB6C-0F4EE48CE048}" = Roxio Creator Copy "{63DB9CCD-2B56-4217-9A3D-507AC78320CA}" = mWMI "{829CD169-E692-48E8-9BDE-A3E8D8B65538}" = mSCfg "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{83FFCFC7-88C6-41c6-8752-958A45325C82}" = Roxio Creator Audio "{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr "{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders (German) 12 "{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007 "{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = 2007 Microsoft Office Suite Service Pack 2 (SP2) "{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007 "{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = 2007 Microsoft Office Suite Service Pack 2 (SP2) "{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007 "{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = 2007 Microsoft Office Suite Service Pack 2 (SP2) "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A0516415-ED61-419A-981D-93596DA74165}" = 2007 Microsoft Office Suite Service Pack 2 (SP2) "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = 2007 Microsoft Office Suite Service Pack 2 (SP2) "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = 2007 Microsoft Office Suite Service Pack 2 (SP2) "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = 2007 Microsoft Office Suite Service Pack 2 (SP2) "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{26454C26-D259-4543-AA60-3189E09C5F76}" = 2007 Microsoft Office Suite Service Pack 2 (SP2) "{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007 "{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = 2007 Microsoft Office Suite Service Pack 2 (SP2) "{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz "{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007 "{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = 2007 Microsoft Office Suite Service Pack 2 (SP2) "{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581) "{94658027-9F16-4509-BBD7-A59FE57C3023}" = mZConfig "{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Dell Touchpad "{A0F925BF-5C55-44C2-A4E7-5A4C59791C29}" = mDriver "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio "{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch "{AEB9948B-4FF2-47C9-990E-47014492A0FE}" = MSXML 6.0 Parser "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C5074CC4-0E26-4716-A307-960272A90040}" = QuickSet "{C8B0680B-CDAE-4809-9F91-387B6DE00F7C}" = Roxio Creator DE "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2 "{D3B3B9B2-FE73-44CB-8C0A-F737D92F991B}" = Broadcom Gigabit Integrated Controller "{D9FCA292-1186-421F-8D93-9A5D272AD5D0}" = IntelliSonic Speech Enhancement "{E81667C6-2856-46D6-ABEA-6A2F42166779}" = mCore "{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse "{F6090A17-0967-4A8A-B3C3-422A1B514D49}" = mDrWiFi "{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "AVG9Uninstall" = AVG Free 9.0 "CCleaner" = CCleaner "CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2C06&SUBSYS_14F1000F" = Conexant HDA D330 MDC V.92 Modem "HijackThis" = HijackThis 2.0.2 "HOMESTUDENTR" = Microsoft Office Home and Student 2007 "ie8" = Windows Internet Explorer 8 "InstallShield_{343D8DE3-AE1F-431A-830C-B66352E8CA12}" = OZ776 SCR Driver V1.1.3.9 "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Miranda IM" = Miranda IM 0.8.17 "MozBackup" = MozBackup 1.4.9 "Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) "Mozilla Thunderbird (2.0.0.24)" = Mozilla Thunderbird (2.0.0.24) "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "NVIDIA Drivers" = NVIDIA Drivers "PeG-WW2 Eastern Europe_is1" = PeG-WW2 Eastern Europe August 2008 "PeG-WW2 Western Europe_is1" = PeG-WW2 Western Europe August 2008 "PeG-WW2_PAC_is1" = PeG-WW2_PAC November 2008 "ProInst" = Intel(R) PROSet/Wireless Software "VLC media player" = VLC media player 1.0.3 "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Service Pack" = Windows XP Service Pack 3 "WinRAR archiver" = WinRAR "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 "XP Codec Pack" = XP Codec Pack "xp-AntiSpy" = xp-AntiSpy 3.96-6 "ZoneAlarm" = ZoneAlarm ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 21.05.2010 16:40:43 | Computer Name = VORNAME | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h++p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . Error - 22.05.2010 03:21:39 | Computer Name = VORNAME | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h++p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated abnormally . Error - 22.05.2010 03:21:39 | Computer Name = VORNAME | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h++p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . Error - 24.05.2010 09:21:44 | Computer Name = VORNAME | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h++p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated abnormally . Error - 24.05.2010 09:21:44 | Computer Name = VORNAME | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h++p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . Error - 24.05.2010 09:28:28 | Computer Name = VORNAME | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h++p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated abnormally . Error - 24.05.2010 09:28:29 | Computer Name = VORNAME | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h++p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . Error - 25.05.2010 05:42:55 | Computer Name = VORNAME | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h++p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated abnormally . Error - 25.05.2010 05:42:55 | Computer Name = VORNAME | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h++p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden. . Error - 25.05.2010 07:42:56 | Computer Name = VORNAME | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <h++p://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated abnormally . [ System Events ] Error - 22.05.2010 03:16:48 | Computer Name = VORNAME | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. Error - 24.05.2010 09:16:53 | Computer Name = VORNAME | Source = Ftdisk | ID = 262189 Description = Das System konnte den Treiber für das Speicherabbild nicht laden. Error - 24.05.2010 09:16:53 | Computer Name = VORNAME | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. Error - 24.05.2010 09:18:49 | Computer Name = VORNAME | Source = Windows Update Agent | ID = 16 Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst "Automatische Updates" hergestellt werden, daher können Updates nicht nach dem angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht, eine Verbindung herzustellen. Error - 24.05.2010 09:36:04 | Computer Name = VORNAME | Source = Service Control Manager | ID = 7031 Description = Der Dienst "DCOM-Server-Prozessstart" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Starten Sie den Computer neu.. Error - 24.05.2010 09:36:04 | Computer Name = VORNAME | Source = Service Control Manager | ID = 7034 Description = Dienst "Terminaldienste" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 24.05.2010 09:38:43 | Computer Name = VORNAME | Source = Ftdisk | ID = 262189 Description = Das System konnte den Treiber für das Speicherabbild nicht laden. Error - 24.05.2010 09:38:43 | Computer Name = VORNAME | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. Error - 25.05.2010 05:38:11 | Computer Name = VORNAME | Source = Ftdisk | ID = 262189 Description = Das System konnte den Treiber für das Speicherabbild nicht laden. Error - 25.05.2010 05:38:11 | Computer Name = VORNAME | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. < End of report > Gruß, Chris |
25.05.2010, 14:18 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | IE öffnete Werbung - nun verschiedene Trojaner im SystemZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
25.05.2010, 14:21 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | IE öffnete Werbung - nun verschiedene Trojaner im System Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O4 - HKCU..\Run: [hhpsdoll] C:\Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Anwendungsdaten\opkrgkctm\bavmqfdtssd.exe File not found O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\msywdo32.exe) - C:\WINDOWS\system32\msywdo32.exe () :Files C:\Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Anwendungsdaten\opkrgkctm C:\WINDOWS\system32\msywdo32.exe :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
25.05.2010, 15:07 | #6 |
| IE öffnete Werbung - nun verschiedene Trojaner im System Da ich das erste Mal vergessen habe, "Vorname" durch "Chris" zu ersetzen, habe ich OTL zwei Mal ausgeführt. Es lief beides Mal ohne Probleme durch, der PC startet nun deutlich schneller als z.B. gestern. Hier sind die Log-Files: Code:
ATTFilter All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\hhpsdoll deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\msywdo32.exe deleted successfully. File move failed. C:\WINDOWS\system32\msywdo32.exe scheduled to be moved on reboot. ========== FILES ========== File\Folder C:\Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Anwendungsdaten\opkrgkctm not found. File move failed. C:\WINDOWS\system32\msywdo32.exe scheduled to be moved on reboot. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Vorname ->Temp folder emptied: 48668650 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 85512336 bytes ->Flash cache emptied: 638 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 3676247 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2167231 bytes %systemroot%\System32 .tmp files removed: 2933127 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 269251 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 137,00 mb OTL by OldTimer - Version 3.2.5.0 log created on 05252010_154600 Files\Folders moved on Reboot... C:\WINDOWS\system32\msywdo32.exe moved successfully. Registry entries deleted on Reboot... Code:
ATTFilter All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\hhpsdoll not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\msywdo32.exe deleted successfully. File C:\WINDOWS\system32\msywdo32.exe not found. ========== FILES ========== C:\Dokumente und Einstellungen\Vorname\Lokale Einstellungen\Anwendungsdaten\opkrgkctm folder moved successfully. File\Folder C:\WINDOWS\system32\msywdo32.exe not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Vorname ->Temp folder emptied: 1917 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 3172992 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 483 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 3,00 mb OTL by OldTimer - Version 3.2.5.0 log created on 05252010_155402 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
25.05.2010, 15:20 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | IE öffnete Werbung - nun verschiedene Trojaner im System Gut. Dann mach jetzt mit CF weiter: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
25.05.2010, 16:22 | #8 |
| IE öffnete Werbung - nun verschiedene Trojaner im System So, ich habe die Anleitung durchgearbeitet. ComboFix hat dabei die Windows Wiederherstellungskonsole installiert und den PC neu gestartet, da es die Anwesenheit von Rootkitaktivitäten festgestellt hat. Nachdem die 41 Abschnitte durchgelaufen waren wurde der PC neu gestartet, ZoneAlarm hat sich wieder aktiviert, AVG ist immer noch ausgeschaltet. Während das Log erstellt wurde, hat die Datei PEV.cfxxe versucht Zugriff ins Internet zu bekommen, was ich verhindert habe. Als Log wurde folgendes ausgegeben: Code:
ATTFilter ComboFix 10-05-24.07 - Chris 25.05.2010 16:50:38.1.2 - x86 ausgeführt von:: c:\dokumente und einstellungen\Chris\Desktop\cofi.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\st325602.dll Infizierte Kopie von c:\windows\system32\drivers\kbdclass.sys wurde gefunden und desinfiziert Kopie von - Kitty had a snack :p wurde wiederhergestellt . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SSHNAS ((((((((((((((((((((((( Dateien erstellt von 2010-04-25 bis 2010-05-25 )))))))))))))))))))))))))))))) . 2010-05-25 13:46 . 2010-05-25 13:46 -------- d-----w- C:\_OTL 2010-05-25 13:43 . 2010-05-25 13:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles 2010-05-24 13:35 . 2010-05-24 13:35 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache 2010-05-21 08:39 . 2010-05-21 08:39 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Malwarebytes 2010-05-21 08:39 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-05-21 08:39 . 2010-05-21 08:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-05-21 08:39 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-05-20 12:05 . 2010-05-20 12:05 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache 2010-05-20 12:01 . 2010-05-20 12:01 503808 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-424cdf2c-n\msvcp71.dll 2010-05-20 12:01 . 2010-05-20 12:01 499712 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-424cdf2c-n\jmc.dll 2010-05-20 12:01 . 2010-05-20 12:01 348160 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-424cdf2c-n\msvcr71.dll 2010-05-20 12:01 . 2010-05-20 12:01 61440 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-6a2b4ac0-n\decora-sse.dll 2010-05-20 12:01 . 2010-05-20 12:01 12800 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-6a2b4ac0-n\decora-d3d.dll 2010-05-20 12:01 . 2010-05-20 12:01 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2010-05-20 12:01 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll 2010-05-20 11:51 . 2010-05-20 11:51 4212 ---ha-w- c:\windows\system32\zllictbl.dat 2010-05-20 11:51 . 2009-12-04 14:35 46472 ----a-w- c:\windows\system32\vsutil_loc0407.dll 2010-05-20 11:51 . 2009-12-04 14:34 69000 ----a-w- c:\windows\system32\zlcomm.dll 2010-05-20 11:51 . 2009-12-04 14:34 103816 ----a-w- c:\windows\system32\zlcommdb.dll 2010-05-20 11:51 . 2010-05-20 11:51 -------- d-----w- c:\windows\system32\ZoneLabs 2010-05-20 11:51 . 2009-12-04 14:34 1238408 ----a-w- c:\windows\system32\zpeng25.dll 2010-05-20 11:50 . 2010-05-25 14:56 -------- d-----w- c:\windows\Internet Logs . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-05-25 14:49 . 2010-05-21 06:46 2879960 ----a-w- c:\windows\Internet Logs\tvDebug.Zip 2010-05-25 13:54 . 2004-08-04 10:00 449044 ----a-w- c:\windows\system32\perfh007.dat 2010-05-25 13:54 . 2004-08-04 10:00 80306 ----a-w- c:\windows\system32\perfc007.dat 2010-05-25 13:01 . 2009-11-26 15:47 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Skype 2010-05-21 17:15 . 2009-11-26 10:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9 2010-05-20 12:01 . 2010-03-06 12:27 -------- d-----w- c:\programme\Java 2010-05-14 19:05 . 2009-11-26 09:52 32251 ----a-w- c:\windows\system32\nvModes.dat 2010-05-12 23:14 . 2009-11-26 12:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2010-04-27 11:27 . 2010-01-05 17:51 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\vlc 2010-04-22 07:42 . 2009-11-26 10:21 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys 2010-04-18 19:28 . 2010-01-16 20:30 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\dvdcss 2010-04-15 20:38 . 2009-11-28 17:19 28272 ----a-w- c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-04-04 17:40 . 2010-04-04 17:40 -------- d-----w- c:\programme\MSBuild 2010-04-04 17:40 . 2010-04-04 17:40 -------- d-----w- c:\programme\Reference Assemblies 2010-04-03 12:17 . 2010-04-03 09:23 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Western Digital 2010-04-03 09:23 . 2010-04-03 09:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Western Digital 2010-03-14 08:40 . 2010-03-14 08:40 12464 ----a-w- c:\windows\system32\avgrsstx.dll 2010-03-14 08:40 . 2009-11-26 10:21 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys 2010-03-14 08:39 . 2009-11-26 10:21 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys 2010-03-10 06:15 . 2004-08-04 10:00 420352 ----a-w- c:\windows\system32\vbscript.dll 2010-03-06 12:26 . 2010-03-06 12:26 152576 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll 2010-02-27 13:53 . 2010-02-27 13:53 619 ----a-w- c:\windows\eReg.dat 2010-02-25 06:15 . 2006-03-04 03:34 916480 ----a-w- c:\windows\system32\wininet.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-11 13594624] "nwiz"="nwiz.exe" [2009-03-11 1657376] "NVHotkey"="nvHotkey.dll" [2009-03-11 90112] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-11 86016] "KADxMain"="c:\windows\system32\KADxMain.exe" [2006-11-02 282624] "SigmatelSysTrayApp"="c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504] "Apoint"="c:\programme\Apoint\Apoint.exe" [2007-01-25 159744] "RoxioDragToDisc"="d:\roxio\Drag-to-Disc\DrgToDsc.exe" [2006-08-17 1116920] "ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184] "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-21 819200] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-21 970752] "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-07-28 188416] "Adobe Reader Speed Launcher"="d:\adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040] "ZoneAlarm Client"="d:\zonealarm\zlclient.exe" [2009-12-04 1037192] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter] 2010-03-14 08:40 12464 ----a-w- c:\windows\system32\avgrsstx.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\AVG9\\avgemc.exe"= "d:\\AVG9\\avgupd.exe"= "d:\\AVG9\\avgnsx.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Microsoft Office\\Office12\\ONENOTE.EXE"= "d:\\Miranda IM\\miranda32.exe"= "d:\\Skype\\Phone\\Skype.exe"= R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [26.11.2009 12:21 216200] R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [26.11.2009 12:21 242896] R2 avg9emc;AVG Free E-mail Scanner;d:\avg9\avgemc.exe [14.03.2010 10:39 916760] R2 avg9wd;AVG Free WatchDog;d:\avg9\avgwdsvc.exe [14.03.2010 10:40 308064] S0 flrfayh;flrfayh; [x] S3 DXEC01;DXEC01;c:\windows\system32\drivers\dxec01.sys [02.11.2006 13:32 97536] S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys --> c:\windows\system32\DRIVERS\wdcsam.sys [?] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank IE: Nach Microsoft E&xel exportieren - d:\micros~1\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\y24i36x8.default\ FF - prefs.js: browser.search.selectedEngine - Wikipedia (Eng) FF - prefs.js: browser.startup.homepage - about:blank FF - plugin: d:\adobe\Reader 9.0\Reader\browser\nppdf32.dll FF - plugin: d:\mozilla firefox\plugins\npdeployJava1.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- d:\mozilla firefox\greprefs\all.js - pref("ui.use_native_colors", true); d:\mozilla firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); d:\mozilla firefox\greprefs\all.js - pref("svg.smil.enabled", false); d:\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); d:\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); d:\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); d:\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); d:\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); d:\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); d:\mozilla firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-05-25 16:57 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(544) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll d:\roxio\Drag-to-Disc\Shellex.dll c:\windows\system32\DLAAPI_W.DLL c:\windows\system32\CDRTC.DLL d:\roxio\Drag-to-Disc\ShellRes.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Intel\Wireless\Bin\EvtEng.exe d:\avg9\avgchsvx.exe d:\avg9\avgrsx.exe d:\avg9\avgcsrvx.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\programme\Intel\Wireless\Bin\WLKeeper.exe c:\windows\System32\SCardSvr.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Dell\QuickSet\NICCONFIGSVC.exe c:\windows\system32\nvsvc32.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\StacSV.exe d:\avg9\avgnsx.exe d:\avg9\avgcsrvx.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\wscntfy.exe c:\windows\system32\rundll32.exe c:\windows\system32\RUNDLL32.EXE c:\programme\Apoint\ApMsgFwd.exe c:\programme\Apoint\HidFind.exe c:\programme\Apoint\Apntex.exe c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-05-25 17:02:35 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-05-25 15:02 Vor Suchlauf: 6.329.589.760 Bytes frei Nach Suchlauf: 6.235.111.424 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - 82EFA9040588EA2B088C641C8DDC1D11 |
25.05.2010, 20:15 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | IE öffnete Werbung - nun verschiedene Trojaner im System Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Registry:: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"=- Driver:: flrfayh 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
25.05.2010, 21:07 | #10 |
| IE öffnete Werbung - nun verschiedene Trojaner im System Das Script hat ohne Probleme funktioniert, ComboFix hat einen Autoscan bis Stufe 50 durchgeführt und den PC danach neu gestartet. Code:
ATTFilter ComboFix 10-05-24.07 - Chris 25.05.2010 21:41:58.2.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1536 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Chris\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Chris\Desktop\CFScript.txt AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF} FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_flrfayh ((((((((((((((((((((((( Dateien erstellt von 2010-04-25 bis 2010-05-25 )))))))))))))))))))))))))))))) . 2010-05-25 13:46 . 2010-05-25 13:46 -------- d-----w- C:\_OTL 2010-05-25 13:43 . 2010-05-25 13:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles 2010-05-24 13:35 . 2010-05-24 13:35 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache 2010-05-21 08:39 . 2010-05-21 08:39 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Malwarebytes 2010-05-21 08:39 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-05-21 08:39 . 2010-05-21 08:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-05-21 08:39 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-05-20 12:05 . 2010-05-20 12:05 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache 2010-05-20 12:01 . 2010-05-20 12:01 503808 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-424cdf2c-n\msvcp71.dll 2010-05-20 12:01 . 2010-05-20 12:01 499712 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-424cdf2c-n\jmc.dll 2010-05-20 12:01 . 2010-05-20 12:01 348160 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-424cdf2c-n\msvcr71.dll 2010-05-20 12:01 . 2010-05-20 12:01 61440 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-6a2b4ac0-n\decora-sse.dll 2010-05-20 12:01 . 2010-05-20 12:01 12800 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-6a2b4ac0-n\decora-d3d.dll 2010-05-20 12:01 . 2010-05-20 12:01 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2010-05-20 12:01 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll 2010-05-20 11:51 . 2010-05-20 11:51 4212 ---ha-w- c:\windows\system32\zllictbl.dat 2010-05-20 11:51 . 2009-12-04 14:35 46472 ----a-w- c:\windows\system32\vsutil_loc0407.dll 2010-05-20 11:51 . 2009-12-04 14:34 69000 ----a-w- c:\windows\system32\zlcomm.dll 2010-05-20 11:51 . 2009-12-04 14:34 103816 ----a-w- c:\windows\system32\zlcommdb.dll 2010-05-20 11:51 . 2010-05-20 11:51 -------- d-----w- c:\windows\system32\ZoneLabs 2010-05-20 11:51 . 2009-12-04 14:34 1238408 ----a-w- c:\windows\system32\zpeng25.dll 2010-05-20 11:50 . 2010-05-25 19:46 -------- d-----w- c:\windows\Internet Logs . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-05-25 19:31 . 2010-05-21 06:46 3192825 ----a-w- c:\windows\Internet Logs\tvDebug.Zip 2010-05-25 13:54 . 2004-08-04 10:00 449044 ----a-w- c:\windows\system32\perfh007.dat 2010-05-25 13:54 . 2004-08-04 10:00 80306 ----a-w- c:\windows\system32\perfc007.dat 2010-05-25 13:01 . 2009-11-26 15:47 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Skype 2010-05-21 17:15 . 2009-11-26 10:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9 2010-05-20 12:01 . 2010-03-06 12:27 -------- d-----w- c:\programme\Java 2010-05-14 19:05 . 2009-11-26 09:52 32251 ----a-w- c:\windows\system32\nvModes.dat 2010-05-12 23:14 . 2009-11-26 12:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2010-04-27 11:27 . 2010-01-05 17:51 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\vlc 2010-04-22 07:42 . 2009-11-26 10:21 242896 ----a-w- c:\windows\system32\drivers\avgtdix.sys 2010-04-18 19:28 . 2010-01-16 20:30 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\dvdcss 2010-04-15 20:38 . 2009-11-28 17:19 28272 ----a-w- c:\dokumente und einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-04-04 17:40 . 2010-04-04 17:40 -------- d-----w- c:\programme\MSBuild 2010-04-04 17:40 . 2010-04-04 17:40 -------- d-----w- c:\programme\Reference Assemblies 2010-04-03 12:17 . 2010-04-03 09:23 -------- d-----w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Western Digital 2010-04-03 09:23 . 2010-04-03 09:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Western Digital 2010-03-14 08:40 . 2010-03-14 08:40 12464 ----a-w- c:\windows\system32\avgrsstx.dll 2010-03-14 08:40 . 2009-11-26 10:21 29512 ----a-w- c:\windows\system32\drivers\avgmfx86.sys 2010-03-14 08:39 . 2009-11-26 10:21 216200 ----a-w- c:\windows\system32\drivers\avgldx86.sys 2010-03-10 06:15 . 2004-08-04 10:00 420352 ----a-w- c:\windows\system32\vbscript.dll 2010-03-06 12:26 . 2010-03-06 12:26 152576 ----a-w- c:\dokumente und einstellungen\Chris\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll 2010-02-27 13:53 . 2010-02-27 13:53 619 ----a-w- c:\windows\eReg.dat 2010-02-25 06:15 . 2006-03-04 03:34 916480 ----a-w- c:\windows\system32\wininet.dll . ((((((((((((((((((((((((((((( SnapShot@2010-05-25_14.57.04 ))))))))))))))))))))))))))))))))))))))))) . + 2010-05-25 19:45 . 2010-05-25 19:45 16384 c:\windows\Temp\Perflib_Perfdata_434.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-11 13594624] "nwiz"="nwiz.exe" [2009-03-11 1657376] "NVHotkey"="nvHotkey.dll" [2009-03-11 90112] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-11 86016] "KADxMain"="c:\windows\system32\KADxMain.exe" [2006-11-02 282624] "SigmatelSysTrayApp"="c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504] "Apoint"="c:\programme\Apoint\Apoint.exe" [2007-01-25 159744] "RoxioDragToDisc"="d:\roxio\Drag-to-Disc\DrgToDsc.exe" [2006-08-17 1116920] "ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184] "ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 81920] "IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-21 819200] "IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-21 970752] "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-07-28 188416] "Adobe Reader Speed Launcher"="d:\adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040] "ZoneAlarm Client"="d:\zonealarm\zlclient.exe" [2009-12-04 1037192] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter] 2010-03-14 08:40 12464 ----a-w- c:\windows\system32\avgrsstx.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\AVG9\\avgemc.exe"= "d:\\AVG9\\avgupd.exe"= "d:\\AVG9\\avgnsx.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Microsoft Office\\Office12\\ONENOTE.EXE"= "d:\\Miranda IM\\miranda32.exe"= "d:\\Skype\\Phone\\Skype.exe"= R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [26.11.2009 12:21 216200] R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [26.11.2009 12:21 242896] R2 avg9emc;AVG Free E-mail Scanner;d:\avg9\avgemc.exe [14.03.2010 10:39 916760] R2 avg9wd;AVG Free WatchDog;d:\avg9\avgwdsvc.exe [14.03.2010 10:40 308064] S3 DXEC01;DXEC01;c:\windows\system32\drivers\dxec01.sys [02.11.2006 13:32 97536] S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys --> c:\windows\system32\DRIVERS\wdcsam.sys [?] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank IE: Nach Microsoft E&xel exportieren - d:\micros~1\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Chris\Anwendungsdaten\Mozilla\Firefox\Profiles\y24i36x8.default\ FF - prefs.js: browser.search.selectedEngine - Wikipedia (Eng) FF - prefs.js: browser.startup.homepage - about:blank FF - plugin: d:\adobe\Reader 9.0\Reader\browser\nppdf32.dll FF - plugin: d:\mozilla firefox\plugins\npdeployJava1.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- d:\mozilla firefox\greprefs\all.js - pref("ui.use_native_colors", true); d:\mozilla firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); d:\mozilla firefox\greprefs\all.js - pref("svg.smil.enabled", false); d:\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); d:\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); d:\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); d:\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); d:\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); d:\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); d:\mozilla firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); . ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(3564) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll d:\roxio\Drag-to-Disc\Shellex.dll c:\windows\system32\DLAAPI_W.DLL c:\windows\system32\CDRTC.DLL d:\roxio\Drag-to-Disc\ShellRes.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Intel\Wireless\Bin\EvtEng.exe d:\avg9\avgchsvx.exe d:\avg9\avgrsx.exe d:\avg9\avgcsrvx.exe c:\programme\Intel\Wireless\Bin\S24EvMon.exe c:\programme\Intel\Wireless\Bin\WLKeeper.exe c:\windows\System32\SCardSvr.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Dell\QuickSet\NICCONFIGSVC.exe c:\windows\system32\nvsvc32.exe c:\programme\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\StacSV.exe d:\avg9\avgnsx.exe d:\avg9\avgcsrvx.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\wscntfy.exe c:\windows\system32\rundll32.exe c:\windows\system32\RUNDLL32.EXE c:\programme\Apoint\ApMsgFwd.exe c:\programme\Apoint\HidFind.exe c:\programme\Apoint\Apntex.exe c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-05-25 21:53:10 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-05-25 19:53 ComboFix2.txt 2010-05-25 15:02 Vor Suchlauf: 6.247.383.040 Bytes frei Nach Suchlauf: 6.219.378.688 Bytes frei - - End Of File - - 50B7F64064087872C0686AE63C41BFA7 |
26.05.2010, 14:46 | #12 |
| IE öffnete Werbung - nun verschiedene Trojaner im System Beides erledigt. Dabei wurde der erste Durchlauf von GMER von einem Bluescreen mit Fehlermeldung unterbrochen: Das Problem wird möglicherweise von folgender Datei verursacht: awtiiaog.sys PAGE_FAULT_IN_NONPAGED_AREA Technische Information: ***awtiiaog.sys - Adress B31A7C3E base at B31A7000, DateStamp 4b274f8d Nach einem Neustart wurde Windows zwar geladen, auf das Windows-Logo folgte jedoch nur ein schwarzer Bildschirm. Beim zweiten Neustart habe ich die letzte funktionierende Konfiguration ausgewählt, woraufhin der PC normal gebootet hat. Der zweite Durchlauf von GMER verlief ohne Probleme. Nachdem ich das Log gespeichert habe, hat der PC nicht mehr reagiert. Nach einem weiteren Neustart läuft er jetzt wieder ganz normal, allerdings ist das Log verschwunden. Ich werde GMER später nochmal durchlaufen lassen. Der Durchlauf von OSAM verlief ohne Probleme. Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 h++p://www.online-solutions.ru/en/ Saved at 15:10:53 on 26.05.2010 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.6.3 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "DxCpl.cpl" - "Knowles Acoustics" - C:\WINDOWS\system32\DxCpl.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "ISUSPM.cpl" - "InstallShield Software Corporation" - C:\WINDOWS\system32\ISUSPM.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "NicConfigSvc.cpl" - "Dell Inc." - C:\WINDOWS\system32\NicConfigSvc.cpl "nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl "nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "AEGIS Protocol (IEEE 802.1x) v3.6.0.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys "APPDRV" (APPDRV) - "Dell Inc" - C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS "AVG Free AVI Loader Driver x86" (AvgLdx86) - "AVG Technologies CZ, s.r.o." - C:\WINDOWS\System32\Drivers\avgldx86.sys "AVG Free Network Redirector" (AvgTdiX) - "AVG Technologies CZ, s.r.o." - C:\WINDOWS\System32\Drivers\avgtdix.sys "AVG Free On-access Scanner Minifilter Driver x86" (AvgMfx86) - "AVG Technologies CZ, s.r.o." - C:\WINDOWS\System32\Drivers\avgmfx86.sys "catchme" (catchme) - ? - C:\cofi\catchme.sys (File not found) "cercsr6" (cercsr6) - "Adaptec, Inc." - C:\WINDOWS\system32\drivers\cercsr6.sys "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "DLABMFSM" (DLABMFSM) - "Roxio" - C:\WINDOWS\System32\DLA\DLABMFSM.SYS "DLABOIOM" (DLABOIOM) - "Roxio" - C:\WINDOWS\System32\DLA\DLABOIOM.SYS "DLACDBHM" (DLACDBHM) - "Roxio" - C:\WINDOWS\System32\Drivers\DLACDBHM.SYS "DLADResM" (DLADResM) - "Roxio" - C:\WINDOWS\System32\DLA\DLADResM.SYS "DLAIFS_M" (DLAIFS_M) - "Roxio" - C:\WINDOWS\System32\DLA\DLAIFS_M.SYS "DLAOPIOM" (DLAOPIOM) - "Roxio" - C:\WINDOWS\System32\DLA\DLAOPIOM.SYS "DLAPoolM" (DLAPoolM) - "Roxio" - C:\WINDOWS\System32\DLA\DLAPoolM.SYS "DLARTL_M" (DLARTL_M) - "Roxio" - C:\WINDOWS\System32\Drivers\DLARTL_M.SYS "DLAUDFAM" (DLAUDFAM) - "Roxio" - C:\WINDOWS\System32\DLA\DLAUDFAM.SYS "DLAUDF_M" (DLAUDF_M) - "Roxio" - C:\WINDOWS\System32\DLA\DLAUDF_M.SYS "DRVMCDB" (DRVMCDB) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DRVMCDB.SYS "DRVNDDM" (DRVNDDM) - "Roxio" - C:\WINDOWS\System32\Drivers\DRVNDDM.SYS "DXEC01" (DXEC01) - "Knowles Acoustics" - C:\WINDOWS\System32\drivers\dxec01.sys "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows XP 32 Bit" (NETw5x32) - ? - C:\WINDOWS\System32\DRIVERS\NETw5x32.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "vsdatant" (vsdatant) - "Check Point Software Technologies LTD" - C:\WINDOWS\System32\vsdatant.sys "WD SCSI Pass Thru driver" (WDC_SAM) - ? - C:\WINDOWS\System32\DRIVERS\wdcsam.sys (File not found) "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) "WLAN-Transport" (s24trans) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\s24trans.sys [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} "XPLPPFilter Class" - "AVG Technologies CZ, s.r.o." - D:\AVG9\avgpp.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {9F97547E-460A-42C5-AE0C-81C61FFAEBC3} "AVG Find Extension" - ? - (File not found | COM-object registry key not found) {9F97547E-4609-42C5-AE0C-81C61FFAEBC3} "AVG Shell Extension Class" - "AVG Technologies CZ, s.r.o." - D:\AVG9\avgse.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Microsoft Office\Office12\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - D:\MICROS~1\Office12\ONFILTER.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {5E44E225-A408-11CF-B581-008029601108} "Roxio DragToDisc Shell Extension" - "Roxio" - D:\Roxio\Drag-to-Disc\Shellex.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software GmbH" - D:\TUNEUP~1\SDShelEx-win32.dll {44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software GmbH" - C:\WINDOWS\System32\uxtuneup.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - D:\WinRAR\rarext.dll (File found, but it contains no detailed information) [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - D:\MICROS~1\Office12\ONBttnIE.dll {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - D:\MICROS~1\Office12\REFIEBAR.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} "AVG Safe Search" - "AVG Technologies CZ, s.r.o." - D:\AVG9\avgssie.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Chris\Startmenü\Programme\Autostart\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "D:\Adobe\Reader 9.0\Reader\Reader_sl.exe" "IntelWireless" - "Intel Corporation" - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless "IntelZeroConfig" - "Intel Corporation" - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" "ISUSPM Startup" - "InstallShield Software Corporation" - C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup "ISUSScheduler" - "InstallShield Software Corporation" - "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start "KADxMain" - "Knowles Acoustics" - C:\WINDOWS\system32\KADxMain.exe "NVHotkey" - "NVIDIA Corporation" - rundll32.exe nvHotkey.dll,Start "nwiz" - "NVIDIA Corporation" - nwiz.exe /installquiet "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" "ZoneAlarm Client" - "Check Point Software Technologies LTD" - "D:\ZoneAlarm\zlclient.exe" [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "hpzlnt09" - "HP" - C:\WINDOWS\system32\hpzlnt09.dll "Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\msonpmon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "AVG Free E-mail Scanner" (avg9emc) - "AVG Technologies CZ, s.r.o." - D:\AVG9\avgemc.exe "AVG Free WatchDog" (avg9wd) - "AVG Technologies CZ, s.r.o." - D:\AVG9\avgwdsvc.exe "Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\EvtEng.exe "Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe "Intel(R) PROSet/Wireless Service" (S24EventMonitor) - "Intel Corporation " - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe "Intel(R) PROSet/Wireless SSO Service" (WLANKEEPER) - "Intel(R) Corporation" - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE "NICCONFIGSVC" (NICCONFIGSVC) - "Dell Inc." - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "TrueVector Internet Monitor" (vsmon) - "Check Point Software Technologies LTD" - C:\WINDOWS\system32\ZoneLabs\vsmon.exe "TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software GmbH" - C:\WINDOWS\System32\uxtuneup.dll "TuneUp Drive Defrag-Dienst" (TuneUp.Defrag) - "TuneUp Software GmbH" - C:\WINDOWS\System32\TuneUpDefragService.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "avgrsstarter" - "AVG Technologies CZ, s.r.o." - C:\WINDOWS\system32\avgrsstx.dll "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit h++p://forum.online-solutions.ru |
26.05.2010, 15:45 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | IE öffnete Werbung - nun verschiedene Trojaner im System GMER lässt leider häufiger manche System komplett abstürzen, müsste ich mal dazuschreiben Das OSAM Log sieht aber ok aus. Rechner wieder ok oder gibts noch probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
26.05.2010, 16:33 | #14 |
| IE öffnete Werbung - nun verschiedene Trojaner im System Der zweite Durchlauf mit GMER hat jetzt funktioniert. Der PC ist nach getaner Arbeit zwar wieder abgestürzt, diesmal konnte ich aber das Log speichern. Habe das System nun neu gestartet, bisher funktioniert alles und sieht soweit gut aus. Bin ich damit nun erfolgreich dekontaminiert? GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - h++p://www.gmer.net Rootkit scan 2010-05-26 17:14:39 Windows 5.1.2600 Service Pack 3 Running: yyhqx4bt.exe; Driver: C:\DOKUME~1\CHRIS~1\LOKALE~1\Temp\awtiiaog.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwConnectPort [0xB5A10630] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreateFile [0xB5A09D80] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreateKey [0xB5A2E070] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreatePort [0xB5A10E40] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwCreateWaitablePort [0xB5A10FB0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwDeleteFile [0xB5A0AC60] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwDeleteKey [0xB5A2F780] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwDeleteValueKey [0xB5A2F160] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwLoadKey [0xB5A30080] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwLoadKey2 [0xB5A302B0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwOpenFile [0xB5A0A750] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwRenameKey [0xB5A31430] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwReplaceKey [0xB5A30A40] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwRequestWaitReplyPort [0xB5A10180] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwRestoreKey [0xB5A310D0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwSetInformationFile [0xB5A0B080] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwSetSecurityObject [0xB5A318E0] SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ZwSetValueKey [0xB5A2E970] ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 2FAC 80504848 4 Bytes JMP 4144FDEF .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB7777360, 0x33ABBD, 0xE8000020] page C:\WINDOWS\System32\Drivers\oz776.sys entry point in "page" section [0xB8312E34] ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [B5A16080] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [B5A15E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [B5A167C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [B5A143D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [B5A143D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [B5A16080] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [B5A15E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [B5A167C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [B5A16080] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [B5A143D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [B5A167C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [B5A15E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [B5A167C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [B5A15E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [B5A16080] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [B5A143D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [B5A16080] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [B5A15E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [B5A167C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [B5A16080] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [B5A143D0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [B5A167C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [B5A15E90] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ---- Devices - GMER 1.0.15 ---- Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) Device \FileSystem\Fastfat \Fat B2404D20 Device \FileSystem\Fastfat \Fat B23FD60A AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Roxio) ---- EOF - GMER 1.0.15 ---- Geändert von chris_sha (26.05.2010 um 16:40 Uhr) |
26.05.2010, 18:22 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | IE öffnete Werbung - nun verschiedene Trojaner im System Ja auch das sieht unauffällig aus. Wenn jetzt wieder alles ok ist, wirds mal an der zeit sein, die wichtigsten Updates zu prüfen: Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu IE öffnete Werbung - nun verschiedene Trojaner im System |
adobe, avg, avg free, avsuite, bho, booten, e-mail, einstellungen, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log-files, monitor, nvidia, plug-in, registry, rundll, senden, software, system, trojaner, updates, viren, werbung, windows, windows xp |