| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: syscron.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
20.07.2010, 20:22
| #1 |
| |  syscron.exe Hallo allerseits, habe eigentlich 2 Probleme: 1) vor einigen Tagen habe ich per Antivir einige Plagegeister auf meinem PC entdeckt, Logfile anbei: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 12. Juli 2010 22:15 Es wird nach 2336489 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : LAPTOP Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 20:13:13 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 20:13:17 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 20:13:17 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 20:13:17 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 20:13:17 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 20:13:17 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 20:13:17 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 20:13:17 VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 20:13:18 VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 20:13:18 VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 20:13:18 VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 20:13:18 VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 20:13:19 VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 20:13:19 VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 20:13:20 VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 20:13:20 VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 20:13:20 VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 20:13:21 VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 20:13:22 VBASE024.VDF : 7.10.9.61 2048 Bytes 11.07.2010 20:13:22 VBASE025.VDF : 7.10.9.62 2048 Bytes 11.07.2010 20:13:22 VBASE026.VDF : 7.10.9.63 2048 Bytes 11.07.2010 20:13:22 VBASE027.VDF : 7.10.9.64 2048 Bytes 11.07.2010 20:13:22 VBASE028.VDF : 7.10.9.65 2048 Bytes 11.07.2010 20:13:22 VBASE029.VDF : 7.10.9.66 2048 Bytes 11.07.2010 20:13:22 VBASE030.VDF : 7.10.9.67 2048 Bytes 11.07.2010 20:13:23 VBASE031.VDF : 7.10.9.72 65536 Bytes 12.07.2010 20:13:23 Engineversion : 8.2.4.10 AEVDF.DLL : 8.1.2.0 106868 Bytes 12.07.2010 20:13:32 AESCRIPT.DLL : 8.1.3.39 1335674 Bytes 12.07.2010 20:13:32 AESCN.DLL : 8.1.6.1 127347 Bytes 12.07.2010 20:13:31 AESBX.DLL : 8.1.3.1 254324 Bytes 12.07.2010 20:13:32 AERDL.DLL : 8.1.4.6 541043 Bytes 12.07.2010 20:13:31 AEPACK.DLL : 8.2.2.5 430453 Bytes 12.07.2010 20:13:30 AEOFFICE.DLL : 8.1.1.6 201081 Bytes 12.07.2010 20:13:29 AEHEUR.DLL : 8.1.1.38 2724214 Bytes 12.07.2010 20:13:28 AEHELP.DLL : 8.1.11.6 242038 Bytes 12.07.2010 20:13:25 AEGEN.DLL : 8.1.3.13 381300 Bytes 12.07.2010 20:13:25 AEEMU.DLL : 8.1.2.0 393588 Bytes 12.07.2010 20:13:25 AECORE.DLL : 8.1.15.3 192886 Bytes 12.07.2010 20:13:24 AEBB.DLL : 8.1.1.0 53618 Bytes 12.07.2010 20:13:24 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Montag, 12. Juli 2010 22:15 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'cli.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'cli.exe' - '146' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'RAMASST.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'toscdspd.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'Dot1XCfg.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'zlclient.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'CFSServ.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'WkUFind.exe' - '7' Modul(e) wurden durchsucht Durchsuche Prozess 'ifrmewrk.exe' - '87' Modul(e) wurden durchsucht Durchsuche Prozess 'ZCfgSvc.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'TvsTray.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'DLACTRLW.EXE' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'TDispVol.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'TFncKy.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'TPSBattM.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'SmoothView.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'NDSTray.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'TPSMain.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'Toshiba.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'thotkey.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'cli.exe' - '192' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'TAPPSRV.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'RegSrvc.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'DVDRAMSV.exe' - '13' Modul(e) wurden durchsucht Durchsuche Prozess 'CFSvcs.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '91' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'vsmon.exe' - '98' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'S24EvMon.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'EvtEng.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '166' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\ntuser_mssec.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Carberp.A.14 Die Registry wurde durchsucht ( '2382' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\des.jar-58e06778-2ce160e3.zip [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.1 --> dev/s/Bavarian.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.1 --> dev/s/Saxonia.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.2 --> dev/s/Silezia.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.3 C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E3YEB9L4\index[4].htm [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Agent.QC C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\ntuser_mssec.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Carberp.A.14 C:\System Volume Information\_restore{A8D8D9A2-504F-41DC-9E3F-D1F2FD65C5E3}\RP248\A0047518.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.dzma Beginne mit der Desinfektion: C:\System Volume Information\_restore{A8D8D9A2-504F-41DC-9E3F-D1F2FD65C5E3}\RP248\A0047518.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.dzma [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476d50fa.qua' verschoben! C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E3YEB9L4\index[4].htm [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Dldr.Agent.QC [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f0e7f9b.qua' verschoben! C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\des.jar-58e06778-2ce160e3.zip [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.3 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0d60257a.qua' verschoben! C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\ntuser_mssec.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Carberp.A.14 [HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup> wurde erfolgreich entfernt. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6b496aab.qua' verschoben! Ende des Suchlaufs: Dienstag, 13. Juli 2010 07:06 Benötigte Zeit: 1:12:56 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 8322 Verzeichnisse wurden überprüft 307129 Dateien wurden geprüft 7 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 4 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 307122 Dateien ohne Befall 7132 Archive wurden durchsucht 0 Warnungen 4 Hinweise 413030 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden erneuter Scan 1 Tag später ergab dann noch 1 Virus: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 14. Juli 2010 20:14 Es wird nach 2346510 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : LAPTOP Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 20:13:13 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 20:13:17 VBASE007.VDF : 7.10.7.219 2048 Bytes 02.06.2010 20:13:17 VBASE008.VDF : 7.10.7.220 2048 Bytes 02.06.2010 20:13:17 VBASE009.VDF : 7.10.7.221 2048 Bytes 02.06.2010 20:13:17 VBASE010.VDF : 7.10.7.222 2048 Bytes 02.06.2010 20:13:17 VBASE011.VDF : 7.10.7.223 2048 Bytes 02.06.2010 20:13:17 VBASE012.VDF : 7.10.7.224 2048 Bytes 02.06.2010 20:13:17 VBASE013.VDF : 7.10.8.37 270336 Bytes 10.06.2010 20:13:18 VBASE014.VDF : 7.10.8.69 138752 Bytes 14.06.2010 20:13:18 VBASE015.VDF : 7.10.8.102 130560 Bytes 16.06.2010 20:13:18 VBASE016.VDF : 7.10.8.135 152064 Bytes 21.06.2010 20:13:18 VBASE017.VDF : 7.10.8.163 432128 Bytes 23.06.2010 20:13:19 VBASE018.VDF : 7.10.8.194 133632 Bytes 27.06.2010 20:13:19 VBASE019.VDF : 7.10.8.220 134656 Bytes 29.06.2010 20:13:20 VBASE020.VDF : 7.10.8.252 171520 Bytes 04.07.2010 20:13:20 VBASE021.VDF : 7.10.9.19 131072 Bytes 06.07.2010 20:13:20 VBASE022.VDF : 7.10.9.36 297472 Bytes 07.07.2010 20:13:21 VBASE023.VDF : 7.10.9.60 150016 Bytes 11.07.2010 20:13:22 VBASE024.VDF : 7.10.9.79 113152 Bytes 13.07.2010 18:13:21 VBASE025.VDF : 7.10.9.80 2048 Bytes 13.07.2010 18:13:21 VBASE026.VDF : 7.10.9.81 2048 Bytes 13.07.2010 18:13:22 VBASE027.VDF : 7.10.9.82 2048 Bytes 13.07.2010 18:13:22 VBASE028.VDF : 7.10.9.83 2048 Bytes 13.07.2010 18:13:22 VBASE029.VDF : 7.10.9.84 2048 Bytes 13.07.2010 18:13:22 VBASE030.VDF : 7.10.9.85 2048 Bytes 13.07.2010 18:13:22 VBASE031.VDF : 7.10.9.90 95744 Bytes 14.07.2010 18:13:22 Engineversion : 8.2.4.10 AEVDF.DLL : 8.1.2.0 106868 Bytes 12.07.2010 20:13:32 AESCRIPT.DLL : 8.1.3.39 1335674 Bytes 12.07.2010 20:13:32 AESCN.DLL : 8.1.6.1 127347 Bytes 12.07.2010 20:13:31 AESBX.DLL : 8.1.3.1 254324 Bytes 12.07.2010 20:13:32 AERDL.DLL : 8.1.4.6 541043 Bytes 12.07.2010 20:13:31 AEPACK.DLL : 8.2.2.5 430453 Bytes 12.07.2010 20:13:30 AEOFFICE.DLL : 8.1.1.6 201081 Bytes 12.07.2010 20:13:29 AEHEUR.DLL : 8.1.1.38 2724214 Bytes 12.07.2010 20:13:28 AEHELP.DLL : 8.1.11.6 242038 Bytes 12.07.2010 20:13:25 AEGEN.DLL : 8.1.3.13 381300 Bytes 12.07.2010 20:13:25 AEEMU.DLL : 8.1.2.0 393588 Bytes 12.07.2010 20:13:25 AECORE.DLL : 8.1.15.3 192886 Bytes 12.07.2010 20:13:24 AEBB.DLL : 8.1.1.0 53618 Bytes 12.07.2010 20:13:24 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Mittwoch, 14. Juli 2010 20:14 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_USERS\S-1-5-21-2775926786-4259584867-653629008-1006\Software\Google\Google Toolbar\4.0\UsageStats\Weekly\Counts\langdetect.ext [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-2775926786-4259584867-653629008-1006\Software\Google\Google Toolbar\4.0\UsageStats\Weekly\Counts\langdetectsuccess.ext [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-2775926786-4259584867-653629008-1006\Software\Google\Google Toolbar\4.0\UsageStats\Weekly\Timings\langdetectlangcount.ext [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-2775926786-4259584867-653629008-1006\Software\Google\Google Toolbar\Prefetch\Domains\www. [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-2775926786-4259584867-653629008-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\count [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-2775926786-4259584867-653629008-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\time [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Zone Labs\ZoneAlarm\blockcount [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\Software\Zone Labs\ZoneAlarm\incomingcount [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '123' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '124' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarInstaller_updater_signed.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '128' Modul(e) wurden durchsucht Durchsuche Prozess 'cli.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'cli.exe' - '146' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '96' Modul(e) wurden durchsucht Durchsuche Prozess 'Dot1XCfg.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'ONENOTEM.EXE' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'RAMASST.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '62' Modul(e) wurden durchsucht Durchsuche Prozess 'toscdspd.exe' - '18' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'realsched.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'qttask.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'CFSServ.exe' - '74' Modul(e) wurden durchsucht Durchsuche Prozess 'ifrmewrk.exe' - '87' Modul(e) wurden durchsucht Durchsuche Prozess 'ZCfgSvc.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'TvsTray.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'DLACTRLW.EXE' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'TDispVol.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'TFncKy.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'SmoothView.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'Toshiba.exe' - '24' Modul(e) wurden durchsucht Durchsuche Prozess 'NDSTray.exe' - '72' Modul(e) wurden durchsucht Durchsuche Prozess 'thotkey.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'cli.exe' - '193' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'TAPPSRV.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'RegSrvc.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'DVDRAMSV.exe' - '13' Modul(e) wurden durchsucht Durchsuche Prozess 'CFSvcs.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '98' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'S24EvMon.exe' - '45' Modul(e) wurden durchsucht Durchsuche Prozess 'EvtEng.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '15' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '2254' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\System Volume Information\_restore{A8D8D9A2-504F-41DC-9E3F-D1F2FD65C5E3}\RP249\A0047766.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Carberp.A.14 Beginne mit der Desinfektion: C:\System Volume Information\_restore{A8D8D9A2-504F-41DC-9E3F-D1F2FD65C5E3}\RP249\A0047766.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Carberp.A.14 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '474eb663.qua' verschoben! Ende des Suchlaufs: Mittwoch, 14. Juli 2010 21:40 Benötigte Zeit: 1:22:05 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 8332 Verzeichnisse wurden überprüft 309837 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 309836 Dateien ohne Befall 7131 Archive wurden durchsucht 0 Warnungen 1 Hinweise 395895 Objekte wurden beim Rootkitscan durchsucht 9 Versteckte Objekte wurden gefunden Letzter Check gestern war dann i.O. => sollte damit soweit passen, oder? *hoff* Und jetzt zu meinem 2. Problem (evtl. hängts ja auch mit dem 1. zusammen): seit einigen Tagen popt beim Start meines Laptops ein Fenster mit syscron.exe inkl. Fehlermeldung auf (siehe Anhang), die Datei habe ich auch im Startmenü gefunden. Habe die im Board vorhandenen Infos vorab gelesen und deshalb schonmal das System mit Malwarebytes gecheckt: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4331 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 20.07.2010 20:31:03 mbam-log-2010-07-20 (20-31-03).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 215856 Laufzeit: 42 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Und anschließend der Scan mit OTL: OTL Logfile: Code:
ATTFilter OTL logfile created on: 20.07.2010 20:44:29 - Run 1 OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Chef\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1.022,00 Mb Total Physical Memory | 468,00 Mb Available Physical Memory | 46,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 77,00% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,28 Gb Total Space | 24,98 Gb Free Space | 33,63% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: LAPTOP Current User Name: Chef NOT logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Chef\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - c:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH) PRC - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.) PRC - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Zone Labs, LLC) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) PRC - C:\Programme\Toshiba\TOSHIBA Applet\THotkey.exe (TOSHIBA) PRC - C:\Programme\Synaptics\SynTP\Toshiba.exe (Synaptics, Inc.) PRC - C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe (Intel Corporation) PRC - C:\Programme\Toshiba\Tvs\TvsTray.exe (TOSHIBA Corporation) PRC - C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe (Intel Corporation) PRC - C:\Programme\Toshiba\ConfigFree\CFSServ.exe (TOSHIBA CORPORATION) PRC - C:\Programme\Toshiba\ConfigFree\NDSTray.exe (TOSHIBA CORPORATION) PRC - C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions) PRC - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated) PRC - C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe (TOSHIBA Corporation) PRC - C:\WINDOWS\system32\TDispVol.exe (TOSHIBA Corporation) PRC - C:\Programme\ATI Technologies\ATI.ACE\CLI.exe (ATI Technologies Inc.) PRC - C:\Programme\Toshiba\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation) PRC - C:\Programme\Toshiba\TOSCDSPD\TOSCDSPD.exe (TOSHIBA) PRC - C:\WINDOWS\system32\RAMASST.exe (Matsushita Electric Industrial Co., Ltd.) PRC - C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Chef\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) MOD - C:\WINDOWS\system32\TDispVol.dll () ========== Win32 Services (SafeList) ========== ========== Driver Services (SafeList) ========== ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aol.de/?redirect IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 O1 HOSTS File: ([2004.08.04 15:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.) O2 - BHO: (DriveLetterAccess) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\DLA\DLASHX_W.DLL (Sonic Solutions) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll (Google Inc.) O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [CFSServ.exe] File not found O4 - HKLM..\Run: [DLA] C:\WINDOWS\system32\DLA\DLACTRLW.EXE (Sonic Solutions) O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation) O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation) O4 - HKLM..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Lexware GmbH & Co. KG) O4 - HKLM..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe (Microsoft® Corporation) O4 - HKLM..\Run: [NDSTray.exe] File not found O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [SmoothView] C:\Programme\Toshiba\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [TDispVol] C:\WINDOWS\System32\TDispVol.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [TFncKy] File not found O4 - HKLM..\Run: [THotkey] C:\Programme\Toshiba\TOSHIBA Applet\THotkey.exe (TOSHIBA) O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.) O4 - HKLM..\Run: [TPSMain] C:\WINDOWS\System32\TPSMain.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [Tvs] C:\Programme\Toshiba\Tvs\TvsTray.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [Tweak UI] C:\WINDOWS\System32\TWEAKUI.CPL (Microsoft Corporation) O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Zone Labs, LLC) O4 - HKCU..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.) O4 - HKCU..\Run: [TOSCDSPD] C:\Programme\Toshiba\TOSCDSPD\TOSCDSPD.exe (TOSHIBA) O4 - HKCU..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe (Adobe Systems Incorporated) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Adobe Systems Incorporated) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe (Matsushita Electric Industrial Co., Ltd.) O4 - Startup: C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE (Microsoft Corporation) O4 - Startup: C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\syscron.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data] O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.) O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll (Sun Microsystems, Inc.) O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.) O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.) O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://www.apple.com/qtactivex/qtplugin.cab (QuickTime Object) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Java Plug-in 1.5.0_04) O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Java Plug-in 1.5.0_04) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} hxxp://www.lokalisten.de/iup/ImageUploader4.cab (Image Uploader Control) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\haufereader - No CLSID value found O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation) O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Chef\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.01.16 13:53:38 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{0d92452a-ade4-11de-b919-00a0d13aa886}\Shell - "" = AutoRun O33 - MountPoints2\{0d92452a-ade4-11de-b919-00a0d13aa886}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{0d92452a-ade4-11de-b919-00a0d13aa886}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.07.20 20:42:38 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Chef\Desktop\OTL.exe [2010.07.20 19:37:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Malwarebytes [2010.07.20 19:21:33 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.07.20 19:21:31 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.07.20 19:21:31 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.07.20 19:21:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.07.20 18:57:34 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Chef\Recent [2010.07.20 18:41:51 | 000,061,752 | ---- | C] (Prevx) -- C:\WINDOWS\System32\drivers\pxrts.sys [2010.07.20 18:40:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI [2010.07.20 18:35:08 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2010.07.14 20:04:41 | 000,744,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\helpsvc.exe [2010.07.12 22:15:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2010.07.12 22:12:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Avira [2010.07.12 20:23:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [2006.01.16 15:31:11 | 000,053,248 | ---- | C] ( ) -- C:\WINDOWS\System32\DLLVGA.dll [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.07.20 20:42:55 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Chef\Desktop\OTL.exe [2010.07.20 20:40:40 | 000,358,382 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml [2010.07.20 20:39:59 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.07.20 20:39:52 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.07.20 20:39:40 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.07.20 20:39:38 | 1071,697,920 | -HS- | M] () -- C:\hiberfil.sys [2010.07.20 20:36:02 | 049,963,040 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat [2010.07.20 20:33:06 | 006,029,312 | -H-- | M] () -- C:\Dokumente und Einstellungen\Chef\NTUSER.DAT [2010.07.20 20:04:05 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.07.20 19:21:36 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.07.20 19:15:34 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Chef\ntuser.ini [2010.07.20 18:50:57 | 000,011,270 | -HS- | M] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2010.07.20 18:41:52 | 000,061,752 | ---- | M] (Prevx) -- C:\WINDOWS\System32\drivers\pxrts.sys [2010.07.20 18:38:05 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\Chef\Desktop\CCleaner.lnk [2010.07.20 07:34:07 | 000,585,896 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx [2010.07.19 19:27:00 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.07.12 20:05:45 | 000,119,666 | ---- | M] () -- C:\Dokumente und Einstellungen\Chef\Desktop\Turnierinfo_2010.pdf [2010.07.08 21:38:58 | 000,000,615 | ---- | M] () -- C:\WINDOWS\win.ini [2010.07.06 18:54:49 | 000,000,442 | R-S- | M] () -- C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\syscron.exe [2010.06.26 11:17:36 | 001,025,822 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.06.26 11:17:36 | 000,459,396 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.06.26 11:17:36 | 000,441,458 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.06.26 11:17:36 | 000,084,722 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.06.26 11:17:36 | 000,071,394 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.07.20 19:21:36 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.07.20 18:35:13 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\Chef\Desktop\CCleaner.lnk [2010.07.12 20:05:42 | 000,119,666 | ---- | C] () -- C:\Dokumente und Einstellungen\Chef\Desktop\Turnierinfo_2010.pdf [2010.07.06 18:54:47 | 000,000,442 | R-S- | C] () -- C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\syscron.exe [2008.10.12 18:35:32 | 000,021,904 | ---- | C] () -- C:\WINDOWS\System32\imsinstall_loc0407.dll [2008.10.12 18:35:32 | 000,017,808 | ---- | C] () -- C:\WINDOWS\System32\imslsp_install_loc0407.dll [2008.10.12 18:35:02 | 000,796,048 | ---- | C] () -- C:\WINDOWS\System32\libeay32_0.9.6l.dll [2008.03.15 00:21:36 | 000,001,838 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2006.05.27 21:29:39 | 000,011,270 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2006.05.27 21:07:25 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2006.01.16 17:34:47 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2006.01.16 17:30:05 | 000,036,736 | ---- | C] () -- C:\WINDOWS\System32\drivers\CSIIDecoder_kern_i386.sys [2006.01.16 17:30:05 | 000,029,184 | ---- | C] () -- C:\WINDOWS\System32\drivers\TSXT_kern_i386.sys [2006.01.16 17:09:28 | 000,000,466 | ---- | C] () -- C:\WINDOWS\TBTdetect.ini [2006.01.16 17:08:10 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2006.01.16 16:23:56 | 000,000,222 | ---- | C] () -- C:\WINDOWS\wininit.ini [2006.01.16 16:20:41 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2006.01.16 16:20:41 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2006.01.16 16:20:41 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2006.01.16 16:20:41 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2006.01.16 16:20:41 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2006.01.16 16:20:41 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2006.01.16 16:17:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\NDSTray.INI [2006.01.16 16:16:57 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\TDispVol.dll [2006.01.16 15:31:11 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\TCtrlIO.dll [2006.01.16 15:20:33 | 000,128,113 | ---- | C] () -- C:\WINDOWS\System32\csellang.ini [2006.01.16 15:20:33 | 000,010,161 | ---- | C] () -- C:\WINDOWS\System32\tosmreg.ini [2006.01.16 15:20:33 | 000,007,671 | ---- | C] () -- C:\WINDOWS\System32\cseltbl.ini [2006.01.16 15:20:32 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\csellang.dll [2006.01.16 15:16:05 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2006.01.16 13:57:10 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini [2006.01.16 13:39:58 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\ToshBIOS.dll [2006.01.16 13:39:58 | 000,000,083 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2006.01.16 13:39:47 | 000,755,200 | ---- | C] () -- C:\WINDOWS\System32\ir50_32.dll [2006.01.16 13:39:47 | 000,338,432 | ---- | C] () -- C:\WINDOWS\System32\ir41_qcx.dll [2006.01.16 13:39:47 | 000,200,192 | ---- | C] () -- C:\WINDOWS\System32\ir50_qc.dll [2006.01.16 13:39:47 | 000,183,808 | ---- | C] () -- C:\WINDOWS\System32\ir50_qcx.dll [2006.01.16 13:39:47 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\ir41_qc.dll [2005.11.29 05:33:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini [2005.09.02 15:44:08 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll [2005.07.22 22:30:20 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll [2004.07.20 18:04:02 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\TosBtHcrpAPI.dll [2004.07.12 23:07:21 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll [2004.01.15 15:43:28 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\TBTMonUI.dll [2004.01.14 03:46:00 | 000,172,032 | ---- | C] () -- C:\WINDOWS\System32\tifmicon.dll [2001.10.10 09:57:58 | 000,073,786 | ---- | C] () -- C:\WINDOWS\System32\dntvmc23.dll [2001.10.10 09:57:58 | 000,061,497 | ---- | C] () -- C:\WINDOWS\System32\dntvm23.dll [2001.03.07 09:02:30 | 000,229,431 | ---- | C] () -- C:\WINDOWS\System32\dnt23.dll < End of report > Plus extra Report: OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 20.07.2010 20:44:29 - Run 1
OTL by OldTimer - Version 3.2.9.1 Folder = C:\Dokumente und Einstellungen\Chef\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1.022,00 Mb Total Physical Memory | 468,00 Mb Available Physical Memory | 46,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,28 Gb Total Space | 24,98 Gb Free Space | 33,63% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: LAPTOP
Current User Name: Chef
NOT logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Müller Foto] -- "C:\Programme\Müller Foto\Müller Foto\Müller Foto.exe" "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00010407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 SR-1 Professional
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{00040407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 SR-1 Disc 2
"{03ED6584-5A5A-4CA3-B61D-741618E510DF}" = Steuer 2008
"{0456ebd7-5f67-4ab6-852e-63781e3f389c}" = Macromedia Flash Player
"{06C71F80-0E30-4E2C-878F-8502AB5AE3BE}" = ATI Catalyst Control Center
"{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}" = mLogView
"{1206EF92-2E83-4859-ACCB-2048C3CB7DA6}" = Sonic DLA
"{12B3A009-A080-4619-9A2A-C6DB151D8D67}" = TOSHIBA Assist
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{2FCE4FC5-6930-40E7-A4F1-F862207424EF}" = InterVideo WinDVD Creator 2
"{3248F0A8-6813-11D6-A77B-00B0D0150040}" = J2SE Runtime Environment 5.0 Update 4
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{369B36BE-3D64-4641-9AEA-808D436FE132}" = Microsoft Picture It! Foto 7.0
"{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA
"{3EB6332B-AF02-457C-A31C-835458C5B48B}" = TOSHIBA Benutzerhandbücher
"{410AB9BC-B057-4D39-9260-660EE1B4BED2}" = Steuer 2009
"{440FB7F6-F5AF-4DF5-8370-9A4D9DCCE344}" = Steuern sparen 2008
"{4497AFF6-98C4-4F49-B073-F48F42BCBF9E}" = TIPCI
"{48CF9A66-5F03-4025-ABD0-B3A3FA095A59}" = TOSHIBA SD-Speicherkarten-Formatierung
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{59624372-3B85-47f4-9B04-4911E551DF1E}" = Lexware Info Service
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6
"{6181E138-C21C-471C-9238-F2F59C314C6C}" = Steuer 2008
"{64212898-097F-4F3F-AECA-6D34A7EF82DF}" = TOSHIBA Zoom-Dienstprogramm
"{64DD71BC-3109-4C88-9AD3-D5422644B722}" = TOSHIBA Hotkey Utility
"{67DABCB4-239C-4E02-805E-DEA0DDCB1926}" = Steuer Hilfesammlung
"{69BE47C2-36FE-4397-8199-85D8EAE69982}" = TOSHIBA TouchPad ON/Off Utility
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{78C68CB9-3DF5-44F3-AB9D-FA305C5EB85C}" = TOSHIBA Utilities
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX
"{8B12BA86-ADAC-4BA6-B441-FFC591087252}" = TOSHIBA Virtual Sound
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8C6BB412-D3A8-4AAE-A01B-35B681789D68}" = mHelp
"{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz
"{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD for TOSHIBA
"{91A10407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office OneNote 2003
"{94658027-9F16-4509-BBD7-A59FE57C3023}" = mZConfig
"{9541FED0-327F-4DF0-8B96-EF57EF622F19}" = Sonic RecordNow!
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{9D765FA6-F2BC-40AF-8145-50808F9BDF4E}" = DVD-RAM-Treiber
"{9FE35071-CAB2-4E79-93E7-BFC6A2DC5C5D}" = CD/DVD Drive Acoustic Silencer
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A6690C0E-B96E-4F0F-A8EB-D5B332454AC6}" = TOSHIBA Controls
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A70500000002}" = Adobe Reader 7.0.8 - Deutsch
"{B754B683-E23C-4583-9312-50AD86836B42}" = Steuer Hilfesammlung
"{BDD83DC9-BEE9-4654-A5DA-CC46C250088D}" = TOSHIBA ConfigFree
"{C06FE949-CB83-433C-89B5-CE15C6EF534A}" = Steuersparer 2007
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C21D5524-A970-42FA-AC8A-59B8C7CDCA31}" = QuickTime
"{C45F4811-31D5-4786-801D-F79CD06EDD85}" = SD-Sicherheitsmodul
"{C4BEEB8C-B9D2-4CD9-A2AA-1F3A1F57DF21}" = Works Suite-Betriebssystem-Pack
"{C4CD208D-E3A2-488B-A4F4-FD8DE3DADD25}_is1" = BMW M3 Challenge
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{D5C8E140-6E6F-11DD-9AA9-0050560400B1}" = Haufe iDesk-Service
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E81667C6-2856-46D6-ABEA-6A2F42166779}" = mCore
"{E96B5F8F-345A-43AF-82E4-5CFEB8616D2D}" = Steuern sparen 2008
"{EDDDC607-91D9-4758-9F57-265FDCD8A772}" = Microsoft Works 7.0
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F48AAE0F-52F4-11DD-B1F7-0050560400B1}" = Haufe iDesk-Browser
"{F6090A17-0967-4A8A-B3C3-422A1B514D49}" = mDrWiFi
"{F7F2DC0A-C22E-49AD-AD37-797309A54E7B}" = Microsoft AutoRoute 2002
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Cam4you utilities" = Cam4you utilities
"Canon Digital Camera USB WIA Driver" = Canon Digital Camera USB WIA Driver
"Exifer_is1" = Exifer
"ie8" = Windows Internet Explorer 8
"InstallShield_{4497AFF6-98C4-4F49-B073-F48F42BCBF9E}" = Texas Instruments PCIxx21/x515/xx12 drivers.
"InstallShield_{C21D5524-A970-42FA-AC8A-59B8C7CDCA31}" = QuickTime
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Müller Foto" = Müller Foto
"Nero - Burning Rom!UninstallKey" = Ahead Nero - Burning Rom
"PC-Diagnose-Tool" = TOSHIBA PC-Diagnose-Tool
"Power Saver" = TOSHIBA Power Saver
"ProInst" = Intel(R) PROSet/Wireless Software
"PROSet" = Intel(R) PRO Network Connections Drivers
"RealPlayer 6.0" = RealPlayer
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TOSHIBA Software Modem" = TOSHIBA Software Modem
"TweakUI" = Tweak UI
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"Works2003Setup" = Microsoft Works 2003-Setup-Start
"ZoneAlarm" = ZoneAlarm
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Move Networks Player - IE" = Move Networks Media Player for Internet Explorer
========== Last 10 Event Log Errors ==========
Error: Unable to start EventLog service!
< End of report >
Und jetzt natürlich die Frage der Fragen: wie geht's weiter? Was könnt ihr mir empfehlen, um die Datei loszuwerden? Im Voraus schonmal ein herzliches  Grüße Markus Geändert von MarkusJ (20.07.2010 um 20:38 Uhr) |
|
21.07.2010, 18:34
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | syscron.exe Hallo und
__________________ Bitte ZoneAlarm deinstallieren, das Teil taugt nichts, ist gefährlich bis kontraproduktiv! Lies einfach mal hier, ich denke dann sollte es etwas klarer werden: personal firewalls ? Wiki ? ubuntuusers.de NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de microsoft.public.de.security.heimanwender FAQ Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen...  Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar? Wenn ZA runter ist: Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":Files" muss mitkopiert werden!!!) Code:
ATTFilter :Files
C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\syscron.exe
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ |
|
21.07.2010, 20:02
| #3 |
| | syscron.exe Guten Abend! :-)
__________________Hab eine gute und eine schlechte Nachricht! :-\ Hab vorhin wie beschrieben OTL gestartet, war leider aber angemeldet ohne Admin-Rechte (...wohl typischer Anfängerfehler...). Scan lief dann zwar kurz an, brachte aber nach wenigen Sekunden eine Fehlermeldung und Abbruch...Logfile gabs dementsprechend nicht... :-( Beim Neustart wurde dann aber das syscron-Fenster NICHT mehr geöffnet (auch bei wiederholtem Neustart). Auch im Autostart-Ordner war die Datei nicht mehr zu finden. Hab die Operation dann aber nochmal mit Admin-Rechten durchgeführt, Logfile anbei: All processes killed ========== FILES ========== File\Folder C:\Dokumente und Einstellungen\Chef\Startmenü\Programme\Autostart\syscron.exe not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Admin ->Temp folder emptied: 18476 bytes ->Temporary Internet Files folder emptied: 19337521 bytes ->Flash cache emptied: 405 bytes User: All Users User: Chef ->Temp folder emptied: 293524507 bytes ->Temporary Internet Files folder emptied: 61007786 bytes ->Java cache emptied: 0 bytes ->Flash cache emptied: 1936597 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: LocalService ->Temp folder emptied: 65536 bytes ->Temporary Internet Files folder emptied: 10221793 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 19569 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 63023641 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 428,00 mb OTL by OldTimer - Version 3.2.9.1 log created on 07212010_204710 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Ist der Patient noch zu retten? ;-) Gruß Markus |
|
22.07.2010, 13:46
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | syscron.exe Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
24.07.2010, 16:00
| #5 |
| | syscron.exe Hallo! :-) Hier die Log-Datei von Combo-Fix: Combofix Logfile: Code:
ATTFilter ComboFix 10-07-23.04 - Admin 24.07.2010 16:47:45.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.525 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\KGyGaAvL.sys
.
((((((((((((((((((((((( Dateien erstellt von 2010-06-24 bis 2010-07-24 ))))))))))))))))))))))))))))))
.
2010-07-22 18:47 . 2010-07-22 18:47 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\AdobeUM
2010-07-21 18:39 . 2010-07-21 18:39 -------- d-----w- C:\_OTL
2010-07-20 18:35 . 2010-07-20 18:35 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Avira
2010-07-20 17:37 . 2010-07-20 17:37 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Malwarebytes
2010-07-20 17:21 . 2010-07-20 17:21 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2010-07-20 17:21 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-20 17:21 . 2010-07-20 17:21 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-07-20 17:21 . 2010-07-20 17:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-20 17:21 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-20 17:18 . 2010-07-20 17:18 -------- d-sh--w- c:\dokumente und einstellungen\Admin\PrivacIE
2010-07-20 17:18 . 2010-07-20 17:19 -------- d-----w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Google
2010-07-20 17:17 . 2010-07-20 17:17 -------- d-----w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Lexware
2010-07-20 17:17 . 2010-07-20 17:17 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Lexware
2010-07-20 16:41 . 2010-07-20 16:41 61752 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-07-20 16:40 . 2010-07-20 16:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2010-07-20 16:35 . 2010-07-20 16:38 -------- d-----w- c:\programme\CCleaner
2010-07-14 18:04 . 2010-06-14 14:31 744448 -c----w- c:\windows\system32\dllcache\helpsvc.exe
2010-07-12 20:15 . 2010-07-21 20:22 -------- d-----w- c:\windows\system32\NtmsData
2010-07-12 20:12 . 2010-07-12 20:12 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Avira
2010-07-12 18:23 . 2010-07-12 18:23 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-07-12 18:23 . 2010-07-12 18:23 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache
2010-06-26 09:22 . 2010-06-26 09:22 501936 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google\Google Toolbar\Update\gtb13E.tmp.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-20 17:17 . 2010-07-20 17:15 73344 ----a-w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-20 17:16 . 2010-07-20 17:16 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Intel
2010-07-20 17:16 . 2010-07-20 17:15 138 ----a-w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2010-06-26 09:17 . 2006-01-16 11:39 84722 ----a-w- c:\windows\system32\perfc007.dat
2010-06-26 09:17 . 2006-01-16 11:39 459396 ----a-w- c:\windows\system32\perfh007.dat
2010-06-14 14:31 . 2006-01-16 11:51 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-05-25 18:38 . 2010-05-25 18:38 -------- d-----w- c:\programme\Exifer
2010-05-06 10:31 . 2006-01-16 11:39 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 10:19 . 2010-05-02 10:18 22377530 ----a-w- c:\windows\Internet Logs\vsmon_on_demand_2010_04_29_23_50_14_full.dmp.zip
2010-05-02 08:05 . 2006-01-16 11:39 1851392 ----a-w- c:\windows\system32\win32k.sys
2006-06-12 05:38 . 2009-03-19 08:06 79 ----a-w- c:\programme\Show Desktop.scf
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-12 39408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CFSServ.exe"="CFSServ.exe -NoClient" [X]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-12-16 761945]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 15691264]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 88203]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-01-05 352256]
"TPSMain"="TPSMain.exe" [2005-08-03 266240]
"NDSTray.exe"="NDSTray.exe" [BU]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"TFncKy"="TFncKy.exe" [BU]
"TDispVol"="TDispVol.exe" [2005-09-16 73728]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-10-06 122940]
"Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 73728]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"Microsoft Works Update Detection"="c:\programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-24 28672]
"Tweak UI"="TWEAKUI.CPL" [2000-06-18 106544]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-08-13 282624]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-10-09 185632]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2008-11-03 339240]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\Chef\Startmen\Programme\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - c:\programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2004-6-17 59080]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
RAMASST.lnk - c:\windows\system32\RAMASST.exe [2007-5-5 155648]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.07.2009 23:33 135336]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [16.02.2010 01:43 135664]
S3 sffp_mmc;SFF-Speicherprotokolltreiber für MMC;c:\windows\system32\drivers\sffp_mmc.sys [13.04.2008 20:40 10240]
.
Inhalt des "geplante Tasks" Ordners
2010-07-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-15 23:41]
2010-07-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-15 23:41]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.sonicjapan.co.jp/oem/toshiba/recordnow
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
Notify-WgaLogon - (no file)
AddRemove-TweakUI - c:\windows\rundll32.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-07-24 16:52
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(848)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-07-24 16:53:34
ComboFix-quarantined-files.txt 2010-07-24 14:53
Vor Suchlauf: 13 Verzeichnis(se), 27.155.537.920 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 28.837.900.288 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - 71F9BD497C93B7783F9D2897171F6B4E
Gruß Markus |
|
26.07.2010, 14:59
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | syscron.exe Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ --> syscron.exe |
|
26.07.2010, 23:48
| #7 |
| | syscron.exe Hi Arne, so, jetzt hat alles geklappt: Logfile mit GMER: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-07-26 23:44:15
Windows 5.1.2600 Service Pack 3
Running: d86bf4ri.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\uxtdapow.sys
---- System - GMER 1.0.15 ----
SSDT F7D5F166 ZwCreateKey
SSDT F7D5F15C ZwCreateThread
SSDT F7D5F16B ZwDeleteKey
SSDT F7D5F175 ZwDeleteValueKey
SSDT F7D5F17A ZwLoadKey
SSDT F7D5F148 ZwOpenProcess
SSDT F7D5F14D ZwOpenThread
SSDT F7D5F184 ZwReplaceKey
SSDT F7D5F17F ZwRestoreKey
SSDT F7D5F170 ZwSetValueKey
---- Kernel code sections - GMER 1.0.15 ----
init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF6A05EBF]
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Udfs \UdfsCdRom DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\meiudf \MeiUDF_Disk DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\meiudf \MeiUDF_CdRom DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Udfs \UdfsDisk DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)
---- EOF - GMER 1.0.15 ----
Logfile mit OSAM: OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 Online Solutions. Complex Protection for Information Systems Saved at 00:38:31 on 27.07.2010 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "HWSETUP.cpl" - "TOSHIBA Corp." - C:\WINDOWS\system32\HWSETUP.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl "LocalCOM.cpl" - "東芝公司" - C:\WINDOWS\system32\LocalCOM.cpl "TOSCDSPD.cpl" - ? - C:\WINDOWS\system32\TOSCDSPD.cpl (File found, but it contains no detailed information) "TPwrSave.cpl" - "TOSHIBA Corporation" - C:\WINDOWS\system32\TPwrSave.cpl "TWEAKUI.CPL" - "Microsoft Corporation" - C:\WINDOWS\system32\TWEAKUI.CPL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "QuickTime" - "Apple Computer, Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl "ToshSrv" - "TOSHIBA Corporation" - C:\Programme\TOSHIBA\TOSHIBA Controls\ToshSrv.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "AEGIS Protocol (IEEE 802.1x) v3.4.9.0" (AegisP) - "Meetinghouse Data Communications" - C:\WINDOWS\System32\DRIVERS\AegisP.sys "ASPI32" (ASPI32) - "Adaptec" - C:\WINDOWS\system32\drivers\ASPI32.sys "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "Bluetooth ACPI from TOSHIBA" (tosrfec) - "TOSHIBA Corporation" - C:\WINDOWS\System32\DRIVERS\tosrfec.sys "catchme" (catchme) - ? - C:\DOKUME~1\Admin\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "DLABOIOM" (DLABOIOM) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLABOIOM.SYS "DLACDBHM" (DLACDBHM) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DLACDBHM.SYS "DLADResN" (DLADResN) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLADResN.SYS "DLAIFS_M" (DLAIFS_M) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAIFS_M.SYS "DLAOPIOM" (DLAOPIOM) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAOPIOM.SYS "DLAPoolM" (DLAPoolM) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAPoolM.SYS "DLARTL_N" (DLARTL_N) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DLARTL_N.SYS "DLAUDFAM" (DLAUDFAM) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAUDFAM.SYS "DLAUDF_M" (DLAUDF_M) - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLAUDF_M.SYS "DRVMCDB" (DRVMCDB) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DRVMCDB.SYS "DRVNDDM" (DRVNDDM) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\DRVNDDM.SYS "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "IVI ASPI Shell" (Iviaspi) - "InterVideo, Inc." - C:\WINDOWS\System32\drivers\iviaspi.sys "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "meiudf" (meiudf) - "Matsushita Electric Industrial Co.,Ltd." - C:\WINDOWS\System32\Drivers\meiudf.sys "Padus ASPI Shell" (Pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "Toshiba Mobile PC Service" (TVALD) - "Toshiba Corporation" - C:\WINDOWS\System32\DRIVERS\NBSMI.sys "TOSHIBA Network Device Usermode I/O Protocol" (Netdevio) - "TOSHIBA Corporation." - C:\WINDOWS\System32\DRIVERS\netdevio.sys "TOSHIBA Virtual Sound with SRS technologies" (Tvs) - "TOSHIBA Corporation" - C:\WINDOWS\System32\DRIVERS\Tvs.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) "WLAN-Transport" (s24trans) - "Intel Corporation" - C:\WINDOWS\System32\DRIVERS\s24trans.sys [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {FCF608CF-5716-47C3-A1A8-991D873AF72B} "Delphi Context Menu Shell Extension Example" - ? - C:\Programme\Exifer\exifershellext.dll (File found, but it contains no detailed information) {5CA3D70E-1895-11CF-8E15-001234567890} "DriveLetterAccess" - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLASHX_W.DLL {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\OFFICE11\msohev.dll {D9872D13-7651-4471-9EEE-F0A00218BEBB} "Multiscan" - ? - (File not found | COM-object registry key not found) {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll {E91B2703-013E-4A99-AD33-2B6FB00AA356} "RecordNow! ContextMenuExt" - ? - C:\Programme\Sonic\RecordNow!\shlext.dll {DEE12703-6333-4D4E-8F34-738C4DCC2E04} "RecordNow! SendToExt" - ? - C:\Programme\Sonic\RecordNow!\shlext.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - ? - C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll {E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll {E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll {E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "eBay" - ? - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (File found, but it contains no detailed information) -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) <binary data> "{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {EDFCB7CB-942C-4822-AF14-F0B687409848} "Image Uploader Control" - "Aurigma, Inc." - C:\WINDOWS\Downloaded Program Files\ImageUploader4.ocx / hxxp://www.lokalisten.de/iup/ImageUploader4.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0_04" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} "Java Plug-in 1.5.0_04" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} "QuickTime Object" - "Apple Computer, Inc." - C:\Programme\QuickTime\QTPlugin.ocx / hxxp://www.apple.com/qtactivex/qtplugin.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10b.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll "ICQ6" - "ICQ, Inc." - C:\Programme\ICQ6\ICQ.exe {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL {77BF5300-1474-4EC7-9980-D32B190E9B07} "Skype" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "Google Toolbar" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll {5CA3D70E-1895-11CF-8E15-001234567890} "DriveLetterAccess" - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLASHX_W.DLL {AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} "Google Toolbar Notifier BHO" - "Google Inc." - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll {22BF413B-C6D2-4d91-82A9-A0F997BA588C} "Skype add-on (mastermind)" - "Skype Technologies S.A." - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "Adobe Reader - Schnellstart.lnk" - "Adobe Systems Incorporated" - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe (Shortcut exists | File exists) "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office\OSA9.EXE (Shortcut exists | File exists) "RAMASST.lnk" - "Matsushita Electric Industrial Co., Ltd." - C:\WINDOWS\system32\RAMASST.exe (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "swg" - "Google Inc." - "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" "TOSCDSPD" - "TOSHIBA" - C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "AGRSMMSG" - "Agere Systems" - AGRSMMSG.exe "ATICCC" - "ATI Technologies Inc." - "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "CFSServ.exe" - ? - CFSServ.exe -NoClient (File not found) "DLA" - "Sonic Solutions" - C:\WINDOWS\System32\DLA\DLACTRLW.EXE "IntelWireless" - "Intel Corporation" - "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless "IntelZeroConfig" - "Intel Corporation" - "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" "LexwareInfoService" - "Lexware GmbH & Co. KG" - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart "Microsoft Works Update Detection" - "Microsoft® Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe "NDSTray.exe" - ? - NDSTray.exe (File not found) "NeroCheck" - "Ahead Software Gmbh" - C:\WINDOWS\system32\NeroCheck.exe "QuickTime Task" - "Apple Computer, Inc." - "C:\Programme\QuickTime\qttask.exe" -atboottime "SmoothView" - "TOSHIBA Corporation" - C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe "TDispVol" - "TOSHIBA Corporation" - TDispVol.exe "TFncKy" - ? - TFncKy.exe (File not found) "THotkey" - "TOSHIBA" - C:\Programme\Toshiba\Toshiba Applet\thotkey.exe "TkBellExe" - "RealNetworks, Inc." - "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot "TPSMain" - "TOSHIBA Corporation" - TPSMain.exe "Tvs" - "TOSHIBA Corporation" - C:\Programme\TOSHIBA\Tvs\TvsTray.exe "Tweak UI" - "Microsoft Corporation" - RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "PDFCreator" - ? - C:\WINDOWS\system32\pdfcmnnt.dll (File found, but it contains no detailed information) "Toshiba Bluetooth Monitor" - "Toshiba America Business Solutions, Inc." - C:\WINDOWS\system32\tbtmon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "ConfigFree Service" (CFSvcs) - "TOSHIBA CORPORATION" - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe "DVD-RAM_Service" (DVD-RAM_Service) - "Matsushita Electric Industrial Co., Ltd." - C:\WINDOWS\system32\DVDRAMSV.exe "Google Software Updater" (gusvc) - "Google" - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe "Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\EvtEng.exe "Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel Corporation" - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe "Intel(R) PROSet/Wireless Service" (S24EventMonitor) - "Intel Corporation " - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "TOSHIBA Application Service" (TAPPSRV) - "TOSHIBA Corp." - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit Online Solutions :: Index Und zu guter Letzt das Ergebnis des bootkit_remover: Bootkit Remover (c) 2009 eSage Lab esage lab - main Program version: 1.1.0.0 OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd Size Device Name MBR Status -------------------------------------------- 74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found) Gruß Markus |
|
27.07.2010, 12:25
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | syscron.exe Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
28.07.2010, 06:26
| #9 |
| | syscron.exe Hallo Arne, anbei das log von Malwarebytes: Malwarebytes' Anti-Malware 1.46 Malwarebytes Datenbank Version: 4359 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 27.07.2010 22:50:43 mbam-log-2010-07-27 (22-50-43).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 249673 Laufzeit: 47 Minute(n), 24 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\usernt.dat (Malware.Trace) -> Quarantined and deleted successfully. Und das von Superantispyware: SUPERAntiSpyware Scan Log SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware! Generated 07/28/2010 at 00:40 AM Application Version : 4.41.1000 Core Rules Database Version : 5275 Trace Rules Database Version: 3087 Scan type : Complete Scan Total Scan Time : 01:28:37 Memory items scanned : 763 Memory threats detected : 0 Registry items scanned : 6432 Registry threats detected : 0 File items scanned : 109524 File threats detected : 29 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Admin\Cookies\admin@tacoda[2].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@revsci[2].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@adfarm1.adition[2].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@advertising[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@atwola[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@atdmt[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@webmasterplan[2].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@zanox[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@doubleclick[2].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@content.yieldmanager[2].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@content.yieldmanager[3].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@interclick[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@at.atwola[2].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@collective-media[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@de.at.atwola[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@serving-sys[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@fastclick[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@mediaplex[2].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@tribalfusion[2].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@msnportal.112.2o7[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@tradedoubler[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@bs.serving-sys[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@ad.yieldmanager[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@apmebf[2].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@traffictrack[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@adtech[1].txt C:\Dokumente und Einstellungen\Admin\Cookies\admin@zanox-affiliate[1].txt adtech.panthercustomer.com [ C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\M5RV6AC3 ] cdn5.specificclick.net [ C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\M5RV6AC3 ] Deine Meinung? Gruß Markus |
|
29.07.2010, 13:54
| #10 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | syscron.exe Das war nur noch ein Überrest und einige Cookies wurden gefunden. Rechner wieder ok?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
30.07.2010, 10:44
| #11 |
| | syscron.exe Hi Arne. Ja, schaut jetzt deutlich besser aus. Keinerlei "komische" Meldungen mehr beim Neustart und der Rechner ist jetzt gefühlt auch 5x so schnell wie vorher. Im TaskManager find ich zwar noch mehrfach die Anwendung svchost.exe, die ja auch in einigen anderen Beiträgen im Board behandelt wird. Aber beim Querlesen der threads hab ich jetzt mal rausgelesen, dass die Anwendung an sich erstmal nicht schädlich ist!?!? Damit schon mal Tausend Dank für deine Hilfe! Warst mir als "Computer-Halblaie" echt ne riesen Hilfe! :-) Gruß Markus |
|
30.07.2010, 15:05
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | syscron.exe Gut, dann bitte die Updates prüfen, hier mein Leitfaden dazu: Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu syscron.exe |
| 0 bytes, 0x00000001, 7 viren, acroiehelper.dll, antivir, bho, canon, components, desktop, dllhost.exe, error, foto.exe, frage, google, helper, home, homepage, iexplore, iexplore.exe, index, internet, java-virus, location, logfile, nt.dll, object, oldtimer, otl.exe, plug-in, prefetch, programm, prozesse, realtek, registry, rundll, saver, security, shell32.dll, software, svchost.exe, syscron, udp, usb, versteckte objekte, verweise, virus gefunden, windows, windows internet, windows internet explorer |
Linear-Darstellung
