|
Plagegeister aller Art und deren Bekämpfung: Antivir meldet: Autorun.infWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.07.2010, 10:32 | #1 |
| Antivir meldet: Autorun.inf Hallo, leider habe ich nicht besonders viel ahnung von Computern und kriege es nicht hin folgende Malware zu entfernen. Habe mit dem Microsoft Windows-Tool zum Entfernen bösartiger Software versucht es hinzukriegen aber dann ist mein Netbook nach beendigung des virensuchlaufs abgestürzt. Ich kann auch nichts löschen oder ähnliches Antivir blockt einfach: in der Datei 'C:\WINDOWS\Temp\tmp00000955\tmp0000c2ec' wurde ein Virus oder unerwünschtes Programm 'Buch (Boot)' [virus] gefunden. Ausgeführte Aktion: Zugriff verweigern Antivir öffnet bei jedem hochfahren ein fenster, in dem steht das Autorun.inf blockiert wird. Ich hoffe sehr das mir hier jemand helfen kann den mist vom PC wieder zu entfernen!! |
16.07.2010, 14:10 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Antivir meldet: Autorun.inf Hallo und
__________________bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
17.07.2010, 19:14 | #3 |
| Antivir meldet: Autorun.inf OTL Logfile:
__________________Code:
ATTFilter OTL logfile created on: 17.07.2010 16:47:42 - Run 1 OTL by OldTimer - Version 3.2.9.0 Folder = C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.013,00 Mb Total Physical Memory | 276,00 Mb Available Physical Memory | 27,00% Memory free 2,00 Gb Paging File | 1,00 Gb Available in Paging File | 61,00% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 120,99 Gb Total Space | 110,26 Gb Free Space | 91,14% Space Free | Partition Type: NTFS Drive D: | 28,05 Gb Total Space | 22,22 Gb Free Space | 79,21% Space Free | Partition Type: FAT32 E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: BESITZER-30983A Current User Name: Julia Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe (BullGuard Software) PRC - C:\Programme\BullGuard Software\BullGuard\BullGuard.exe (BullGuard Software) PRC - C:\Programme\Microsoft Security Essentials\msseces.exe (Microsoft Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe () PRC - c:\Programme\Microsoft Security Essentials\MsMpEng.exe (Microsoft Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\System Control Manager\MGSysCtrl.exe (Mirco-Star International CO., LTD.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\System Control Manager\MSIService.exe () PRC - C:\WINDOWS\system32\PSIService.exe () ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) MOD - C:\Programme\BullGuard Software\BullGuard\res\de\PluginHookRes.dll (Bullguard Software) MOD - C:\Programme\BullGuard Software\BullGuard\Antispam\PluginHook.dll (BullGuard Software) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\msvcr80.dll (Microsoft Corporation) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\msvcp80.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_dec6ddd2\mfc80u.dll (Microsoft Corporation) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_3415f6d0\mfc80DEU.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (BGRaSvc) -- C:\Programme\BullGuard Software\BullGuard\support\bgrasvc.exe (BullGuard) SRV - (BsMailProxy) -- C:\Programme\BullGuard Software\BullGuard\BsMailProxy.dll (BullGuard Ltd.) SRV - (BsFileScan) -- C:\Programme\BullGuard Software\BullGuard\BsFileScan.dll (BullGuard Ltd.) SRV - (BGLiveSvc) -- C:\Programme\BullGuard Software\BullGuard\BullGuardUpdate.exe (BullGuard Software) SRV - (BgMainSvc) -- C:\Programme\BullGuard Software\BullGuard\BsMain.dll (BullGuard, Ltd.) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe () SRV - (MsMpSvc) -- c:\Programme\Microsoft Security Essentials\MsMpEng.exe (Microsoft Corporation) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (Micro Star SCM) -- C:\Programme\System Control Manager\MSIService.exe () SRV - (ProtexisLicensing) -- C:\WINDOWS\system32\PSIService.exe () ========== Driver Services (SafeList) ========== DRV - (BdFileSpy) -- C:\WINDOWS\system32\drivers\BdFileSpy.sys (BullGuard Ltd.) DRV - (MpFilter) -- C:\WINDOWS\system32\drivers\MpFilter.sys (Microsoft Corporation) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (npf) -- C:\WINDOWS\system32\drivers\npf.sys (CACE Technologies, Inc.) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (RSUSBSTOR) -- C:\WINDOWS\system32\drivers\RTS5121.sys (Realtek Semiconductor Corporation) DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation ) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.) DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation) DRV - (RT80x86) -- C:\WINDOWS\system32\drivers\rt2860.sys (Ralink Technology, Corp.) DRV - (iaStor) -- C:\WINDOWS\system32\DRIVERS\iaStor.sys (Intel Corporation) DRV - (Reconn) -- C:\Programme\BullGuard Software\BullGuard\Reconn.sys (BullGuard Ltd.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKCU\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:2.0.0.4 FF - prefs.js..extensions.enabledItems: ChoiceGuard@Microsoft:2.0 FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q=" FF - prefs.js..network.proxy.type: 0 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.11 21:24:57 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.07.11 21:17:51 | 000,000,000 | ---D | M] [2010.07.11 21:25:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Mozilla\Extensions [2010.07.17 15:11:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Mozilla\Firefox\Profiles\6cfbnl2n.default\extensions [2010.07.16 13:18:45 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Mozilla\Firefox\Profiles\6cfbnl2n.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.07.11 21:45:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Mozilla\Firefox\Profiles\6cfbnl2n.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2010.07.11 21:58:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Mozilla\Firefox\Profiles\6cfbnl2n.default\extensions\ChoiceGuard@Microsoft [2010.07.11 21:17:52 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.06.26 10:03:55 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.06.26 10:03:55 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.06.26 10:03:55 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.06.26 10:03:55 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.06.26 10:03:55 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [BullGuard] C:\Programme\BullGuard Software\BullGuard\bullguard.exe (BullGuard Software) O4 - HKLM..\Run: [LanguageShortcut] C:\Programme\HomeCinema\PowerDVD\Language\Language.exe () O4 - HKLM..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe (Mirco-Star International CO., LTD.) O4 - HKLM..\Run: [MSSE] c:\Programme\Microsoft Security Essentials\msseces.exe (Microsoft Corporation) O4 - HKLM..\Run: [QuickFinder Scheduler] C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE (Corel Corporation) O4 - HKLM..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe File not found O4 - HKLM..\Run: [UCam_Menu] C:\Programme\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe (CyberLink Corp.) O4 - HKCU..\Run: [BullGuard] C:\Programme\BullGuard Software\BullGuard\bullguard.exe (BullGuard Software) O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta () O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll (Sun Microsystems, Inc.) O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - File not found O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - File not found O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211625236765 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.05.24 11:22:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2008.05.27 13:12:48 | 000,000,693 | RH-- | M] () - D:\autoexec.bat -- [ FAT32 ] O32 - Unable to obtain root file information for disk D:\ O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.07.17 16:28:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Corel User Files [2010.07.17 16:28:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Corel [2010.07.17 15:08:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Malwarebytes [2010.07.17 15:08:29 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.07.17 15:08:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.07.17 15:08:11 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.07.17 15:08:07 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.07.14 20:58:35 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll [2010.07.14 12:31:01 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Julia\IETldCache [2010.07.14 12:11:09 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates [2010.07.14 12:01:28 | 000,000,000 | ---D | C] -- C:\7bc654f5010b13793d05587c [2010.07.14 11:59:17 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8 [2010.07.14 11:43:56 | 000,000,000 | ---D | C] -- C:\a8350e060e09ae82e4 [2010.07.13 15:26:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Eigene Dateien\ICQ [2010.07.13 13:06:20 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\XPSViewer [2010.07.13 13:06:11 | 000,000,000 | ---D | C] -- C:\Programme\MSBuild [2010.07.13 13:06:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\en-US [2010.07.13 13:05:52 | 000,000,000 | ---D | C] -- C:\Programme\Reference Assemblies [2010.07.13 13:04:43 | 000,117,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\prntvpt.dll [2010.07.13 13:04:43 | 000,089,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\filterpipelineprintproc.dll [2010.07.13 13:04:42 | 000,597,504 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\printfilterpipelinesvc.exe [2010.07.13 13:04:42 | 000,575,488 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\xpsshhdr.dll [2010.07.13 13:04:41 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xpssvcs.dll [2010.07.13 13:04:41 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\xpssvcs.dll [2010.07.13 13:04:38 | 000,000,000 | ---D | C] -- C:\c6c9ece09344c28e950f693e814be7 [2010.07.12 22:21:05 | 000,274,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll [2010.07.12 22:21:05 | 000,017,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll.mui [2010.07.12 08:45:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Soulseek [2010.07.12 08:41:25 | 000,000,000 | ---D | C] -- C:\Programme\WinPcap [2010.07.12 08:41:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Anwendungsdaten\OpenCandy [2010.07.12 08:41:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\OpenCandy [2010.07.12 08:40:49 | 000,000,000 | ---D | C] -- C:\Programme\DsNET Corp [2010.07.12 08:38:51 | 000,000,000 | ---D | C] -- C:\Programme\SoulseekNS [2010.07.12 08:26:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Avira [2010.07.11 22:46:47 | 000,221,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MpSigStub.exe [2010.07.11 22:44:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2010.07.11 22:43:37 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Security Essentials [2010.07.11 22:41:16 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2010.07.11 22:40:42 | 000,124,784 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2010.07.11 22:40:41 | 000,060,936 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2010.07.11 22:40:41 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys [2010.07.11 22:40:40 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys [2010.07.11 22:40:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2010.07.11 22:40:30 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2010.07.11 22:18:55 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft [2010.07.11 22:18:27 | 000,000,000 | ---D | C] -- C:\Programme\Windows Live [2010.07.11 22:14:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\SxsCaPendDel [2010.07.11 22:05:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\MSNInstaller [2010.07.11 21:58:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Tracing [2010.07.11 21:56:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\microsoft [2010.07.11 21:56:34 | 000,000,000 | ---D | C] -- C:\Programme\Windows Live SkyDrive [2010.07.11 21:45:30 | 000,000,000 | ---D | C] -- C:\Programme\ICQ6Toolbar [2010.07.11 21:45:26 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Windows Live [2010.07.11 21:45:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2010.07.11 21:44:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\ICQ [2010.07.11 21:44:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Anwendungsdaten\AOL [2010.07.11 21:44:03 | 000,000,000 | ---D | C] -- C:\Programme\ICQ7.2 [2010.07.11 21:42:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Anwendungen [2010.07.11 21:39:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm [2010.07.11 21:38:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Anwendungsdaten\Last.fm [2010.07.11 21:38:18 | 000,000,000 | ---D | C] -- C:\Programme\Last.fm [2010.07.11 21:26:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Downloads [2010.07.11 21:24:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Anwendungsdaten\Mozilla [2010.07.11 21:24:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Mozilla [2010.07.11 21:17:49 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox [2010.07.11 21:15:54 | 000,455,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mrxsmb.sys [2010.07.11 21:14:27 | 002,192,256 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntoskrnl.exe [2010.07.11 21:14:22 | 002,148,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrnlmp.exe [2010.07.11 21:14:21 | 002,027,008 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrpamp.exe [2010.07.11 21:12:12 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe [2010.07.11 21:09:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Contacts [2010.07.11 21:08:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\SoftwareDistribution [2010.07.11 21:04:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Google [2010.07.11 15:23:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Eigene Google Gadgets [2010.07.11 15:23:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Anwendungsdaten\Google [2010.07.11 15:22:33 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Microsoft [2010.07.11 15:22:33 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Julia\SendTo [2010.07.11 15:22:33 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Julia\Recent [2010.07.11 15:22:33 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten [2010.07.11 15:22:33 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Julia\Startmenü [2010.07.11 15:22:33 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Julia\Favoriten [2010.07.11 15:22:33 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Eigene Videos [2010.07.11 15:22:33 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Eigene Musik [2010.07.11 15:22:33 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Julia\Eigene Dateien [2010.07.11 15:22:33 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Eigene Bilder [2010.07.11 15:22:33 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Julia\UserData [2010.07.11 15:22:33 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Julia\Cookies [2010.07.11 15:22:33 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Julia\Vorlagen [2010.07.11 15:22:33 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Julia\Netzwerkumgebung [2010.07.11 15:22:33 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen [2010.07.11 15:22:33 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Julia\Druckumgebung [2010.07.11 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Youcam [2010.07.11 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files [2010.07.11 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Sun [2010.07.11 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Anwendungsdaten\Microsoft [2010.07.11 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Meine empfangenen Dateien [2010.07.11 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Macromedia [2010.07.11 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\InstallShield [2010.07.11 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Identities [2010.07.11 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Desktop [2010.07.11 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\BullGuard [2010.07.11 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Anwendungsdaten\Adobe [2010.07.11 15:22:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julia\Anwendungsdaten\Adobe [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.07.17 16:47:48 | 000,000,848 | -HS- | M] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2010.07.17 16:47:11 | 000,047,811 | ---- | M] () -- C:\Dokumente und Einstellungen\Julia\Desktop\Malwarebytes' Anti-Malware 1.wpd [2010.07.17 15:08:36 | 000,000,680 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.07.17 12:32:17 | 000,000,400 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job [2010.07.17 12:26:22 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.07.17 12:26:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.07.17 12:26:18 | 1062,526,976 | -HS- | M] () -- C:\hiberfil.sys [2010.07.16 21:44:35 | 002,097,152 | -H-- | M] () -- C:\Dokumente und Einstellungen\Julia\NTUSER.DAT [2010.07.16 21:44:35 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Julia\ntuser.ini [2010.07.15 00:01:21 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.07.14 11:43:59 | 000,434,032 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.07.14 11:43:58 | 000,450,550 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.07.14 11:43:58 | 000,081,184 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.07.14 11:43:58 | 000,068,318 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.07.14 11:43:56 | 001,046,576 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.07.13 15:04:00 | 000,035,648 | ---- | M] () -- C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.07.13 15:02:58 | 000,185,816 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.07.11 22:43:12 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.07.11 21:25:11 | 000,000,000 | ---- | M] () -- C:\WINDOWS\nsreg.dat [2010.07.11 21:15:20 | 000,014,152 | ---- | M] (BullGuard Software) -- C:\WINDOWS\System32\lccl.dll [2010.07.11 21:15:20 | 000,014,152 | ---- | M] (BullGuard Software) -- C:\WINDOWS\System32\client_cc.dll [2010.07.11 21:15:01 | 000,050,896 | ---- | M] (BullGuard Ltd.) -- C:\WINDOWS\System32\drivers\BdFileSpy.sys [2010.07.11 15:21:53 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\$winnt$.inf [2010.07.11 15:21:52 | 000,262,144 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\NTUSER.DAT [2010.07.11 15:21:51 | 000,000,211 | RHS- | M] () -- C:\boot.ini [2010.07.11 15:20:35 | 000,005,208 | ---- | M] () -- C:\WINDOWS\System32\pid.PNF [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.07.17 16:29:15 | 000,047,811 | ---- | C] () -- C:\Dokumente und Einstellungen\Julia\Desktop\Malwarebytes' Anti-Malware 1.wpd [2010.07.17 16:28:14 | 000,000,848 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2010.07.17 15:08:36 | 000,000,680 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.07.11 22:49:04 | 000,000,400 | -H-- | C] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job [2010.07.11 21:25:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2010.07.11 15:22:34 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\Julia\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.11 15:22:33 | 002,097,152 | -H-- | C] () -- C:\Dokumente und Einstellungen\Julia\NTUSER.DAT [2010.07.11 15:22:33 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\Julia\ntuser.dat.LOG [2010.07.11 15:22:33 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Julia\ntuser.ini [2010.07.11 15:21:52 | 000,262,144 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\NTUSER.DAT [2010.07.11 15:21:52 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\NTUSER.DAT.LOG [2009.11.16 18:33:38 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll [2009.06.07 13:27:20 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\vbzlib1.dll [2008.06.10 12:24:54 | 006,184,960 | ---- | C] () -- C:\WINDOWS\System32\RTS5121icon.dll [2008.05.28 06:50:05 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2008.05.24 12:07:04 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4906.dll [2008.05.24 11:46:30 | 000,000,892 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2008.05.24 11:38:53 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini < End of report > OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 17.07.2010 16:47:42 - Run 1 OTL by OldTimer - Version 3.2.9.0 Folder = C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.013,00 Mb Total Physical Memory | 276,00 Mb Available Physical Memory | 27,00% Memory free 2,00 Gb Paging File | 1,00 Gb Available in Paging File | 61,00% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 120,99 Gb Total Space | 110,26 Gb Free Space | 91,14% Space Free | Partition Type: NTFS Drive D: | 28,05 Gb Total Space | 22,22 Gb Free Space | 79,21% Space Free | Partition Type: FAT32 E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: BESITZER-30983A Current User Name: Julia Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 1 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax -- (Microsoft Corporation) "C:\Programme\NetMeeting\Conf.exe" = C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting -- (Microsoft Corporation) "C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.) "C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC) "C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:enabled:Microsoft Fax -- (Microsoft Corporation) "C:\Programme\NetMeeting\Conf.exe" = C:\Programme\NetMeeting\Conf.exe:*:enabled:NetMeeting -- (Microsoft Corporation) "C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.) "C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC) "C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation) "C:\Programme\SoulseekNS\slsk.exe" = C:\Programme\SoulseekNS\slsk.exe:*:Disabled:SoulSeek -- () ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "_{54DB13F1-0CE0-4BAB-BD5F-7DE150C043C8}" = WordPerfect Office X3 "{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool "{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT "{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent "{54DB13F1-0CE0-4BAB-BD5F-7DE150C043C8}" = WordPerfect Office X3 "{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD "{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2 "{76EFFC7C-17A6-479D-9E47-8E658C1695AE}" = Windows-Sicherungsprogramm "{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 "{84ED5482-CFB0-4DD9-BF18-489FFDACD18A}" = Microsoft Antimalware Service DE-DE Language Pack "{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable "{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch "{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver "{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D10CB652-9332-4242-B7A9-2D61570144F7}" = USB 2.0 Card Reader "{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call "{E62A1F01-07B7-4541-A835-EE5B0BF064C2}" = Microsoft Antimalware "{ED9C5D25-55DF-48D8-9328-2AC0D75DE5D8}" = System Control Manager "{EF98A02A-1748-4762-9B7D-5ED1600520D5}" = Microsoft Security Essentials "{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F3D92514-CD5D-4E96-BE88-8258EB9BF85A}" = Azurewave Wireless LAN "Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11 "aTube Catcher" = aTube Catcher "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "BullGuard" = BullGuard 7.0 for Vista "FMCODEC" = FM Screen Capture Codec (Remove Only) "HDMI" = Intel(R) Graphics Media Accelerator Driver "ICQToolbar" = ICQ Toolbar "IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs "ie7" = Windows Internet Explorer 7 "ie8" = Windows Internet Explorer 8 "InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam "LastFM_is1" = Last.fm 1.5.4.24567 "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Microsoft Security Essentials" = Microsoft Security Essentials "Mozilla Firefox (3.6.6)" = Mozilla Firefox (3.6.6) "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs "Soulseek2" = SoulSeek 157 NS 13e "SynTPDeinstKey" = Synaptics Pointing Device Driver "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "WinLiveSuite_Wave3" = Windows Live Essentials "WinPcapInst" = WinPcap 4.1.1 "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 11.07.2010 16:41:00 | Computer Name = BESITZER-30983A | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3828, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 11.07.2010 16:41:04 | Computer Name = BESITZER-30983A | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3828, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 11.07.2010 16:42:49 | Computer Name = BESITZER-30983A | Source = crypt32 | ID = 131083 Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 11.07.2010 16:42:50 | Computer Name = BESITZER-30983A | Source = crypt32 | ID = 131083 Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 14.07.2010 05:53:59 | Computer Name = BESITZER-30983A | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung avcenter.exe, Version 10.0.12.28, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 14.07.2010 05:54:09 | Computer Name = BESITZER-30983A | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung avcenter.exe, Version 10.0.12.28, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 14.07.2010 05:54:09 | Computer Name = BESITZER-30983A | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung avcenter.exe, Version 10.0.12.28, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 14.07.2010 05:57:43 | Computer Name = BESITZER-30983A | Source = MPSampleSubmission | ID = 5000 Description = EventType mptelemetry, P1 80240016, P2 begininstall, P3 install, P4 2.1.6805.0, P5 mpsigdwn.dll, P6 2.1.6805.0, P7 microsoft antimalware (bcf43643-a118-4432-aede-d861fcbcfcde), P8 NIL, P9 NIL, P10 NIL. Error - 14.07.2010 16:50:25 | Computer Name = BESITZER-30983A | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3828, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 15.07.2010 15:05:49 | Computer Name = BESITZER-30983A | Source = MPSampleSubmission | ID = 5000 Description = EventType mptelemetry, P1 microsoft antimalware (bcf43643-a118-4432-aede-d861fcbcfcde), P2 2.1.6805.0, P3 timeout, P4 1.1.5902.0, P5 local, P6 unspecified, P7 unspecified, P8 NIL, P9 NIL, P10 NIL. [ System Events ] Error - 14.07.2010 05:57:40 | Computer Name = BESITZER-30983A | Source = Microsoft Antimalware | ID = 2001 Description = Fehler in %%861 beim Aktualisieren von Signaturen. Neue Signaturversion: Vorherige Signaturversion: 1.85.1948.0 Aktualisierungsquelle: %%859 Aktualisierungsstufe: %%854 Quellpfad: hxxp://www.microsoft.com Signaturtyp: %%800 Aktualisierungstyp: %%803 Benutzer: NT-AUTORITÄT\SYSTEM Aktuelle Modulversion: Vorherige Modulversion: 1.1.5902.0 Fehlercode: 0x80240016 Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support". Error - 14.07.2010 05:57:40 | Computer Name = BESITZER-30983A | Source = Microsoft Antimalware | ID = 2001 Description = Fehler in %%861 beim Aktualisieren von Signaturen. Neue Signaturversion: Vorherige Signaturversion: 1.85.1948.0 Aktualisierungsquelle: %%859 Aktualisierungsstufe: %%853 Quellpfad: hxxp://www.microsoft.com Signaturtyp: %%800 Aktualisierungstyp: %%803 Benutzer: NT-AUTORITÄT\SYSTEM Aktuelle Modulversion: Vorherige Modulversion: 1.1.5902.0 Fehlercode: 0x80240016 Fehlerbeschreibung: Unerwartetes Problem bei der Überprüfung auf Updates. Informationen zum Installieren von Updates oder zur Problembehandlung finden Sie unter "Hilfe und Support". Error - 14.07.2010 11:03:46 | Computer Name = BESITZER-30983A | Source = Service Control Manager | ID = 7011 Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst AntiVirSchedulerService. Error - 14.07.2010 12:16:24 | Computer Name = BESITZER-30983A | Source = Service Control Manager | ID = 7011 Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst AntiVirSchedulerService. Error - 14.07.2010 12:17:08 | Computer Name = BESITZER-30983A | Source = Service Control Manager | ID = 7011 Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst stisvc. Error - 14.07.2010 12:17:52 | Computer Name = BESITZER-30983A | Source = Service Control Manager | ID = 7011 Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst stisvc. Error - 14.07.2010 12:19:20 | Computer Name = BESITZER-30983A | Source = Service Control Manager | ID = 7011 Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst stisvc. Error - 14.07.2010 12:19:31 | Computer Name = BESITZER-30983A | Source = DCOM | ID = 10010 Description = Der Server "{078AEF33-C48A-49F7-AFF3-A0EE810BFE7C}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Error - 15.07.2010 05:21:09 | Computer Name = BESITZER-30983A | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.2.100 für die Netzwerkkarte mit der Netzwerkadresse 0022434B4771 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). Error - 15.07.2010 16:11:52 | Computer Name = BESITZER-30983A | Source = Dhcp | ID = 1002 Description = Die IP-Adresslease 192.168.2.100 für die Netzwerkkarte mit der Netzwerkadresse 0022434B4771 wurde durch den DHCP-Server 192.168.1.1 abgelehnt (der DHCP-Server hat eine DHCPNACK-Meldung gesendet). < End of report > Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4321 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 17.07.2010 16:27:32 mbam-log-2010-07-17 (16-27-32).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 160657 Laufzeit: 1 Stunde(n), 16 Minute(n), 10 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Hoffe das ist jetzt alles richtig so!? liebe grüße julia |
17.07.2010, 19:24 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Antivir meldet: Autorun.inf Sieht rel. unauffällig aus. Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O32 - AutoRun File - [2008.05.27 13:12:48 | 000,000,693 | RH-- | M] () - D:\autoexec.bat -- [ FAT32 ] :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
17.07.2010, 20:16 | #5 |
| Antivir meldet: Autorun.inf All processes killed ========== OTL ========== D:\autoexec.bat moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 376832 bytes ->Temporary Internet Files folder emptied: 442502 bytes ->Flash cache emptied: 405 bytes User: Julia ->Temp folder emptied: 548882695 bytes ->Temporary Internet Files folder emptied: 25175192 bytes ->FireFox cache emptied: 88733921 bytes ->Flash cache emptied: 5705 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 3024003 bytes User: NetworkService ->Temp folder emptied: 88484 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2352202 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 19654119 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 657,00 mb OTL by OldTimer - Version 3.2.9.0 log created on 07172010_205924 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\tmp00003bd0\tmp000007df not found! File\Folder C:\WINDOWS\temp\tmp00000955\tmp0000c2f8 not found! File\Folder C:\WINDOWS\temp\TMP00000008A5C4571DFAD11470 not found! Registry entries deleted on Reboot... |
17.07.2010, 20:52 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Antivir meldet: Autorun.inf Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> Antivir meldet: Autorun.inf |
Themen zu Antivir meldet: Autorun.inf |
antivir, antivir meldet, autorun.inf, blockiert, boot, c:\windows, computer, computern, datei, einfach, fenster, folge, folgende, hochfahren, löschen, malware, meldet, microsoft, nichts, programm, software, temp, tmp, unerwünschtes programm, virus, windows-tool, zugriff, öffnet |