Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Plagegeister aller Art und deren Bekämpfung: Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 27.05.2010, 23:01   #1
darem
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Standard

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Hallo Trojaner-Board.de Gemeinde

Mein Problem:
der Lappi meiner Freundin ist infiziert.Läuft unter Vista
Systemwiederherstellung war und ist ausgestellt.
Gestern und heute gab Avira Antivir Meldungen ab.
"Trojaner gefunden"..diese wurden gefixt doch im laufe des Tages kamen weitere Meldungen. so zb wurden :

TR/Drop.Vidro in C:\Users\***\AppData\Local\Temp

TR/Dldr.Agent in C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files

BDS/Bredolab.ery in C:\Users\***\AppData\Local\Temp

TR/Inject.aqru in C:\Users\***\AppData\Roaming\vgdoqo.exe

TR/Bredolab.BV.15[trojan] in C:\Windows\Temp\wpv021274770948.exe

TR/Crypt.XPACK.Gen in C:\Windows\Temp\wpv391274777448.exe

.. gefunden und wieder gefixt(umbennen und löschen)
Nach einem Neustart wieder das gleiche Spiel.
Mit dem Programm TCPView von sysinternals habe ich gesehen , dass die datei
wpv391274777448.exe sich mit dem Internet verbindet und wahrscheinlich mails versendet (smtp verbindungen/ ca 100).Sofort darauf mit dem Process Explorer diese wpv39XXXXXXXX8.exe Datei "gekillt" und mit Winrar gepackt. :-). Nach einem erneute Reboot hat Avira Antivir nichts mehr gemeldet.
Mit avira fullscan nach Trojaner-board Anleitung durchgeführt- Ergebnis: null Funde.
Siehe Avira Log

Code:
ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 27. Mai 2010  18:41

Es wird nach 2164397 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir Personal - FREE Antivirus
Seriennummer:     0000149996-ADJIE-0000001
Plattform:        Windows Vista
Windowsversion:   (plain)  [6.0.6000]
Boot Modus:       Normal gebootet
Benutzername:     ***
Computername:     ***

Versionsinformationen:
BUILD.DAT     : 8.2.0.354      17048 Bytes  23.10.2009 13:15:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 17:03:56
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 20:47:14
LUKE.DLL      : 8.1.4.5       164097 Bytes  17.07.2008 20:47:16
LUKERES.DLL   : 8.1.4.0        12545 Bytes  17.07.2008 20:47:16
ANTIVIR0.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 05:57:51
ANTIVIR1.VDF  : 7.10.6.89    9601392 Bytes  15.04.2010 08:06:05
ANTIVIR2.VDF  : 7.10.7.176   2125216 Bytes  25.05.2010 09:30:57
ANTIVIR3.VDF  : 7.10.7.183     88576 Bytes  27.05.2010 09:30:58
Engineversion : 8.2.1.242 
AEVDF.DLL     : 8.1.2.0       106868 Bytes  24.04.2010 09:16:05
AESCRIPT.DLL  : 8.1.3.29     1343866 Bytes  14.05.2010 08:14:05
AESCN.DLL     : 8.1.6.1       127347 Bytes  14.05.2010 08:14:03
AESBX.DLL     : 8.1.3.1       254324 Bytes  24.04.2010 09:16:02
AERDL.DLL     : 8.1.4.6       541043 Bytes  17.04.2010 08:06:11
AEPACK.DLL    : 8.2.1.1       426358 Bytes  20.03.2010 11:09:26
AEOFFICE.DLL  : 8.1.1.0       201081 Bytes  14.05.2010 08:14:03
AEHEUR.DLL    : 8.1.1.27     2670967 Bytes  05.05.2010 20:33:48
AEHELP.DLL    : 8.1.11.3      242039 Bytes  02.04.2010 10:14:27
AEGEN.DLL     : 8.1.3.9       377203 Bytes  14.05.2010 08:14:02
AEEMU.DLL     : 8.1.2.0       393588 Bytes  24.04.2010 09:16:01
AECORE.DLL    : 8.1.15.3      192886 Bytes  14.05.2010 08:14:01
AEBB.DLL      : 8.1.1.0        53618 Bytes  24.04.2010 09:16:01
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  17.07.2008 20:47:14
AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 20:47:14
AVREP.DLL     : 8.0.0.7       159784 Bytes  18.02.2010 09:54:51
AVREG.DLL     : 8.0.0.1        33537 Bytes  17.07.2008 20:47:14
AVARKT.DLL    : 1.0.0.23      307457 Bytes  15.04.2008 19:29:37
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 20:47:14
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  15.04.2008 19:29:42
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  17.07.2008 20:47:16
NETNT.DLL     : 8.0.0.1         7937 Bytes  15.04.2008 19:29:41
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  17.07.2008 20:47:09
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  17.07.2008 20:47:09

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: umbenennen
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, F:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 27. Mai 2010  18:41

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '72233' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'conime.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApMsgFwd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'XAudio.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 's3trayp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '46' Prozesse mit '46' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '38' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows Vista>
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Donnerstag, 27. Mai 2010  19:20
Benötigte Zeit: 39:35 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  14156 Verzeichnisse wurden überprüft
 206405 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 206404 Dateien ohne Befall
   1862 Archive wurden durchsucht
      1 Warnungen
      0 Hinweise
  72233 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
Die oben genannten Trojaner usw. kann ich nicht mehr im Windows Explorer finden ;-) wobei mir die datei vgdoqo.exe mir Sorgen macht , weil sie noch mit Dem Proggi Autoruns zu sehen ist.

Autoruns screenshot
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.-bildschirm.jpg

Nun die Logs :

Malwarebytes log
Anhang 6910
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4149

Windows 6.0.6000
Internet Explorer 7.0.6000.17037

27.05.2010 22:06:13
mbam-log-2010-05-27 (22-06-13).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 121283
Laufzeit: 9 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\***\AppData\Roaming\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.
hier wurde was gefunden und gefixt

darauf OTL Scan
OTL
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 27.05.2010 22:20:52 - Run 2
OTL by OldTimer - Version 3.2.5.0     Folder = C:\downloads\***
Windows Vista Home Basic Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.17037)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
766,00 Mb Total Physical Memory | 247,00 Mb Available Physical Memory | 32,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 56,00% Paging File free
Paging file location(s): c:\pagefile.sys 1135 1135 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 100,07 Gb Total Space | 12,98 Gb Free Space | 12,97% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***-PC
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\downloads\scanner malware\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation)
PRC - C:\Windows\System32\s3trayp.exe (S3 Graphics Co., Ltd.)
PRC - C:\Windows\System32\conime.exe (Microsoft Corporation)
PRC - C:\Windows\System32\audiodg.exe (Microsoft Corporation)
PRC - C:\Programme\Common Files\microsoft shared\VS7DEBUG\mdm.exe (Microsoft Corporation)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\downloads\***\OTL.exe (OldTimer Tools)
MOD - C:\Windows\System32\msscript.ocx (Microsoft Corporation)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6000.16386_none_5d07289e07e1d100\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AntiVirScheduler) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys (Avira GmbH)
DRV - (FETND6V) -- C:\Windows\System32\drivers\fetnd6v.sys (VIA Technologies, Inc.              )
DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.)
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (AVIRA GmbH)
DRV - (viaide) -- C:\Windows\system32\drivers\viaide.sys (VIA Technologies, Inc.)
DRV - (HSF_DPV) -- C:\Windows\System32\drivers\HSX_DPV.sys (Conexant Systems, Inc.)
DRV - (HSXHWAZL) -- C:\Windows\System32\drivers\HSXHWAZL.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\Windows\System32\drivers\HSX_CNXT.sys (Conexant Systems, Inc.)
DRV - (XAudio) -- C:\Windows\System32\drivers\XAudio.sys (Conexant Systems, Inc.)
DRV - ({95808DC4-FA4A-4C74-92FE-5B863F82066B}) -- C:\Programme\CyberLink\PowerDVD\000.fcl (Cyberlink Corp.)
DRV - (nvstor) -- C:\Windows\system32\drivers\nvstor.sys (NVIDIA Corporation)
DRV - (nvraid) NVIDIA nForce(tm) -- C:\Windows\system32\drivers\nvraid.sys (NVIDIA Corporation)
DRV - (S3GIGP) -- C:\Windows\System32\drivers\VTGKModeDX32.sys (S3 Graphics Co., Ltd.)
DRV - (HdAudAddService) -- C:\Windows\System32\drivers\viahduaa.sys (VIA Technologies, Inc.)
DRV - (ql2300) -- C:\Windows\system32\drivers\ql2300.sys (QLogic Corporation)
DRV - (adp94xx) -- C:\Windows\system32\drivers\adp94xx.sys (Adaptec, Inc.)
DRV - (elxstor) -- C:\Windows\system32\drivers\elxstor.sys (Emulex)
DRV - (adpahci) -- C:\Windows\system32\drivers\adpahci.sys (Adaptec, Inc.)
DRV - (uliahci) -- C:\Windows\system32\drivers\uliahci.sys (ULi Electronics Inc.)
DRV - (iaStorV) -- C:\Windows\system32\drivers\iastorv.sys (Intel Corporation)
DRV - (adpu320) -- C:\Windows\system32\drivers\adpu320.sys (Adaptec, Inc.)
DRV - (ulsata2) -- C:\Windows\system32\drivers\ulsata2.sys (Promise Technology, Inc.)
DRV - (vsmraid) -- C:\Windows\system32\drivers\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (ql40xx) -- C:\Windows\system32\drivers\ql40xx.sys (QLogic Corporation)
DRV - (UlSata) -- C:\Windows\system32\drivers\ulsata.sys (Promise Technology, Inc.)
DRV - (adpu160m) -- C:\Windows\system32\drivers\adpu160m.sys (Adaptec, Inc.)
DRV - (nfrd960) -- C:\Windows\system32\drivers\nfrd960.sys (IBM Corporation)
DRV - (iirsp) -- C:\Windows\system32\drivers\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (SiSRaid4) -- C:\Windows\system32\drivers\sisraid4.sys (Silicon Integrated Systems)
DRV - (aic78xx) -- C:\Windows\system32\drivers\djsvs.sys (Adaptec, Inc.)
DRV - (arcsas) -- C:\Windows\system32\drivers\arcsas.sys (Adaptec, Inc.)
DRV - (LSI_SCSI) -- C:\Windows\system32\drivers\lsi_scsi.sys (LSI Logic)
DRV - (SiSRaid2) -- C:\Windows\system32\drivers\sisraid2.sys (Silicon Integrated Systems Corp.)
DRV - (HpCISSs) -- C:\Windows\system32\drivers\hpcisss.sys (Hewlett-Packard Company)
DRV - (arc) -- C:\Windows\system32\drivers\arc.sys (Adaptec, Inc.)
DRV - (iteraid) -- C:\Windows\system32\drivers\iteraid.sys (Integrated Technology Express, Inc.)
DRV - (iteatapi) -- C:\Windows\system32\drivers\iteatapi.sys (Integrated Technology Express, Inc.)
DRV - (LSI_SAS) -- C:\Windows\system32\drivers\lsi_sas.sys (LSI Logic)
DRV - (Symc8xx) -- C:\Windows\system32\drivers\symc8xx.sys (LSI Logic)
DRV - (LSI_FC) -- C:\Windows\system32\drivers\lsi_fc.sys (LSI Logic)
DRV - (Sym_u3) -- C:\Windows\system32\drivers\sym_u3.sys (LSI Logic)
DRV - (Mraid35x) -- C:\Windows\system32\drivers\mraid35x.sys (LSI Logic Corporation)
DRV - (Sym_hi) -- C:\Windows\system32\drivers\sym_hi.sys (LSI Logic)
DRV - (megasas) -- C:\Windows\system32\drivers\megasas.sys (LSI Logic Corporation)
DRV - (cmdide) -- C:\Windows\system32\drivers\cmdide.sys (CMD Technology, Inc.)
DRV - (aliide) -- C:\Windows\system32\drivers\aliide.sys (Acer Laboratories Inc.)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\Windows\System32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\system32\drivers\brserid.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\system32\drivers\brusbser.sys (Brother Industries Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\drivers\brfiltup.sys (Brother Industries, Ltd.)
DRV - (BrFiltLo) -- C:\Windows\system32\drivers\brfiltlo.sys (Brother Industries, Ltd.)
DRV - (BrSerWdm) -- C:\Windows\system32\drivers\brserwdm.sys (Brother Industries Ltd.)
DRV - (BrUsbMdm) -- C:\Windows\system32\drivers\brusbmdm.sys (Brother Industries Ltd.)
DRV - (HSFHWAZL) -- C:\Windows\System32\drivers\VSTAZL3.SYS (Conexant Systems, Inc.)
DRV - (ntrigdigi) -- C:\Windows\system32\drivers\ntrigdigi.sys (N-trig Innovative Technologies)
DRV - (E1G60) Intel(R) -- C:\Windows\System32\drivers\E1G60I32.sys (Intel Corporation)
DRV - (ApfiltrService) -- C:\Windows\System32\drivers\Apfiltr.sys (Alps Electric Co., Ltd.)
DRV - (VClone) -- C:\Windows\system32\DRIVERS\VClone.sys (Elaborate Bytes AG)
DRV - (ElbyCDIO) -- C:\Windows\System32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (ElbyDelay) -- C:\Windows\System32\drivers\ElbyDelay.sys (Elaborate Bytes AG)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.com/
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "h**p://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "h**p://www.google.de/"
FF - prefs.js..keyword.URL: "h**p://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query="
 
FF - HKLM\software\mozilla\Mozilla Firefox 2.0.0.20 :-) \extensions\\Components: C:\Program Files\Mozilla Firefox\components [2008.12.21 16:42:49 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 2.0.0.20 :-) \extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.03.03 22:47:55 | 000,000,000 | ---D | M]
 
[2010.05.27 18:03:53 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\at58s1i1.default\extensions
[2010.05.27 18:03:53 | 000,000,000 | ---D | M] (NoScript) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\at58s1i1.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}
[2010.04.17 16:39:15 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\at58s1i1.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010.04.17 16:46:36 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\at58s1i1.default\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
[2008.10.07 21:17:11 | 000,001,196 | ---- | M] () -- C:\Users\***\AppData\Roaming\Mozilla\FireFox\Profiles\at58s1i1.default\searchplugins\winamp-search.xml
[2010.05.07 22:42:42 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2008.07.07 16:32:33 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org
[2008.12.21 16:42:44 | 000,067,688 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\jar50.dll
[2008.12.21 16:42:44 | 000,054,368 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\jsd3250.dll
[2008.12.21 16:42:44 | 000,034,944 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\myspell.dll
[2008.12.21 16:42:44 | 000,046,712 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\spellchk.dll
[2008.12.21 16:42:45 | 000,172,136 | ---- | M] (Mozilla Foundation) -- C:\Programme\Mozilla Firefox\components\xpinstal.dll
[2008.07.07 16:32:31 | 000,001,525 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2008.07.07 16:32:31 | 000,001,063 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2008.07.07 16:32:31 | 000,000,998 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2008.07.07 16:32:31 | 000,000,815 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ Malwarebytes Anti-Malware  (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [MSConfig] C:\Windows\System32\msconfig.exe (Microsoft Corporation)
O4 - HKLM..\Run: [S3Trayp] C:\Windows\System32\s3trayp.exe (S3 Graphics Co., Ltd.)
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O13 - gopher Prefix: missing
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} h**p://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (C:\Users\**\AppData\Roaming\vgdoqo.exe) - C:\Users\***\AppData\Roaming\vgdoqo.exe File not found
O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\**\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\**\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\Shell\AutoRun\command - "" = E:\MILAN\\\\\BALKAN.exe -- File not found
O33 - MountPoints2\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\Shell\explore\command - "" = E:\MILAN\\\\\\BALKAN.exe -- File not found
O33 - MountPoints2\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\Shell\open\command - "" = E:\MILAN\\\\\\BALKAN.exe -- File not found
O33 - MountPoints2\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\Shell\Auto\command - "" = activexdebugger32.exe f
O33 - MountPoints2\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\Shell\explore\Command - "" = activexdebugger32.exe f
O33 - MountPoints2\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\Shell\open\Command - "" = activexdebugger32.exe f
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.05.27 21:53:24 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes
[2010.05.27 21:52:48 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.05.27 21:52:45 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.05.27 21:52:45 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.05.27 21:52:45 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.05.27 21:47:01 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.05.08 17:39:16 | 000,000,000 | ---D | C] -- C:\filme
[2010.05.08 17:37:14 | 000,000,000 | ---D | C] -- C:\N*O
[2010.05.02 22:47:52 | 000,662,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCOMCT2.OCX
[2010.05.02 22:47:52 | 000,137,000 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSMAPI32.OCX
[2010.05.02 22:47:48 | 000,158,208 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCMCDE.DLL
[2010.05.02 22:47:48 | 000,125,712 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\VB6DE.DLL
[2010.05.02 22:47:48 | 000,064,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSCC2DE.DLL
[2010.05.02 22:47:48 | 000,023,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSMPIDE.DLL
[2010.05.02 22:47:47 | 000,000,000 | ---D | C] -- C:\Programme\PDFCreator
[2010.04.28 19:51:11 | 000,000,000 | ---D | C] -- C:\Programme\MyDefragGUI
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.05.27 22:21:20 | 002,359,296 | -HS- | M] () -- C:\Users\***\ntuser.dat
[2010.05.27 22:19:20 | 000,003,680 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2010.05.27 22:19:20 | 000,003,680 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2010.05.27 22:06:58 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\pwrdjfd.sys
[2010.05.27 21:47:01 | 000,001,950 | ---- | M] () -- C:\Users\**\Desktop\HiJackThis.lnk
[2010.05.27 21:30:35 | 000,000,118 | ---- | M] () -- C:\Windows\System32\MRT.INI
[2010.05.27 21:19:20 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.05.27 21:19:17 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.05.27 21:11:16 | 002,445,447 | -H-- | M] () -- C:\Users\***\AppData\Local\IconCache.db
[2010.05.27 21:11:01 | 000,000,689 | ---- | M] () -- C:\Users\+**\Desktop\procexp.lnk
[2010.05.27 21:10:15 | 000,000,689 | ---- | M] () -- C:\Users\+**\Desktop\Tcpview.exe.lnk
[2010.05.27 21:09:08 | 000,000,696 | ---- | M] () -- C:\Users\***\Desktop\autoruns.exe.lnk
[2010.05.27 20:09:39 | 000,097,371 | ---- | M] () -- C:\Users\***ctfmon.rar
[2010.05.27 13:43:45 | 000,034,304 | ---- | M] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.05.25 21:14:22 | 000,398,288 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2010.05.25 11:22:55 | 001,461,736 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2010.05.25 11:22:55 | 000,641,344 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.05.25 11:22:55 | 000,610,142 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.05.25 11:22:55 | 000,116,706 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.05.25 11:22:55 | 000,103,924 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.05.12 11:21:16 | 000,221,568 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\MpSigStub.exe
[2010.05.04 08:25:31 | 000,000,254 | ---- | M] () -- C:\Windows\win.ini
[2010.05.02 23:03:53 | 000,512,153 | ---- | M] () -- C:\Users\***\Documents\T***z Ma**cz2.pdf
[2010.05.02 22:57:08 | 006,453,698 | ---- | M] () -- C:\Users\***\Documents\Ganzseitiges Foto.pdf
[2010.05.02 22:47:58 | 000,000,841 | ---- | M] () -- C:\Users\Public\Desktop\PDFCreator.lnk
[2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.04.28 19:51:13 | 000,000,743 | ---- | M] () -- C:\Users\***\Desktop\MyDefragGUI.lnk
[2010.04.28 14:40:56 | 000,002,631 | ---- | M] () -- C:\Users\***\Desktop\Microsoft Office Word 2007.lnk
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.05.27 22:06:58 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\pwrdjfd.sys
[2010.05.27 21:47:01 | 000,001,950 | ---- | C] () -- C:\Users\***\Desktop\HiJackThis.lnk
[2010.05.27 21:30:35 | 000,000,118 | ---- | C] () -- C:\Windows\System32\MRT.INI
[2010.05.27 21:10:43 | 000,000,689 | ---- | C] () -- C:\Users\***Desktop\procexp.lnk
[2010.05.27 21:10:01 | 000,000,689 | ---- | C] () -- C:\Users\***Desktop\Tcpview.exe.lnk
[2010.05.27 21:08:50 | 000,000,696 | ---- | C] () -- C:\Users\***\Desktop\autoruns.exe.lnk
[2010.05.27 20:09:38 | 000,097,371 | ---- | C] () -- C:\Users\***\ctfmon.rar
[2010.05.02 23:03:51 | 000,512,153 | ---- | C] () -- C:\Users\***\Documents\To***z Ma***2.pdf
[2010.05.02 22:56:50 | 006,453,698 | ---- | C] () -- C:\Users\***\Documents\oto.pdf
[2010.05.02 22:47:58 | 000,000,841 | ---- | C] () -- C:\Users\Public\Desktop\PDFCreator.lnk
[2010.05.02 22:47:52 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2010.04.28 19:51:13 | 000,000,743 | ---- | C] () -- C:\Users\***\Desktop\MyDefragGUI.lnk
[2009.07.22 13:35:27 | 000,000,069 | ---- | C] () -- C:\Windows\NeroDigital.ini
[2008.10.24 13:34:32 | 000,000,021 | ---- | C] () -- C:\Windows\progman.ini
[2008.04.14 21:00:31 | 000,069,632 | ---- | C] () -- C:\Windows\System32\vuins32.dll
[2008.03.21 22:30:08 | 003,596,288 | ---- | C] () -- C:\Windows\System32\qt-dx331.dll
[2008.03.21 22:28:54 | 000,000,416 | ---- | C] () -- C:\Windows\System32\dtu100.dll.manifest
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
< End of report >
--- --- ---

Anhang 6911

OTL Extras
OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 27.05.2010 22:20:52 - Run 2
OTL by OldTimer - Version 3.2.5.0     Folder = C:\downloads\scanner malware
Windows Vista Home Basic Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.17037)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
766,00 Mb Total Physical Memory | 247,00 Mb Available Physical Memory | 32,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 56,00% Paging File free
Paging file location(s): c:\pagefile.sys 1135 1135 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 100,07 Gb Total Space | 12,98 Gb Free Space | 12,97% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
 
Computer Name: ***-PC
Current User Name: ***
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- C:\Program Files\VideoLAN\VLC\vlc.exe --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- C:\Program Files\VideoLAN\VLC\vlc.exe --started-from-file --no-playlist-enqueue "%1" ()
Directory [Winamp.Bookmark] -- "C:\Program Files\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Program Files\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Program Files\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{09BC8D62-3F66-445C-B9E2-95FF2C159CF2}" = lport=6004 | protocol=17 | dir=in | app=c:\program files\microsoft office\office12\outlook.exe | 
"{0FCFD770-08DB-4DE9-B467-09F1428ECA28}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=svchost.exe | 
"{166341AE-0E68-487B-8F0C-FCC3C10869F4}" = lport=2869 | protocol=6 | dir=in | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{04D57C6E-7BE9-46BF-B38A-329B08E260DE}" = protocol=6 | dir=in | app=c:\program files\winamp remote\bin\orb.exe | 
"{2993FFA2-A20D-498A-BCCD-3466821E1B40}" = dir=in | app=c:\program files\cyberlink\powerdvd\powerdvd.exe | 
"{2FBE843B-D74E-4AC1-B799-EFFDC3FEF4C2}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | 
"{52E9E532-BF0D-454A-98F7-9E4DB1F57639}" = dir=in | app=c:\program files\windows live\messenger\livecall.exe | 
"{64C0FDC4-7BDC-42DC-80EA-2300F7ABA3D3}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{7B0378D2-90A8-43B9-8AC4-4525DFEE3F12}" = protocol=17 | dir=in | app=c:\program files\winamp remote\bin\orbstreamerclient.exe | 
"{7C88441D-BBD4-4491-A431-03E7DD3B615D}" = protocol=17 | dir=in | app=c:\program files\winamp remote\bin\orb.exe | 
"{86D615FD-E833-4B3A-B6F4-9E590BBECF30}" = protocol=17 | dir=in | app=c:\program files\winamp remote\bin\orbtray.exe | 
"{A47F2A81-1187-4310-A98B-F1ED0C0E7AED}" = protocol=6 | dir=in | app=c:\program files\winamp remote\bin\orbstreamerclient.exe | 
"{BD617677-9BBE-4395-932D-2DA2AA376E25}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\groove.exe | 
"{EABC88A8-79C9-44B9-B56F-BF8EFCB9D657}" = protocol=6 | dir=in | app=c:\program files\winamp remote\bin\orbtray.exe | 
"{EE434630-A01B-4670-8697-04055647530D}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{FF04E842-E5F0-4FBC-ACAC-2C6CFEB94197}" = dir=in | app=c:\program files\windows live\messenger\msnmsgr.exe | 
"TCP Query User{8535E8F7-61D1-4F51-BD10-EBDB90A58D6F}C:\downloadsinternet\utorrent portable\net-und-web_app\utorrent\utorrent.exe" = protocol=6 | dir=in | app=c:\downloadsinternet\utorrent portable\net-und-web_app\utorrent\utorrent.exe | 
"TCP Query User{C7797A1B-0118-417E-9733-FF690009A621}C:\program files\mozilla firefox\firefox.exe" = protocol=6 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | 
"UDP Query User{1967C31F-9204-401E-9221-5C6F48366B4B}C:\downloadsinternet\utorrent portable\net-und-web_app\utorrent\utorrent.exe" = protocol=17 | dir=in | app=c:\downloadsinternet\utorrent portable\net-und-web_app\utorrent\utorrent.exe | 
"UDP Query User{5E285389-9763-4466-9365-931A48EB58BB}C:\program files\mozilla firefox\firefox.exe" = protocol=17 | dir=in | app=c:\program files\mozilla firefox\firefox.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0D2E9DCB-9938-475E-B4DD-8851738852FF}" = AIO_Scan
"{1746EA69-DCB6-4408-B5A5-E75F55439CDF}" = Scan
"{179C56A4-F57F-4561-8BBF-F911D26EB435}" = WebReg
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 11
"{282E5AB2-8E47-4571-B6FA-6B512555B557}" = HP Photosmart.All-In-One Driver Software 8.0 .A
"{36FDBE6E-6684-462B-AE98-9A39A1B200CC}" = HP Product Assistant
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{44F5A980-8A6B-4aca-8D85-EFCE5D67D379}" = AIO_CDA_ProductContext
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{49F2B650-2D7B-4F59-B33D-346F63776BD3}" = DocProc
"{4BD5B5D2-406D-4bc5-BB10-2F0D1D367C95}" = c6100_Help
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{67D3F1A0-A1F2-49b7-B9EE-011277B170CD}" = HPProductAssistant
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder
"{7A7DC702-DEDE-42A8-8722-B3BA724D546F}" = Fax
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{87E2B986-07E8-477a-93DC-AF0B6758B192}" = DocProcQFolder
"{8842825B-C865-40D3-89FD-A48A942195B4}" = Wireless LAN Driver
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{3EC77D26-799B-4CD8-914F-C1565E796173}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{430971B1-C31E-45DA-81E0-72C095BAB72C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{58FC5E37-DD28-4D4A-A549-125744C6763C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{BEE75E01-DD3F-4D5F-B96C-609E6538D419}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{888B9AC7-8F5C-456B-A27A-157A6C310E52}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{95D08F4E-DFC2-4ce3-ACB7-8C8E206217E9}" = MarketResearch
"{978C25EE-5777-46e4-8988-732C297CBDBD}" = Status
"{9B1FD9CE-0776-4f0b-A6F5-C6AB7B650CDF}" = Destinations
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = ALPS Touch Pad Driver
"{A36CD345-625C-4d6c-B3E2-76E1248CB451}" = SolutionCenter
"{A3B7C670-4A1E-4EE2-950E-C875BC1965D0}" = Copy
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AF1C9345-B53D-4110-BFBF-A0DD83AEAB83}" = AIO_CDA_Software
"{B944FA21-81AF-4A77-8328-CE4F4CC51031}" = Nero 8
"{BE77A81F-B315-4666-9BF3-AE70C0ADB057}" = BufferChm
"{C716522C-3731-4667-8579-40B098294500}" = Toolbox
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{E06F04B9-45E6-4AC0-8083-85F7515F40F7}" = UnloadSupport
"{EB21A812-671B-4D08-B974-2A347F0D8F70}" = HP Photosmart Essential
"{EB75DE50-5754-4F6F-875D-126EDF8E4CB3}" = HPSSupply
"{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}" = 32 Bit HP CIO Components Installer
"{FAA9B753-45CE-4581-876C-55D97939B631}" = C6100
"{FE57DE70-95DE-4B64-9266-84DA811053DB}" = HP Update
"{FF075778-6E50-47ed-991D-3B07FD4E3250}" = TrayApp
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AntiVir PersonalEdition Classic" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner (remove only)
"CNXT_MODEM_HDA_HSF" = HDAUDIO Soft Data Fax Modem with SmartCP
"ENTERPRISE" = Microsoft Office Enterprise 2007
"fahrinfo" = fahrinfo
"Foxit Reader" = Foxit Reader
"HP Imaging Device Functions" = HP Imaging Device Functions 8.0
"HP Solution Center & Imaging Support Tools" = HP Solution Center 8.0
"HPExtendedCapabilities" = HP Customer Participation Program 8.0
"HPOCR" = HP OCR Software 8.0
"ImgBurn" = ImgBurn
"InstallShield_{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD Ultra
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (2.0.0.20)" = Mozilla Firefox (2.0.0.20)
"VIA Chrome9 HC IGP Windows Vista Display" = VIA Display Vista Driver 7.14.10.0053
"VirtualCloneDrive" = VirtualCloneDrive
"VLC media player" = VLC media player 0.9.8a
"VN_VUIns_Rhine_VIA" = VIA Rhine Family Fast Ethernet Adapter
"Winamp" = Winamp
"WinRAR archiver" = WinRAR
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 28.04.2010 18:07:07 | Computer Name = ***-PC | Source = Windows Search Service | ID = 3079
Description = 
 
Error - 07.05.2010 07:02:22 | Computer Name = ***-PC | Source = EventSystem | ID = 4609
Description = 
 
Error - 10.05.2010 07:22:48 | Computer Name = ***-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung Explorer.EXE, Version 6.0.6000.16771, Zeitstempel
 0x4907deda, fehlerhaftes Modul Explorer.EXE, Version 6.0.6000.16771, Zeitstempel
 0x4907deda, Ausnahmecode 0xc0000005, Fehleroffset 0x00049f72,  Prozess-ID 0x618, 
Anwendungsstartzeit 01caf032d701234c.
 
Error - 25.05.2010 11:32:01 | Computer Name = ***-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung 490.exe, Version 1.0.0.0, Zeitstempel 0x4bfbd2e4,
 fehlerhaftes Modul 490.exe, Version 1.0.0.0, Zeitstempel 0x4bfbd2e4, Ausnahmecode
 0xc0000005, Fehleroffset 0x00001352,  Prozess-ID 0xdd8, Anwendungsstartzeit 01cafc1f6aa3bf63.
 
Error - 25.05.2010 14:18:22 | Computer Name = ***-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung 71552.exe, Version 1.0.0.0, Zeitstempel 0x4bfbd2e4,
 fehlerhaftes Modul 71552.exe, Version 1.0.0.0, Zeitstempel 0x4bfbd2e4, Ausnahmecode
 0xc0000005, Fehleroffset 0x00001352,  Prozess-ID 0x9c0, Anwendungsstartzeit 01cafc36a59175cc.
 
Error - 25.05.2010 15:08:03 | Computer Name = ***-PC | Source = EventSystem | ID = 4609
Description = 
 
Error - 25.05.2010 16:26:11 | Computer Name = ***-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung 1314.exe, Version 1.0.0.0, Zeitstempel 0x4bfbd2e4,
 fehlerhaftes Modul 1314.exe, Version 1.0.0.0, Zeitstempel 0x4bfbd2e4, Ausnahmecode
 0xc0000005, Fehleroffset 0x00001352,  Prozess-ID 0xdb8, Anwendungsstartzeit 01cafc4882282a83.
 
Error - 26.05.2010 07:59:52 | Computer Name = ***-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung 816311.exe, Version 1.0.0.0, Zeitstempel 0x4bfbd2e4,
 fehlerhaftes Modul 816311.exe, Version 1.0.0.0, Zeitstempel 0x4bfbd2e4, Ausnahmecode
 0xc0000005, Fehleroffset 0x00001352,  Prozess-ID 0xf80, Anwendungsstartzeit 01cafccaefdb8b1f.
 
Error - 26.05.2010 09:45:30 | Computer Name = ***-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung 7773073.exe, Version 1.0.0.0, Zeitstempel 0x4bfbd2e4,
 fehlerhaftes Modul 7773073.exe, Version 1.0.0.0, Zeitstempel 0x4bfbd2e4, Ausnahmecode
 0xc0000005, Fehleroffset 0x00001352,  Prozess-ID 0xb14, Anwendungsstartzeit 01cafcd9b46ee630.
 
Error - 27.05.2010 05:29:38 | Computer Name = ***-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung 8276676.exe, Version 1.0.0.0, Zeitstempel 0x4bfbd2e4,
 fehlerhaftes Modul 8276676.exe, Version 1.0.0.0, Zeitstempel 0x4bfbd2e4, Ausnahmecode
 0xc0000005, Fehleroffset 0x00001352,  Prozess-ID 0xda8, Anwendungsstartzeit 01cafd7f1f9309a5.
 
[ OSession Events ]
Error - 25.10.2009 11:58:21 | Computer Name = ***-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 3, Application Name: Microsoft Office PowerPoint, Application 
Version: 12.0.6300.5000, Microsoft Office Version: 12.0.6215.1000. This session 
lasted 272 seconds with 180 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 25.05.2010 15:09:24 | Computer Name =**-PC | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 25.05.2010 15:09:24 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 25.05.2010 15:09:24 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 25.05.2010 15:09:24 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 25.05.2010 15:09:24 | Computer Name = **-PC | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 25.05.2010 15:09:24 | Computer Name = **-PC | Source = Service Control Manager | ID = 7026
Description = 
 
Error - 25.05.2010 15:09:24 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 25.05.2010 15:09:24 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 25.05.2010 15:09:24 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 25.05.2010 15:09:24 | Computer Name = ***-PC | Source = Service Control Manager | ID = 7001
Description = 
 
 
< End of report >
--- --- ---

Anhang 6912

Ich weiss nicht weiter , deshalb bite ich um Eure Hilfe
Geändert von darem (27.05.2010 um 23:35 Uhr)

Alt 28.05.2010, 17:27   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Standard

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Hallo,

bitte Malwarebytes' Datenbanken updaten und einen Vollscan machen, dann sehen wir weiter.
__________________

__________________
Alt 28.05.2010, 20:59   #3
darem
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Ausrufezeichen

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Hier nun der Malwarebytes Vollscan Log:
Anhang 6921

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4152

Windows 6.0.6000
Internet Explorer 7.0.6000.17037

28.05.2010 21:49:05
mbam-log-2010-05-28 (21-49-05).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 199555
Laufzeit: 59 Minute(n), 1 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Was kann man eigentlich zu diesem Auschnitt des OTL Logs von Gestern sagen
Code:
ATTFilter
O33 - MountPoints2\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\Shell\AutoRun\command - "" = E:\MILAN\\\\\BALKAN.exe -- File not found
O33 - MountPoints2\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\Shell\explore\command - "" = E:\MILAN\\\\\\BALKAN.exe -- File not found
O33 - MountPoints2\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\Shell\open\command - "" = E:\MILAN\\\\\\BALKAN.exe -- File not found
O33 - MountPoints2\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\Shell\Auto\command - "" = activexdebugger32.exe f
O33 - MountPoints2\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\Shell\explore\Command - "" = activexdebugger32.exe f
O33 - MountPoints2\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\Shell\open\Command - "" = activexdebugger32.exe f
?
__________________
Geändert von darem (28.05.2010 um 21:33 Uhr)

Alt 28.05.2010, 23:54   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Standard

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Die O33-Einträge (mountpoints2) sind zB Informationen über die USB-Sticks abgelegt, die Du mal an Deine Kiste angesteckt hast. Kann man problem los entfernen und ich werd Dir die jetzt auch wegscripten

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O33 - MountPoints2\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\Shell\AutoRun\command - "" = E:\MILAN\\\\\BALKAN.exe -- File not found
O33 - MountPoints2\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\Shell\explore\command - "" = E:\MILAN\\\\\\BALKAN.exe -- File not found
O33 - MountPoints2\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\Shell\open\command - "" = E:\MILAN\\\\\\BALKAN.exe -- File not found
O33 - MountPoints2\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\Shell\Auto\command - "" = activexdebugger32.exe f
O33 - MountPoints2\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\Shell\explore\Command - "" = activexdebugger32.exe f
O33 - MountPoints2\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\Shell\open\Command - "" = activexdebugger32.exe f
[2010.05.27 22:06:58 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\pwrdjfd.sys
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 29.05.2010, 15:36   #5
darem
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Blinzeln

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Hier ist das OTL Fix Log
Code:
ATTFilter
All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\ not found.
File E:\MILAN\\\\\BALKAN.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\ not found.
File E:\MILAN\\\\\\BALKAN.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31de1bc0-38c9-11df-9c6f-00140b0d794f}\ not found.
File E:\MILAN\\\\\\BALKAN.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\ not found.
File activexdebugger32.exe f not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\ not found.
File activexdebugger32.exe f not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ba98512-4ec4-11dd-90f7-00140b0d794f}\ not found.
File activexdebugger32.exe f not found.
File C:\Windows\System32\drivers\pwrdjfd.sys not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Meryem
->Temp folder emptied: 31832 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 8776811 bytes
->FireFox cache emptied: 16561225 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 38485381 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 557015 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 61,00 mb
 
 
OTL by OldTimer - Version 3.2.5.0 log created on 05292010_161435

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Wie sollte ich nun vorgehen mit den USB/Mp3-player Sticks, die sehr wahrscheinlich verseucht sind?
habe die noautoplay.reg Datei hier von euch geladen und auch ausgeführt.Wird dadurch schon die Möglichkeit für Viren und Trojaner geblockt auf den Rechner überzuspringen? Dann einfach mit einem Virenscanner (Avira)
die Wechseldatenträger prüfen? Oder zusätzlich noch Malwarebytes drüberlaufen lassen? Sandboxie vielleicht

P.S.:
Der Rechner verhält sich bis jetzt normal und Avira meldet nichts mehr.
Alt 31.05.2010, 10:40   #6
darem
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Standard

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


@ Cosinus,
könntest Du hier noch mal vorbeischauen? ;-)

Alt 31.05.2010, 11:28   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Standard

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Zitat:
Wird dadurch schon die Möglichkeit für Viren und Trojaner geblockt auf den Rechner überzuspringen?
Durch die noautoplay.reg wird nur der Autorun auf allen Laufwerken deaktiviert, heißt: falls Du einen verseuchten USB-Stick ansteckst, wird der Schädling nicht automatisch ausgeführt, aber entfernt wird so erstmal garnichts!

mach bitte nun einen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 31.05.2010, 14:21   #8
darem
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Standard

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Zitat:
Zitat von cosinus Beitrag anzeigen
Durch die noautoplay.reg wird nur der Autorun auf allen Laufwerken deaktiviert, heißt: falls Du einen verseuchten USB-Stick ansteckst, wird der Schädling nicht automatisch ausgeführt, aber entfernt wird so erstmal garnichts!
...
[/indent]
Das ist mir schon klar, dass kein Schädling von den Sticks entfernt wird.Die Frage war eher - Wie sollte man sich an diese "Drecksschleuder" rantrauen?


[CODE]
Combofix Logfile:
Combofix Logfile:
Code:
ATTFilter
ComboFix 10-05-30.08 - Meryem 31.05.2010  14:21:45.1.2 - x86
Microsoft® Windows Vista™ Home Basic   6.0.6000.0.1252.49.1031.18.766.292 [GMT 2:00]
ausgeführt von:: c:\users\Meryem\Desktop\cofi.exe
SP: Avira AntiVir PersonalEdition *enabled* (Outdated)   {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Windows-Defender *disabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-04-28 bis 2010-05-31  ))))))))))))))))))))))))))))))
.

2010-05-31 12:28 . 2010-05-31 12:28	--------	d-----w-	c:\users\Meryem\AppData\Local\temp
2010-05-31 12:28 . 2010-05-31 12:28	--------	d-----w-	c:\users\Default\AppData\Local\temp
2010-05-29 14:14 . 2010-05-29 14:14	--------	d-----w-	C:\_OTL
2010-05-27 19:53 . 2010-05-27 19:53	--------	d-----w-	c:\users\Meryem\AppData\Roaming\Malwarebytes
2010-05-27 19:52 . 2010-04-29 10:19	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-27 19:52 . 2010-05-27 19:52	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-05-27 19:52 . 2010-05-27 19:52	--------	d-----w-	c:\programdata\Malwarebytes
2010-05-27 19:52 . 2010-04-29 10:19	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-05-27 19:47 . 2010-05-27 19:47	388096	----a-r-	c:\users\Meryem\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-05-27 19:47 . 2010-05-27 19:47	--------	d-----w-	c:\program files\Trend Micro
2010-05-08 15:39 . 2010-05-09 13:26	--------	d-----w-	C:\*****e           /// *einfache vom User erstellte Ordner;darem
2010-05-08 15:37 . 2010-05-08 15:44	--------	d-----w-	C:\N*O               ///  *einfache vom User erstellte Ordner;darem
2010-05-04 06:20 . 2010-05-04 06:20	--------	d-----w-	c:\windows\system32\Spool\prtprocs\w32x86\1
2010-05-02 20:47 . 2001-10-28 14:42	116224	----a-w-	c:\windows\system32\pdfcmnnt.dll
2010-05-02 20:47 . 1998-07-06 15:56	125712	----a-w-	c:\windows\system32\VB6DE.DLL
2010-05-02 20:47 . 1998-07-06 15:55	158208	----a-w-	c:\windows\system32\MSCMCDE.DLL
2010-05-02 20:47 . 1998-07-06 15:55	64512	----a-w-	c:\windows\system32\MSCC2DE.DLL
2010-05-02 20:47 . 1998-07-05 22:00	23552	----a-w-	c:\windows\system32\MSMPIDE.DLL
2010-05-02 20:47 . 2010-05-02 20:49	--------	d-----w-	c:\program files\PDFCreator

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-31 09:19 . 2008-04-15 04:30	641344	----a-w-	c:\windows\system32\perfh007.dat
2010-05-31 09:19 . 2008-04-15 04:30	116706	----a-w-	c:\windows\system32\perfc007.dat
2010-05-12 09:21 . 2009-10-03 18:42	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-05-07 12:39 . 2010-04-28 17:51	--------	d-----w-	c:\program files\MyDefragGUI
2010-05-02 20:31 . 2008-11-17 17:02	--------	d-----w-	c:\users\Meryem\AppData\Roaming\Image Zone Express
2010-03-09 16:54 . 2010-03-31 07:36	832512	----a-w-	c:\windows\system32\wininet.dll
2010-03-09 16:50 . 2010-03-31 07:36	56320	----a-w-	c:\windows\system32\iesetup.dll
2010-03-09 16:50 . 2010-03-31 07:36	78336	----a-w-	c:\windows\system32\ieencode.dll
2010-03-09 16:50 . 2010-03-31 07:36	52736	----a-w-	c:\windows\AppPatch\iebrshim.dll
2010-03-09 16:48 . 2010-03-31 07:36	72704	----a-w-	c:\windows\system32\admparse.dll
2010-03-09 14:17 . 2010-03-31 07:36	26624	----a-w-	c:\windows\system32\ieUnatt.exe
2010-03-09 12:43 . 2010-03-31 07:36	48128	----a-w-	c:\windows\system32\mshtmler.dll
2010-03-04 19:24 . 2010-04-15 06:41	434176	----a-w-	c:\windows\system32\vbscript.dll
2008-12-21 14:42 . 2008-04-14 19:11	67688	----a-w-	c:\program files\mozilla firefox\components\jar50.dll
2008-12-21 14:42 . 2008-04-14 19:11	54368	----a-w-	c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-21 14:42 . 2008-04-14 19:11	34944	----a-w-	c:\program files\mozilla firefox\components\myspell.dll
2008-12-21 14:42 . 2008-04-14 19:11	46712	----a-w-	c:\program files\mozilla firefox\components\spellchk.dll
2008-12-21 14:42 . 2008-04-14 19:11	172136	----a-w-	c:\program files\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-04-14 1006264]
"S3Trayp"="S3trayp.exe" [2006-12-15 176128]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2006-09-12 155648]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Meryem^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\Meryem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
2007-09-20 13:35	202024	----a-w-	c:\program files\Common Files\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2007-08-24 05:00	33648	----a-w-	c:\program files\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2006-12-10 19:52	49152	----a-w-	c:\program files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
2007-03-14 19:01	54832	------w-	c:\program files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
2007-09-20 07:51	1836328	----a-w-	c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 13:57	153136	----a-w-	c:\program files\Common Files\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2007-03-14 19:01	71216	------w-	c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-02-06 14:11	136600	----a-w-	c:\program files\Java\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
2006-04-29 13:21	94208	----a-w-	c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2008-08-03 23:02	36352	----a-w-	c:\program files\Winamp\winampa.exe

S3 FETND6V;VIA Rhine Family Fast Ethernet Adapter Driver;c:\windows\system32\DRIVERS\fetnd6v.sys [2008-06-25 44032]


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - PROCEXP141

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Meryem\AppData\Roaming\Mozilla\Firefox\Profiles\at58s1i1.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.allow_platform_file_picker", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel",             1); // 0=low, 1=medium, 2=high, 3=custom
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad",                   false); // Allow client to do proxy autodiscovery
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom",  "chrome://branding/content/searchconfig.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("signon.prefillForms",                 true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.enabled", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.remoteLookups", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.updateURL", "h***p://sb.google.com/safebrowsing/update?client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.lookupURL", "h***p://sb.google.com/safebrowsing/lookup?sourceid=firefox-antiphish&features=TrustRank&client={moz:client}&appver={moz:version}&");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.safebrowsing.provider.0.reportURL", "h**p://sb.google.com/safebrowsing/report?");
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
MSConfigStartUp-MsnMsgr - c:\program files\Windows Live\Messenger\MsnMsgr.Exe
MSConfigStartUp-Orb - c:\program files\Winamp Remote\bin\OrbTray.exe
MSConfigStartUp-SearchSettings - c:\program files\pdfforge Toolbar\SearchSettings.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-05-31 14:28
Windows 6.0.6000  NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Zeit der Fertigstellung: 2010-05-31  14:31:34
ComboFix-quarantined-files.txt  2010-05-31 12:31

Vor Suchlauf: 15 Verzeichnis(se), 13.530.894.336 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 13.464.989.696 Bytes frei

- - End Of File - - F2D826A0BA20DB7B77A6D75CC3534206
--- --- ---




zu:
...SP: Avira AntiVir PersonalEdition enabled ...
Sollte ich vielleicht noch einen CF scan durchführen? habe versucht Avira Guard zu deaktivieren , war geglückt , doch ComboFix meldete Avira sein nicht auf "aus".Nach dem Neutart war Avira dann endgültig nicht mehr in der Taskleiste! hmm
Geändert von darem (31.05.2010 um 14:29 Uhr)

Alt 31.05.2010, 15:28   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Standard

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Zitat:
Wie sollte man sich an diese "Drecksschleuder" rantrauen?
Dem Stick oder dem verseuchten Rechner?

Zitat:
doch ComboFix meldete Avira sein nicht auf "aus".Nach dem Neutart war Avira dann endgültig nicht mehr in der Taskleiste! hmm
AntiVir "verseucht" da manchmal die Einstellungen im Sicherheitscenter, sodass CF dann auch bei geschlossenem Regenschirm glaub, AntiVir sei an
Läuft AntiVIr jetzt garnicht mehr??

Das Log schau ich mir gleich mal an.

Edith: Log sieht unauffällig aus
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 31.05.2010, 16:30   #10
darem
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Standard

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Zitat:
Zitat von cosinus Beitrag anzeigen
Dem Stick oder dem verseuchten Rechner?
den/die usb Stick(s) meine ich.

Avira funktioniert und läuft.
Der Rechner zeigt auch schon seit ca2 tagen keine Auffälligkeiten.

Alt 13.06.2010, 13:36   #11
darem
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Standard

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Ich melde mich hier wieder, da der Rechner doch noch kleine Problemchen hat.
Es sind aber keine Virusmeldungen usw.

erstens:
Ich kann keine .exe Dateien ausführen ,also solche Programme die sich nicht in die Systemsteuerung-> Programme eingetragen haben.Ich nehme an alle portablen .exe Anwendungen, wie z.b.: Mydefrag, Flashdesinfector, OTL ging auch nicht ... Auch als Admin augeführt
kommt die Meldung , siehe Bild

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.-exe-fehler.jpg

woran liegt das?
Alle "Grossen" Anwendungen wie MS Office, Pdf reader usw funktionieren tadellos.

zweitens:
Nach dem Ausführen von Combofix(umbenannt zu Cofi) und OTL sind einige Ordner enstanden.Sehr komisch erscheint mir der Ordner "cofi16776c" der genau das gleiche anzeigt wie "Computer" wenn man ihn aufklappt.
siehe Bild
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.-desk.jpg

Was kann ich nun von den Ordnern löschen und wie weiter forfahren?

Alt 13.06.2010, 14:21   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Standard

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Seit wann hast Du das mit den portablen EXE Dateien?
Die Ordner wie cofi16776c, Qoobox und _OTL wurden von Combofix bzw. OTL erstellt.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.06.2010, 14:56   #13
darem
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Standard

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Die Dateien hatte ich schon Monate vor der Infektion aber auch kurz danach wie z.B die Flashdesifectior.exe

Das Problem habe ich jetzt gelöst.
Combofix oder OTL hatte anscheinend den TEMP Ordner unter Windows gelöscht.
Pfad %WINDIR%\Temp
Diesen habe ich neu erstellt.

Anleitung bei hxxp://support.microsoft.com/kb/945802/de
Fehlermeldung beim Sie ein Programm, die Starten mit ausgeführt werden müssen, erhöhte Berechtigungen auf einem Computer mit Windows Vista: "der Verzeichnisname ist ungültig."

kann ich die Ordner cofi16776c, Qoobox , _OTL und cofi bedenkenlos löschen?

Wobei cofi1677c ein Sonderfall ist da es kein einfacher Ordner ist , sondern eher eine Spiegelung von "Computer" der mir die ganze Umgebung anzeigt mit den Unterordner auf der C Partition. Habe also den Coputer doppelt cofi1677c gab es vor der Infektion nicht und schon am Namen kann man erkennen, dass es mit Combofix/Cofi zusammenhängt.

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.-desktop.jpg
Geändert von darem (13.06.2010 um 15:04 Uhr)

Alt 13.06.2010, 15:02   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Standard

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


Zitat:
kann ich die Ordner cofi16776c, Qoobox , _OTL und cofi bedenkenlos löschen?
Normalerweise ja, aber idR stören die nicht.
Probier mal diesen cofi-Ordner mit einem anderen Dateimanger zu löschen, zB TotalCommander wenn das mit dem Windows-Dateimanager so nicht klappen will.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 13.06.2010, 15:15   #15
darem
 
Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Standard

Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


ok, werde ich machen.
Danke

eine andere Sache noch :
Flash Desinfector habe ich dann auf einem anderen Komputer ausgeführt mit angeschlossenen USB Laufwerken (+ SHIFt-Taste ) . Als er durch war kam nicht die Meldung "Done". Heisst das, auf den Sticks gab es keine autorun.inf und Flash Desinfector hatte nichts zu tun?
Danach auch provisorisch mit Avira durchsucht. Der Virenscanner fand in $RECYCLE.BIN Ordner dann Schädlinge.

Antwort
Seite 1 von 2 1 2

Themen zu Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.
32 bit, adblock, antivir, audiodg.exe, avgntflt.sys, avira, bho, components, corp./icp, desktop, dwm.exe, error, excel.exe, firefox, firefox.exe, flash player, google, helper, hijack, home, install.exe, internet, location, logfile, microsoft office word, mozilla, nt.dll, nvstor.sys, oldtimer, otl scan, otl.exe, plug-in, problem, programdata, programm, registry, rojaner gefunden, saver, sched.exe, searchplugins, security, senden, service pack 1, shell32.dll, software, suchlauf, svchost.exe, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner gefunden, versteckte objekte, verweise, virus gefunden, vlc media player, windows, wireless lan, wuauclt.exe


« Virus "Wie findest du dieses Bild" (winscdvn.exe) | Firefox Cookieverwaltung verändert »


Ähnliche Themen: Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop.


  1. Avira findet TR/Emotet.A.46 und TR/Crypt.Xpack!
    Log-Analyse und Auswertung - 11.12.2014 (13)
  2. Avira findet TR/Crypt.XPACK.Gen. Was kann ich tun?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2014 (3)
  3. avira findet : tr/crypt.zpack.36522 ,tr/crypt.xpack.gen ,adware/installcore.gen
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (4)
  4. Avira-Funde: TR/Drop.Vunop.1 und TR/Crypt.XPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 18.12.2013 (13)
  5. TR/Crypt.XPACK.Gen2 von Avira Antivir gefunden
    Log-Analyse und Auswertung - 31.10.2012 (51)
  6. Avira findet Trojaner TR/Crypt.XPACK.Gen7 in jdk-7u2-windows-i586.exe
    Plagegeister aller Art und deren Bekämpfung - 25.09.2012 (14)
  7. AVIRA AntiVir findet TR/Crypt.XPACK.Gen3 und TR/Spy.399872.36
    Plagegeister aller Art und deren Bekämpfung - 31.03.2011 (26)
  8. AVIRA findet TR/Crypt.XPACK.Gen3 in C:\Windows\..\..\..\\local\imezezoc.dll
    Plagegeister aller Art und deren Bekämpfung - 04.01.2011 (2)
  9. Avira AntiVir meldet Trojaner TR/Crypt.XPACK.Gen - was tun?
    Plagegeister aller Art und deren Bekämpfung - 20.12.2010 (9)
  10. Avira meldet "R/Crypt.XPACK.Gen2" und "BDS/Bredolab.foh"
    Plagegeister aller Art und deren Bekämpfung - 16.08.2010 (43)
  11. Antivir findet folgendes: 'TR/Crypt.XPACK.Gen' [trojan]
    Plagegeister aller Art und deren Bekämpfung - 14.10.2009 (1)
  12. Avira findet tr/crypt.xpack.gen
    Log-Analyse und Auswertung - 21.04.2009 (13)
  13. Avira findet TR/Crypt.XPACK.Gen
    Plagegeister aller Art und deren Bekämpfung - 26.03.2009 (8)
  14. Antivir findet TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 08.03.2009 (0)
  15. AntiVir findet TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 05.03.2009 (1)
  16. Antivir findet plötzlich TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 26.01.2009 (1)
  17. Avira findet TR/Crypt.XPACK.Gen
    Log-Analyse und Auswertung - 18.09.2008 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. - Hallo Trojaner-Board.de Gemeinde Mein Problem: der Lappi meiner Freundin ist infiziert.Läuft unter Vista Systemwiederherstellung war und ist ausgestellt. Gestern und heute gab Avira Antivir Meldungen ab. "Trojaner gefunden"..diese wurden gefixt - Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop....
Archiv
Du betrachtest: Avira Antivir findet TR/Bredolab, TR/Crypt.XPACK.Gen ,TR/Drop. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55