| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Antispyware Soft InfektionWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
05.06.2010, 00:02
| #1 |
 |  Antispyware Soft Infektion Hallo! Beim herunterladen einer Musikdatei habe ich offensichtlich einen schlechten Link erwischt und mir dadurch einen Virus/Spyware Installer für Antispyware Soft heruntergeladen ich dachte das wär der Downloader für die Musik und jetzt stehe ich da: Egal welche App ich starten will kommt: "Application cannot be executed. The file xxxxx.xxx (applikationsfile) is infected. Do you want to activate your antivirus software now?" Es kommt dann irgendwann ein Fenster mit "Antispyware Soft Innovative protection for your PC" Das Sicherheitscenter von Windows wird geöffnet. es kommen Meldungen, die sagen, dass 38 Malwareprogramme auf meinem Rechneer wären und ob ich diese beseitigen möchte. Ausserdem werden automatisch Pornoseiten im Internetexplorer gestartet. Ixh habe mit Malwarebytes, das zufällig auf dem Rechner installiert ist im protected mode einen Reinigungsversuch gemacht, der 18 infizierte Objekte fand und beseitigte, dann neu im protected mode gestartet, alles schien OK, eine Malware trace wurde noch aus der Registry entfernt. Nach Normalstart war das Problem aber wieder komplett da! Hier der Malwarebytes Log, den ich glücklicherweise über einen Memorystick aus dem Rechner lotsen konnte... Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3900
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702
04.06.2010 23:41:39
mbam-log-2010-06-04 (23-41-39).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 238290
Laufzeit: 16 minute(s), 20 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 11
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{80966195-c56d-49e3-9fe2-b541d8e56c90} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{80966195-c56d-49e3-9fe2-b541d8e56c90} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{836222e2-47cf-4fcb-bae1-b3679083edc1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\WINDOWS\system32\net.net (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uedijvrc.dll (Adware.EZlife) -> Quarantined and deleted successfully.
C:\Temp\ersoacwxmn.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\cleansweep.exe\cleansweep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\cleansweep.exe\config.bin (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Temp\winlogon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Temp\0.21977870949342415.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
Danke! Winfried |
|
05.06.2010, 03:20
| #2 |
| | Antispyware Soft Infektion Also ich habe inzwischen (mehr per Zufall
__________________ ) die allgemeine Entfernungsanleitung hier im Forum gefunden und ging also diese erstmal durch.Nachdem ich aber schon mit Malwarebytes gearbeitet hatte, scheint Rkill im abgesicherten Windows Modus nichts zum Stoppen gefunden zu haben. Das finde ich etwas verdächtig... Allerdings hatte ich die nvapps.xml auf nvapps.xl1 und k77a8.dll auf k77a8.dl1umbenannt, vielleicht wurden sie darum nicht gefunden oder eliminiert... In der Proxyeinstellung habe ich jetzt das Häkchen entfernt. Malwarebytes lässt sich im abgesicherten Modus problemlos starten, findet auch nichts. ASER: in Windows\System32\Drivers hat GMER die Datei kgzdy.sys gefunden, die irgendwie immer aktualisiert wird (sieht man am Datum) wenn man sie im Windows Explorer ansieht ... Also es ist alles noch etwas sehr komisch... Ich poste dann noch die Logs. OTL Code:
ATTFilter OTL logfile created on: 05.06.2010 02:17:18 - Run 1 OTL by OldTimer - Version 3.2.5.3 Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.022,00 Mb Total Physical Memory | 750,00 Mb Available Physical Memory | 73,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 95,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS Drive D: | 101,56 Gb Total Space | 77,42 Gb Free Space | 76,23% Space Free | Partition Type: NTFS Drive E: | 1,00 Gb Total Space | 0,71 Gb Free Space | 71,21% Space Free | Partition Type: FAT Drive F: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: MFSRV01 Current User Name: Administrator Logged in as Administrator. Current Boot Mode: SafeMode Scan Mode: Current user Company Name Whitelist: On Skip Microsoft Files: On File Age = 90 Days Output = Standard Quick Scan ========== Processes (SafeList) ========== PRC - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe ========== Modules (SafeList) ========== MOD - [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe MOD - [2008.04.14 04:21:06 | 000,110,592 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx ========== Win32 Services (SafeList) ========== SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4ServiceControl) SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4FOC) SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4DataImport) SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4Cti) SRV - [2008.05.30 01:16:00 | 008,540,160 | ---- | M] (MSI Solutions GmbH) [Auto | Stopped] -- C:\Programme\HospiX Entry\g4.exe -- (G4AAA) SRV - [2006.06.18 14:56:10 | 000,712,704 | ---- | M] (UltraVNC) [Auto | Stopped] -- C:\Programme\UltraVNC\WinVNC.exe -- (winvnc) SRV - [2005.03.31 02:02:40 | 000,377,856 | ---- | M] (XIMETA, Inc.) [Auto | Stopped] -- C:\Programme\NDAS\System\ndassvc.exe -- (ndassvc) SRV - [2002.02.15 10:51:00 | 000,114,749 | ---- | M] (Symantec Corporation) [Auto | Stopped] -- C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE -- (awhost32) ========== Driver Services (SafeList) ========== DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2008.04.13 20:36:41 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf) DRV - [2008.04.13 18:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus) DRV - [2007.05.21 17:04:24 | 000,057,968 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Programme\Symantec\SYMEVENT.SYS -- (SymEvent) DRV - [2006.11.22 10:01:48 | 000,693,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock) DRV - [2006.11.22 10:01:48 | 000,100,096 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\aksusb.sys -- (aksusb) DRV - [2006.11.22 10:01:46 | 000,327,168 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\akshasp.sys -- (akshasp) DRV - [2006.09.29 13:59:58 | 000,250,368 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\iaStor.sys -- (iaStor) DRV - [2006.08.11 20:42:42 | 003,958,496 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv) DRV - [2006.06.28 16:25:24 | 004,304,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2006.05.10 15:00:16 | 000,156,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k) DRV - [2005.03.31 02:03:12 | 000,120,704 | ---- | M] (XIMETA, Inc.) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\lfsfilt.sys -- (lfsfilt) DRV - [2005.03.31 02:02:20 | 000,109,184 | ---- | M] (XIMETA, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\lpx.sys -- (lpx) DRV - [2005.03.31 02:02:20 | 000,091,392 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ndasscsi.sys -- (ndasscsi) DRV - [2005.03.31 02:02:20 | 000,039,168 | ---- | M] (XIMETA, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ndasbus.sys -- (ndasbus) DRV - [2005.01.07 17:07:16 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService) DRV - [2004.06.26 13:22:00 | 000,006,016 | ---- | M] (RDV Soft) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\vnccom.SYS -- (vnccom) DRV - [2004.06.26 13:22:00 | 000,004,736 | ---- | M] (RDV Soft) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\vncdrv.sys -- (vncdrv) DRV - [2002.02.11 10:51:00 | 000,033,496 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AW_HOST5.sys -- (AW_HOST) DRV - [2001.10.09 10:51:00 | 000,014,944 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\GERNUWA.SYS -- (Gernuwa) DRV - [2001.08.18 04:21:04 | 000,039,808 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParwdm.sys -- (BrParWdm) Brother WDM-Treiber (parallel) DRV - [2001.08.17 13:12:24 | 000,003,168 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParImg.sys -- (brparimg) DRV - [2001.08.17 13:12:20 | 000,060,416 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrSerWdm.sys -- (BrSerWDM) Brother WDM-Treiber (seriell) DRV - [2001.08.17 13:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt) DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase) DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN) DRV - [2000.09.11 10:51:00 | 000,010,816 | ---- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\Drivers\awlegacy.sys -- (awlegacy) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q= IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local> IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:5555 O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (C:\WINDOWS\system32\k77a8.dll) - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M] O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKCU\..\Toolbar\ShellBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.) O4 - HKLM..\Run: [skb] File not found O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\HdAShCut.exe (Windows (R) Server 2003 DDK provider) O4 - HKLM..\Run: [WinVNC] C:\Programme\UltraVNC\WinVNC.exe (UltraVNC) O4 - HKLM..\Run: [xaknoleo] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe () O4 - HKCU..\Run: [Octoshape Streaming Services] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS) O4 - Startup: C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\f Micros-Fidelio - FO Server.lnk = U:\FOSERVER.exe File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\i Micros-Fidelio - Interface.lnk = X:\IFCSTART.BAT File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe (XIMETA, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 45681376 O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll (Google Inc.) O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll (Sun Microsystems, Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} https://microsinc.webex.com/client/T26L/support/ieatgpc.cab (GpcContainer Class) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\PCANotify: DllName - PCANotify.dll - C:\WINDOWS\System32\PCANotify.dll (Symantec Corporation) O22 - SharedTaskScheduler: {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - har98fefiesjfs93s8i9sejsdf - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M] O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 0 O32 - AutoRun File - [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{d891d302-d557-11de-a98e-0019990564f0}\Shell\AutoRun\command - "" = E:\ -- File not found O33 - MountPoints2\{d891d302-d557-11de-a98e-0019990564f0}\Shell\open\Command - "" = WScript.exe .\autorun.vbs O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\AutoRun\command - "" = lgrncie.bat O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\explore\Command - "" = lgrncie.bat O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\open\Command - "" = lgrncie.bat O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: Ias - C:\WINDOWS\system32\ias [2007.05.17 15:32:00 | 000,000,000 | ---D | M] NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found NetSvcs: SSHNAS - File not found Unable to start service SrService! ========== Files/Folders - Created Within 90 Days ========== [2010.06.05 02:15:29 | 000,571,904 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe [2010.06.05 01:34:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\k77a8.dll [2010.06.05 01:29:31 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\nvapps.xml [2010.06.04 23:45:03 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Recent [2010.06.04 22:46:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2010.06.04 22:31:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf [2010.06.04 22:31:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads [2010.06.04 22:30:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56 [2010.05.22 22:24:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp [2010.05.22 22:22:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip [2010.05.22 22:22:47 | 000,000,000 | ---D | C] -- C:\Programme\dBpoweramp [2010.05.15 11:54:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\FFOutput [2010.05.15 11:54:26 | 000,272,896 | ---- | C] (Progressive Networks) -- C:\WINDOWS\System32\pncrt.dll [2010.05.15 11:54:02 | 000,000,000 | ---D | C] -- C:\Programme\FormatFactory [2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz [2010.05.11 10:43:44 | 000,000,000 | ---D | C] -- C:\Programme\Downloader Qobuz [2010.04.05 01:56:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Musikdownload [2010.04.05 01:55:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1 [2010.04.05 01:55:14 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR [2010.04.05 01:55:13 | 000,000,000 | ---D | C] -- C:\Programme\Linn Download Manager [2010.04.03 18:54:24 | 000,000,000 | ---D | C] -- C:\Programme\FLAC [2010.04.03 18:41:50 | 000,000,000 | ---D | C] -- C:\Programme\Exact Audio Copy ========== Files - Modified Within 90 Days ========== [2010.06.05 02:19:22 | 000,823,808 | ---- | M] () -- C:\WINDOWS\System32\drivers\kgzdy.sys [2010.06.05 02:15:35 | 005,505,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\NTUSER.DAT [2010.06.05 02:03:16 | 000,571,904 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\OTL.exe [2010.06.05 01:24:17 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.06.05 01:23:50 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.06.05 01:22:27 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.06.05 01:22:26 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\ntuser.ini [2010.06.05 01:22:19 | 003,250,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.06.05 01:18:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job [2010.06.05 00:19:01 | 000,000,034 | ---- | M] () -- C:\WINDOWS\ais.ini [2010.06.05 00:18:22 | 000,081,191 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xm1 [2010.06.05 00:17:54 | 000,002,740 | ---- | M] () -- C:\WINDOWS\BrmfBidi.ini [2010.06.05 00:17:51 | 008,405,015 | ---- | M] () -- C:\WINDOWS\hlktmp [2010.06.05 00:17:42 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.06.04 22:30:30 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedyb.exe [2010.06.04 22:30:30 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\k77a8.dl1 [2010.06.04 22:15:14 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedya.exe [2010.05.31 23:52:45 | 000,124,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Zimmerrreinigung Monatsabrechnung.xls [2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF [2010.05.22 22:22:49 | 000,015,326 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat [2010.05.22 22:22:28 | 000,033,846 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp [2010.05.21 10:49:49 | 005,652,144 | ---- | M] () -- C:\WINDOWS\System32\SpoonUninstall.exe [2010.05.15 18:39:51 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk [2010.04.13 23:18:55 | 000,000,515 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\f Micros-Fidelio - FO Server.lnk [2010.04.06 23:14:45 | 000,000,000 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Default.rdp [2010.04.05 01:55:16 | 000,000,902 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk [2010.04.03 18:54:24 | 000,001,495 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk [2010.04.03 18:41:51 | 000,000,685 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk [2010.04.01 08:15:45 | 000,897,954 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.04.01 08:15:45 | 000,391,000 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.04.01 08:15:45 | 000,380,350 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.04.01 08:15:45 | 000,063,580 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.04.01 08:15:45 | 000,052,764 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.03.22 19:28:12 | 000,000,612 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk ========== Files Created - No Company Name ========== [2010.06.04 22:30:58 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\kgzdy.sys [2010.06.04 22:30:50 | 000,174,080 | ---- | C] () -- C:\WINDOWS\Pjedyb.exe [2010.06.04 22:30:30 | 000,030,000 | ---- | C] () -- C:\WINDOWS\System32\k77a8.dl1 [2010.06.04 22:15:22 | 000,174,080 | ---- | C] () -- C:\WINDOWS\Pjedya.exe [2010.06.04 22:15:20 | 000,000,250 | -H-- | C] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job [2010.05.22 22:22:49 | 005,652,144 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe [2010.05.22 22:22:49 | 000,033,846 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.bmp [2010.05.22 22:22:49 | 000,015,326 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpoweramp Music Converter.dat [2010.05.15 18:39:51 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Verknüpfung mit Papierkorb.lnk [2010.04.06 23:14:45 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Eigene Dateien\Default.rdp [2010.04.05 01:55:16 | 000,000,902 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Linn Download Manager.lnk [2010.04.03 18:54:24 | 000,001,495 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FLAC Frontend.lnk [2010.04.03 18:41:51 | 000,000,685 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop\Exact Audio Copy.lnk [2007.05.22 14:12:46 | 000,002,740 | ---- | C] () -- C:\WINDOWS\BrmfBidi.ini [2007.05.22 13:41:11 | 000,000,034 | ---- | C] () -- C:\WINDOWS\ais.ini [2007.05.17 15:57:54 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2007.05.17 15:57:12 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007.05.17 15:57:12 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007.05.17 15:57:11 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007.05.17 15:57:11 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll [2007.05.17 15:57:11 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2007.05.17 15:57:11 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2007.05.17 15:57:09 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll [2007.05.17 15:34:59 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2004.09.01 17:49:17 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll [2001.03.30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll ========== LOP Check ========== [2010.06.04 22:31:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56 [2009.05.29 23:38:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Auslogics [2010.04.05 01:55:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\com.linnrecords.DownloadManager.40C89B3FC753A97A186C409C1D89AC73BA0FCCBF.1 [2007.10.19 23:01:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\cpuid [2010.05.22 22:26:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp [2010.05.11 11:11:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz [2010.06.04 23:27:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads [2007.05.22 14:18:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RVS [2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*.* > [2010.05.25 23:03:50 | 000,767,035 | ---- | M] () -- C:\ADS_ERR.DBF [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT [2007.05.22 14:42:47 | 000,000,211 | -HS- | M] () -- C:\boot.ini [2004.08.04 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin [2009.09.18 12:42:18 | 000,000,572 | ---- | M] () -- C:\CibRegSvr.log [2007.05.17 15:32:19 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS [2007.05.24 11:21:27 | 000,001,710 | ---- | M] () -- C:\DEBUG.LOG [2007.05.17 15:32:19 | 000,000,000 | RHS- | M] () -- C:\IO.SYS [2007.05.21 15:31:30 | 000,000,452 | ---- | M] () -- C:\mfInst.log [2007.05.17 15:32:19 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS [2004.08.04 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM [2009.03.28 01:35:57 | 000,251,712 | RHS- | M] () -- C:\ntldr [2010.06.05 01:23:45 | 1610,612,736 | -HS- | M] () -- C:\pagefile.sys [2007.05.17 15:57:58 | 000,000,440 | ---- | M] () -- C:\RHDSetup.log < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > < %systemroot%\Tasks\*.job /lockedfiles > < %systemroot%\System32\config\*.sav > [2007.05.17 17:24:05 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2007.05.17 17:24:05 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2007.05.17 17:24:05 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\system32\drivers\*.sys /90 > [2010.06.05 02:20:20 | 000,823,808 | ---- | M] () -- C:\WINDOWS\system32\drivers\kgzdy.sys < End of report > Code:
ATTFilter OTL Extras logfile created on: 05.06.2010 02:17:18 - Run 1
OTL by OldTimer - Version 3.2.5.3 Folder = C:\Dokumente und Einstellungen\Administrator.MFSRV01\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1.022,00 Mb Total Physical Memory | 750,00 Mb Available Physical Memory | 73,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 95,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS
Drive D: | 101,56 Gb Total Space | 77,42 Gb Free Space | 76,23% Space Free | Partition Type: NTFS
Drive E: | 1,00 Gb Total Space | 0,71 Gb Free Space | 71,21% Space Free | Partition Type: FAT
Drive F: | 29,29 Gb Total Space | 22,32 Gb Free Space | 76,21% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: MFSRV01
Current User Name: Administrator
Logged in as Administrator.
Current Boot Mode: SafeMode
Scan Mode: Current user
Company Name Whitelist: On
Skip Microsoft Files: On
File Age = 90 Days
Output = Standard
Quick Scan
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VLC Player\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
"38293:TCP" = 38293:TCP:*:Enabled:IP PORT 38293
"1521:TCP" = 1521:TCP:*:Enabled:IP PORT 1521
"443:TCP" = 443:TCP:*:Enabled:IP PORT 443
"80:TCP" = 80:TCP:*:Enabled:IP PORT 80
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1621:TCP" = 1621:TCP:*:Enabled:IP PORT 1621
"5900:TCP" = 5900:TCP:*:Enabled:IP PORT 5900
"4400:TCP" = 4400:TCP:*:Enabled:IP PORT 4400
"2967:TCP" = 2967:TCP:*:Enabled:IP PORT 2967
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\UltraVNC\vncviewer.exe" = C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe -- (UltraVNC)
"C:\Programme\UltraVNC\winvnc.exe" = C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe -- (UltraVNC)
"C:\Programme\Symantec\pcAnywhere\WINAW32.EXE" = C:\Programme\Symantec\pcAnywhere\WINAW32.EXE:*:Enabled:pcAnywhere Main Program -- (Symantec Corporation)
"C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE" = C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE:*:Enabled:pcAnywhere Host Service -- (Symantec Corporation)
"C:\Programme\Symantec\pcAnywhere\awrem32.exe" = C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service -- (Symantec Corporation)
"D:\fidelio\program\Ifc7.exe" = D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd. -- (Micros-Fidelio (Ireland) Ltd.)
"C:\programme\HospiX Entry\g4.exe" = C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry -- (MSI Solutions GmbH)
"C:\programme\hospix entry\g4servicectrl.exe" = C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer -- (MSI Solutions GmbH)
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Octoshape Streaming Services" = Octoshape Streaming Services
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 01.04.2010 14:33:09 | Computer Name = MFSRV01 | Source = G4Cti | ID = 5
Description = OSI_Hipath3000: Nicht verbunden! Windows-Socket-Fehler: Ein Verbindungsversuch
ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht ordnungsgemäß
reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene
Host nicht reagiert hat (10060), auf API 'connect' Thread: HospiX Entry - PBX Interface
TThreadCtiSteuerung
Error - 04.06.2010 16:35:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
abnormally .
Error - 04.06.2010 16:35:25 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 04.06.2010 16:58:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
abnormally .
Error - 04.06.2010 16:58:26 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
Error - 04.06.2010 18:22:33 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The connection with the server was terminated
abnormally .
Error - 04.06.2010 18:22:34 | Computer Name = MFSRV01 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
[ System Events ]
Error - 04.06.2010 19:53:50 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 19:55:37 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:11:13 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:12:01 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:12:43 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:12:55 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:15:14 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:15:32 | Computer Name = MFSRV01 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}
Error - 04.06.2010 20:17:26 | Computer Name = MFSRV01 | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
Error - 04.06.2010 20:17:26 | Computer Name = MFSRV01 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
beendet: %%2
< End of report >
GMER: GMER Logfile: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-05 02:49:39
Windows 5.1.2600 Service Pack 3
Running: defxt86v.exe; Driver: c:\Temp\pwrdypob.sys
---- Kernel code sections - GMER 1.0.15 ----
.pak2 C:\WINDOWS\system32\drivers\kgzdy.sys entry point in ".pak2" section [0xF73B74E0]
? C:\WINDOWS\system32\drivers\kgzdy.sys Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE Ntfs.sys F7193E55 4 Bytes CALL 865D4159
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 006E000A
.text C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 006F000A
.text C:\WINDOWS\system32\svchost.exe[612] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 006D000C
.text C:\WINDOWS\system32\svchost.exe[612] USER32.dll!GetCursorPos 7E37974E 5 Bytes JMP 0068000A
.text C:\WINDOWS\system32\svchost.exe[612] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 0132000A
.text C:\WINDOWS\explorer.exe[1340] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B8000A
.text C:\WINDOWS\explorer.exe[1340] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00BE000A
.text C:\WINDOWS\explorer.exe[1340] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B7000C
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 86506EC8
Device \Driver\aksusb \Device\00000058 AKSCLASS.SYS (Aladdin Class Driver/Aladdin Knowledge Systems Ltd.)
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [BOOT] kgzdy <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\kgzdy@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet003\Services\kgzdy@Type 1
Reg HKLM\SYSTEM\ControlSet003\Services\kgzdy@Start 0
Reg HKLM\SYSTEM\ControlSet003\Services\kgzdy@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\kgzdy@Group Boot Bus Extender
---- EOF - GMER 1.0.15 ----]
Gruss, Winfried Geändert von wgh52 (05.06.2010 um 03:34 Uhr) |
|
05.06.2010, 03:44
| #3 |
| | Antispyware Soft Infektion Hier noch die RSIT Logs
__________________RSIT Logfile: RSIT Logfile: Code:
ATTFilter Logfile of random's system information tool 1.07 (written by random/random)
Run by Administrator at 2010-06-05 04:36:44
Microsoft Windows XP Professional Service Pack 3
System drive C: has 23 GB (76%) free of 30 GB
Total RAM: 1022 MB (74% free)
HijackThis download failed
======Scheduled tasks folder======
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
======Registry dump======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C7BA40A1-74F2-52BD-F411-04B15A2C8953}]
C:\WINDOWS\system32\k77a8.dll - C:\WINDOWS\system32\k77a8.dll []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - Google Toolbar - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll [2010-05-28 278128]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"=C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"=C:\WINDOWS\system32\HDAShCut.exe [2005-01-07 61952]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2006-06-28 16248320]
"NvMediaCenter"=C:\WINDOWS\system32\NvMcTray.dll [2006-08-11 86016]
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-08-11 7630848]
"Alcmtr"=C:\WINDOWS\ALCMTR.EXE [2005-05-03 69632]
"REGSHAVE"=C:\Programme\REGSHAVE\REGSHAVE.EXE [2002-02-04 53248]
"skb"=rundll32 uedijvrc.dll,,Run []
"xaknoleo"=C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe [2010-06-04 282656]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"Octoshape Streaming Services"=C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe [2008-05-22 156944]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2009-12-18 40368]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe]
C:\cleansweep.exe\cleansweep.exe []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3eu]
C:\Temp\fn4yj.exe []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy]
C:\Temp\debug.exe []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3]
c:\Temp\Pql.exe []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin]
c:\Temp\lxqg3foj.dll, RestoreWindows []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install []
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo]
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe [2010-06-04 282656]
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
f Micros-Fidelio - FO Server.lnk - U:\FOSERVER.exe
i Micros-Fidelio - Interface.lnk - X:\IFCSTART.BAT
NDAS Device Management.lnk - C:\Programme\NDAS\System\ndasmgmt.exe
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Startmenü\Programme\Autostart
OpenOffice.org 2.2.lnk - C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PCANotify]
C:\WINDOWS\system32\PCANotify.dll [2002-02-15 24638]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2009-03-10 265096]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
har98fefiesjfs93s8i9sejsdf - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145
"NoDrives"=45681376
"NoFolderOptions"=0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\UltraVNC\vncviewer.exe"="C:\Programme\UltraVNC\vncviewer.exe:*:Enabled:C:\Programme\UltraVNC\vncviewer.exe"
"C:\Programme\UltraVNC\winvnc.exe"="C:\Programme\UltraVNC\winvnc.exe:*:Enabled:C:\Programme\UltraVNC\winvnc.exe"
"C:\WINDOWS\SYSTEM32\WUAUCLT.EXE"="C:\WINDOWS\SYSTEM32\WUAUCLT.EXE:*:Enabled:C:\WINDOWS\SYSTEM32\WUAUCLT.EXE"
"C:\Programme\Symantec\pcAnywhere\WINAW32.EXE"="C:\Programme\Symantec\pcAnywhere\WINAW32.EXE:*:Enabled:pcAnywhere Main Program"
"C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE"="C:\Programme\Symantec\pcAnywhere\AWHOST32.EXE:*:Enabled:pcAnywhere Host Service"
"C:\Programme\Symantec\pcAnywhere\awrem32.exe"="C:\Programme\Symantec\pcAnywhere\awrem32.exe:*:Enabled:pcAnywhere Remote Service"
"D:\fidelio\program\Ifc7.exe"="D:\fidelio\program\Ifc7.exe:*:Enabled:IFC7 from Micros-Fidelio (Ireland) Ltd."
"C:\programme\HospiX Entry\g4.exe"="C:\programme\hospix entry\g4.exe:LocalSubNet:Enabled:HospiX Entry"
"C:\programme\hospix entry\g4servicectrl.exe"="C:\programme\hospix entry\g4servicectrl.exe:LocalSubNet:Enabled:HospiX Entry Status Viewer"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d891d302-d557-11de-a98e-0019990564f0}]
shell\AutoRun\command - E:\
shell\open\command - WScript.exe .\autorun.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}]
shell\AutoRun\command - lgrncie.bat
shell\explore\command - lgrncie.bat
shell\open\command - lgrncie.bat
======List of files/folders created in the last 1 months======
2010-06-05 04:36:51 ----D---- C:\Programme\trend micro
2010-06-05 04:36:44 ----D---- C:\rsit
2010-06-05 01:34:17 ----D---- C:\WINDOWS\system32\k77a8.dll
2010-06-05 01:29:31 ----D---- C:\WINDOWS\system32\nvapps.xml
2010-06-05 00:17:34 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-06-04 23:54:52 ----A---- C:\WINDOWS\ntbtlog.txt
2010-06-04 22:31:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Street-Ads
2010-06-04 22:30:50 ----A---- C:\WINDOWS\Pjedyb.exe
2010-06-04 22:30:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\925135D1C568482B87A9DE7C7CA73C56
2010-06-04 22:15:22 ----A---- C:\WINDOWS\Pjedya.exe
2010-05-26 23:44:53 ----HDC---- C:\WINDOWS\$NtUninstallKB981793$
2010-05-22 22:24:32 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dBpoweramp
2010-05-22 22:22:50 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\AccurateRip
2010-05-22 22:22:49 ----A---- C:\WINDOWS\system32\SpoonUninstall.exe
2010-05-22 22:22:47 ----D---- C:\Programme\dBpoweramp
2010-05-15 11:54:26 ----A---- C:\WINDOWS\system32\pncrt.dll
2010-05-15 11:54:02 ----D---- C:\Programme\FormatFactory
2010-05-13 03:00:23 ----HDC---- C:\WINDOWS\$NtUninstallKB978542$
2010-05-11 10:43:44 ----D---- C:\Programme\Downloader Qobuz
2010-05-11 10:43:44 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\Gestionnaire de Téléchargements Qobuz
======List of files/folders modified in the last 1 months======
2010-06-05 04:36:51 ----RD---- C:\Programme
2010-06-05 04:34:03 ----D---- C:\Temp
2010-06-05 02:13:53 ----D---- C:\WINDOWS\system32
2010-06-05 02:13:53 ----D---- C:\WINDOWS
2010-06-05 01:53:36 ----HD---- C:\WINDOWS\inf
2010-06-05 01:53:35 ----D---- C:\WINDOWS\system32\CatRoot2
2010-06-05 00:19:01 ----A---- C:\WINDOWS\ais.ini
2010-06-05 00:18:24 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\OpenOffice.org2
2010-06-05 00:17:54 ----A---- C:\WINDOWS\BrmfBidi.ini
2010-06-04 23:43:57 ----HDC---- C:\WINDOWS\$NtUninstallKB920213$
2010-06-04 23:43:57 ----D---- C:\WINDOWS\system32\drivers
2010-06-04 23:05:51 ----SD---- C:\WINDOWS\Tasks
2010-06-04 22:31:06 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-06-03 01:04:30 ----D---- C:\WINDOWS\Prefetch
2010-05-28 09:37:18 ----SHD---- C:\WINDOWS\Installer
2010-05-13 21:59:04 ----D---- C:\WINDOWS\Debug
2010-05-13 03:00:25 ----D---- C:\Programme\Outlook Express
2010-05-12 09:08:46 ----HD---- C:\WINDOWS\$hf_mig$
2010-05-09 00:35:41 ----D---- C:\Dokumente und Einstellungen\Administrator.MFSRV01\Anwendungsdaten\dvdcss
======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
R1 AW_HOST;AW_HOST; C:\WINDOWS\system32\drivers\aw_host5.sys [2002-02-11 33496]
R3 akshasp;Aladdin HASP Key; C:\WINDOWS\system32\DRIVERS\akshasp.sys [2006-11-22 327168]
R3 aksusb;Aladdin USB Key; C:\WINDOWS\system32\DRIVERS\aksusb.sys [2006-11-22 100096]
R3 HDAudBus;Microsoft UAA-Bustreiber für High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2004-08-04 12288]
R3 ndasbus;NDAS Bus Driver; C:\WINDOWS\system32\DRIVERS\ndasbus.sys [2005-03-31 39168]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S1 awlegacy;awlegacy; C:\WINDOWS\System32\Drivers\awlegacy.sys [2000-09-11 10816]
S1 lfsfilt;Lean File Sharing; \??\C:\WINDOWS\system32\DRIVERS\lfsfilt.sys []
S1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
S2 Hardlock;Hardlock; \??\C:\WINDOWS\system32\drivers\hardlock.sys []
S2 vnccom;vnccom; C:\WINDOWS\System32\Drivers\vnccom.SYS [2004-06-26 6016]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber; C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 37568]
S3 b57w2k;Broadcom NetXtreme Gigabit Ethernet; C:\WINDOWS\system32\DRIVERS\b57xp32.sys [2006-05-10 156160]
S3 brfilt;Brother MFC-Filtertreiber; C:\WINDOWS\System32\Drivers\Brfilt.sys [2001-08-17 2944]
S3 brparimg;Brother Multifunktions-parallel-Image-Treiber; C:\WINDOWS\system32\DRIVERS\BrParImg.sys [2001-08-17 3168]
S3 BrParWdm;Brother WDM-Treiber (parallel); C:\WINDOWS\System32\Drivers\BrParwdm.sys [2001-08-18 39808]
S3 BrSerWDM;Brother WDM-Treiber (seriell); C:\WINDOWS\System32\Drivers\BrSerWdm.sys [2001-08-17 60416]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI v2.0; C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 444416]
S3 HdAudAddService;Microsoft UAA-Funktionstreiber für den High Definition Audio-Dienst; C:\WINDOWS\system32\drivers\HdAudio.sys [2005-01-07 145920]
S3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-06-28 4304384]
S3 mf;mf; C:\WINDOWS\system32\DRIVERS\mf.sys [2008-04-13 63744]
S3 ndasscsi;NDAS SCSI Miniport Driver; C:\WINDOWS\system32\DRIVERS\ndasscsi.sys [2005-03-31 91392]
S3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-08-11 3958496]
S3 SymEvent;SymEvent; \??\C:\Programme\Symantec\SYMEVENT.SYS []
S3 vncdrv;vncdrv; C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 4736]
S4 ACPI;ACPI; C:\WINDOWS\system32\drivers\ACPI.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\system32\DRIVERS\sr.sys [2008-04-14 73472]
======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
S2 awhost32;pcAnywhere Host Service; C:\Programme\Symantec\pcAnywhere\awhost32.exe [2002-02-15 114749]
S2 G4AAA;HospiX Entry - AAA Service; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4Cti;HospiX Entry - PBX Interface; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4DataImport;HospiX Entry - Call data import; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4FOC;HospiX Entry - PMS Connector; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 G4ServiceControl;HospiX Entry - Service Controller; C:\programme\hospix entry\g4.exe [2008-05-30 8540160]
S2 gupdate;Google Update Service (gupdate); C:\Programme\Google\Update\GoogleUpdate.exe [2010-02-05 135664]
S2 ndassvc;NDAS Service; C:\Programme\NDAS\System\ndassvc.exe [2005-03-31 377856]
S2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe [2006-08-11 155715]
S2 winvnc;VNC Server; C:\Programme\UltraVNC\WinVNC.exe [2006-06-18 712704]
S3 aspnet_state;ASP.NET-Statusdienst; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-28 182768]
-----------------EOF-----------------
--- --- --- Info.txt [code]info.txtRSIT Logfile:RSIT Logfile: Code:
ATTFilter logfile of random's system information tool 1.06 2010-06-05 04:36:55
======Uninstall list======
======System event log======
Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.
Record Number: 7374
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User:
Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.
Record Number: 7373
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User:
Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.
Record Number: 7372
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User:
Computer Name: MFSRV01
Event Code: 51
Message: Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk1\D.
Record Number: 7371
Source Name: Disk
Time Written: 20100505113506.000000+120
Event Type: Warnung
User:
Computer Name: MFSRV01
Event Code: 26
Message: Anwendungspopup: Windows - Datenverlust beim Schreiben: Es konnten nicht alle Daten für die Datei P:\ gespeichert werden. Die Daten gingen verloren. Mögliche Ursache könnten Computerhardware oder Netzwerkverbindungen sein. Versuchen Sie, die Dateien woanders zu speichern.
Record Number: 7370
Source Name: Application Popup
Time Written: 20100505113504.000000+120
Event Type: Informationen
User:
=====Application event log=====
Computer Name: MFSRV01
Event Code: 4
Message: Der automatische Aktualisierungsabruf des Drittanbieterstammzertifikats wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/02FAF3E291435468607857694DF5E45B68851868.crt>.
Record Number: 2647
Source Name: crypt32
Time Written: 20091006114356.000000+120
Event Type: Informationen
User:
Computer Name: MFSRV01
Event Code: 2
Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-CAB-Datei wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
Record Number: 2646
Source Name: crypt32
Time Written: 20091006114355.000000+120
Event Type: Informationen
User:
Computer Name: MFSRV01
Event Code: 7
Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer wurde erfolgreich durchgeführt von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>.
Record Number: 2645
Source Name: crypt32
Time Written: 20091006114355.000000+120
Event Type: Informationen
User:
Computer Name: MFSRV01
Event Code: 0
Message:
Record Number: 2644
Source Name: gusvc
Time Written: 20091006110834.000000+120
Event Type: Informationen
User:
Computer Name: MFSRV01
Event Code: 0
Message:
Record Number: 2643
Source Name: gusvc
Time Written: 20091006110734.000000+120
Event Type: Informationen
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"NUMBER_OF_PROCESSORS"=1
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Programme\Symantec\pcAnywhere\;C:\Programme\CIB pdf brewer
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 2, GenuineIntel
"PROCESSOR_LEVEL"=6
"PROCESSOR_REVISION"=0f02
"TEMP"=c:\Temp
"TMP"=c:\Temp
"windir"=%SystemRoot%
"SAFEBOOT_OPTION"=MINIMAL
-----------------EOF-----------------
--- --- --- Ich hoffe Ihr könnt mir helfen. Ich probiere jetzt nochmal ein normalen Boot. Au Mann! Winfried |
|
05.06.2010, 04:19
| #4 |
| | Antispyware Soft Infektion Also ich verzweifle gerade, die ganze stundenlange Aktion hat nichts gebracht... Nach Neustart alles wieder beim alten: ich kann kein Programm starten, immer die bekannte Meldung. Also wieder abgesicherter Modus und nochmal Rkill.com gestartet, das findet aber keine zu stoppenden Prozesse ausser sich selbst... Dann nochmal Malwarebytes (nach update mit neuesten Daten) gestartet, findet jetzt was, läuft aber noch eine Weile. Was für eine schlaflose Nacht wegen diesem Mist (ja, habe ich mir ja selbst zuzuschreiben, weiss schon  )Bis später, ich poste dann noch den Malwarebytes Scan. Gruss, Winfried |
|
05.06.2010, 04:44
| #5 |
| /// Selecta Jahrusso   | Antispyware Soft Infektion Es ist mitten in der Nacht, also etwas geduld  Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1
Code:
ATTFilter :OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct=&gc=1&q=
O4 - HKLM..\Run: [skb] File not found
O4 - HKLM..\Run: [xaknoleo] C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf\muxdmghtssd.exe ()
O2 - BHO: (C:\WINDOWS\system32\k77a8.dll) - {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]
O22 - SharedTaskScheduler: {C7BA40A1-74F2-52BD-F411-04B15A2C8953} - har98fefiesjfs93s8i9sejsdf - C:\WINDOWS\system32\k77a8.dll [2010.06.05 01:34:17 | 000,000,000 | ---D | M]
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\AutoRun\command - "" = lgrncie.bat
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\explore\Command - "" = lgrncie.bat
O33 - MountPoints2\{f3c0c15b-4cc3-11dd-a95f-0019990564f0}\Shell\open\Command - "" = lgrncie.bat
[2010.06.05 01:16:00 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[2010.06.04 22:30:30 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedyb.exe
[2010.06.04 22:30:30 | 000,030,000 | ---- | M] () -- C:\WINDOWS\System32\k77a8.dl1
[2010.06.04 22:15:14 | 000,174,080 | ---- | M] () -- C:\WINDOWS\Pjedya.exe
[2010.06.04 22:30:58 | 000,823,808 | ---- | C] () -- C:\WINDOWS\System32\drivers\kgzdy.sys
:services
:files
C:\Dokumente und Einstellungen\Administrator.MFSRV01\Lokale Einstellungen\Anwendungsdaten\pugbqicvf
C:\cleansweep.exe
C:\Temp\fn4yj.exe
C:\Temp\debug.exe
c:\Temp\Pql.exe
c:\Temp\lxqg3foj.dll
:reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cleansweep.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfe8owijfisjhgs7ye39gjsoighsd7y3]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hsfg9w8gujsokgahi8gysgnsdgefshyjy]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M5T8QL3YW3]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mcexecwin]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xaknoleo]
:Commands
[purity]
[emptytemp]
[reboot]
Schritt 2 Berichte ob Du wieder in den Normalen Modus starten kannst.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
|
05.06.2010, 05:15
| #6 |
| | Antispyware Soft Infektion Hallo Daniel, ungeduld Euch Helfern gegenüber wäre ja ganz unangebracht! Vielen Dank, dass Du zu dieser Zeit schon nach uns unglücklichen schaust! Also ich habe Malwarebytes zuende laufen lasen, hier ist der Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4052
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702
05.06.2010 06:06:28
mbam-log-2010-06-05 (06-06-28).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 244914
Laufzeit: 55 Minute(n), 47 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> No action taken.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Gruss, bis bald, Winfried |
|
Textbox.
.
Hybrid-Darstellung
