| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTMLWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
27.08.2010, 21:02
| #1 |
 |  Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML hallo, habe seit heute probleme meine internetbrouser am Büro PC zu öffnen. zunächst wurde das system heruntergefahren und ich wurde aufgefordert, meine daten zu speichern, damit diese nicht verloren gehen. konnte nach dem neustart Firefox und Internet Explorer nicht mehr öffnen. nach mehrfachem versuch klappte es noch einmal mit firefox. jetzt geht es auch nicht mehr und ich sitzt jetzt zu hause am laptop. mein antivir hatte heute TR/Crypt.IR.41 erkannt und blockiert, wenn man das so sagen kann. bin nicht sicher ob das wichtig ist, aber in den berichten von antivir wurden auch in den letzten Wochen HTML/Infected1.WebPage.Gen2 und HTML/Crypted.gen erkannt und blockiert. habe versucht wiederherstellungspunkte von windows xp wiederherzustellen, ohne erfolg: "konnten nicht initialisieret werden". habe komplette systemprüfung mit antivir (wurde heute noch 5x automatisch aktualisiert) durchgeführt ohne funde. habe mich dann bei euch angemeldet und Malwarebytes hat folgendes gefunden: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4489 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 27.08.2010 18:02:57 mbam-log-2010-08-27 (18-02-57).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 135541 Laufzeit: 3 Minute(n), 50 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\helper (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Helper\bin\liveu.exe (Trojan.Agent) -> Quarantined and deleted successfully. jetzt bin ich wohl nicht mehr im büro um OTL auszuführen. kann mir jemand helfen? soll ich alle meine passwörter vom internetbanking ändern? die tans hat ja keiner und pins lass ich nie abspeichern vom brouser. schon mal vielen dank!!! gruß,mike |
|
27.08.2010, 21:50
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML Hallo und
__________________ Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
|
28.08.2010, 09:46
| #3 |
| | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML ich werde morgen im büro den OTL scan und vollscan von Malwarebytes durchführen.
__________________nochmal zu meinen sorgen: soll ich alle meine passwörter vom internetbanking ändern (von meinem laptop aus)? die tans hat ja keiner und pins lass ich nie abspeichern vom brouser. danke, mike |
|
29.08.2010, 16:19
| #4 |
| | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML hallo, habe beide scans durchgeführt und zusätzlich noch 2 berichte und 1 scan von antivir, der folgende troyaner gefunden hat: TR/Trash.Gen + TR/Crypt.IR.45'. vielen dank im voraus!!! mike Antivir 29.8.10 Die Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\P56RHOXN\update[1].exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.IR.45' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e30c6eb.qua' verschoben! Antivir 29.8.10 Die Datei 'C:\System Volume Information\_restore{4B857CBE-A774-4885-9CD4-F06CC170CDD3}\RP451\A0047421.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan]. Durchgeführte Aktion(en): Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e44c012.qua' verschoben! Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4500 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 29.08.2010 16:42:12 mbam-log-2010-08-29 (16-42-12).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 201304 Laufzeit: 50 Minute(n), 55 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Avira AntiVir Premium Erstellungsdatum der Reportdatei: Sonntag, 29. August 2010 15:42 Es wird nach 2757613 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : *** Seriennummer : 2204380561-PEPWE-0001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : BÜRO Versionsinformationen: BUILD.DAT : 10.0.0.603 36207 Bytes 19.04.2010 15:44:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 19.04.2010 11:47:57 AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 11:47:57 LUKE.DLL : 10.0.2.3 104296 Bytes 25.03.2010 15:47:01 LUKERES.DLL : 10.0.0.0 13672 Bytes 25.03.2010 15:47:01 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:48:19 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 11:41:07 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:42:38 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:58:30 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 11:25:19 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 14:23:52 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:50:20 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 07:40:17 VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 07:40:17 VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 07:40:17 VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 07:40:17 VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 07:40:17 VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 07:40:17 VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 08:13:01 VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 07:42:39 VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 15:43:49 VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 18:52:40 VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 09:32:12 VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 08:54:06 VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 11:42:02 VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 15:34:21 VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 15:05:13 VBASE022.VDF : 7.10.10.217 118272 Bytes 19.08.2010 09:21:17 VBASE023.VDF : 7.10.10.246 130048 Bytes 23.08.2010 12:38:26 VBASE024.VDF : 7.10.11.11 144896 Bytes 25.08.2010 10:56:04 VBASE025.VDF : 7.10.11.33 135168 Bytes 27.08.2010 12:46:05 VBASE026.VDF : 7.10.11.34 2048 Bytes 27.08.2010 12:46:05 VBASE027.VDF : 7.10.11.35 2048 Bytes 27.08.2010 12:46:05 VBASE028.VDF : 7.10.11.36 2048 Bytes 27.08.2010 12:46:05 VBASE029.VDF : 7.10.11.37 2048 Bytes 27.08.2010 12:46:05 VBASE030.VDF : 7.10.11.38 2048 Bytes 27.08.2010 12:46:05 VBASE031.VDF : 7.10.11.43 26624 Bytes 28.08.2010 10:08:31 Engineversion : 8.2.4.46 AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 07:42:52 AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 26.08.2010 12:42:10 AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 18:23:32 AESBX.DLL : 8.1.3.1 254324 Bytes 26.04.2010 06:20:04 AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 07:13:20 AEPACK.DLL : 8.2.3.5 471412 Bytes 09.08.2010 06:56:42 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 07:32:57 AEHEUR.DLL : 8.1.2.19 2867574 Bytes 26.08.2010 12:42:09 AEHELP.DLL : 8.1.13.3 242038 Bytes 26.08.2010 12:42:05 AEGEN.DLL : 8.1.3.20 397684 Bytes 26.08.2010 12:42:05 AEEMU.DLL : 8.1.2.0 393588 Bytes 26.04.2010 06:20:02 AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 07:13:13 AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2010 06:20:01 AVWINLL.DLL : 10.0.0.0 19304 Bytes 25.03.2010 15:47:00 AVPREF.DLL : 10.0.0.0 44904 Bytes 25.03.2010 15:47:00 AVREP.DLL : 10.0.0.8 62209 Bytes 25.03.2010 15:47:01 AVREG.DLL : 10.0.3.0 53096 Bytes 19.04.2010 11:47:57 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 19.04.2010 11:47:57 AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 11:47:57 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 25.03.2010 15:47:00 SQLITE3.DLL : 3.6.19.0 355688 Bytes 25.03.2010 15:47:01 AVSMTP.DLL : 10.0.0.17 63848 Bytes 25.03.2010 15:47:00 NETNT.DLL : 10.0.0.0 11624 Bytes 25.03.2010 15:47:01 RCIMAGE.DLL : 10.0.0.32 2631528 Bytes 19.04.2010 11:47:57 RCTEXT.DLL : 10.0.53.0 98152 Bytes 19.04.2010 11:47:57 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4cb3b0b4\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Beginn des Suchlaufs: Sonntag, 29. August 2010 15:42 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcIp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcLog.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'eEBSVC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'traybackup.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spamihilator.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPWuSchd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\System Volume Information\_restore{4B857CBE-A774-4885-9CD4-F06CC170CDD3}\RP451\A0047421.exe' C:\System Volume Information\_restore{4B857CBE-A774-4885-9CD4-F06CC170CDD3}\RP451\A0047421.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen Beginne mit der Desinfektion: C:\System Volume Information\_restore{4B857CBE-A774-4885-9CD4-F06CC170CDD3}\RP451\A0047421.exe [FUND] Ist das Trojanische Pferd TR/Trash.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e44c012.qua' verschoben! Ende des Suchlaufs: Sonntag, 29. August 2010 15:44 Benötigte Zeit: 00:00 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 47 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 46 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. OTL Logfile: Code:
ATTFilter OTL logfile created on: 29.08.2010 16:58:32 - Run 2 OTL by OldTimer - Version 3.2.10.0 Folder = D:\Eigene Dateien\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 65,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 82,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 37,11 Gb Total Space | 18,52 Gb Free Space | 49,91% Space Free | Partition Type: NTFS Drive D: | 195,77 Gb Total Space | 177,69 Gb Free Space | 90,77% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Drive J: | 7,47 Gb Total Space | 2,95 Gb Free Space | 39,48% Space Free | Partition Type: FAT32 Computer Name: BÜRO Current User Name: *** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - D:\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD) PRC - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD) PRC - C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe (Check Point Software Technologies) PRC - C:\Programme\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies) PRC - C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\Spamihilator\spamihilator.exe (Michel Krämer) PRC - C:\Programme\TrayBackup\traybackup.exe ((C) Michael Schiel) PRC - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG) PRC - C:\WINDOWS\system32\WgaTray.exe (Microsoft Corporation) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe () PRC - C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe (Sony Ericsson Mobile Communications AB) PRC - C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe (Obigo AB) PRC - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (NVIDIA Corporation) PRC - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (NVIDIA Corporation) PRC - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe (Apache Software Foundation) PRC - C:\WINDOWS\system32\HPZipm12.exe (HP) PRC - C:\Programme\EPSON\ESM2\eEBSvc.exe () PRC - C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - D:\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) MOD - C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll (Check Point Software Technologies) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcp80.dll (Microsoft Corporation) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (vsmon) -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD) SRV - (IswSvc) -- C:\Programme\CheckPoint\ZAForceField\IswSvc.exe (Check Point Software Technologies) SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE (Avira GmbH) SRV - (AntiVirMailService) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira GmbH) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG) SRV - (nSvcIp) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (NVIDIA Corporation) SRV - (nSvcLog) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (NVIDIA Corporation) SRV - (ForcewareWebInterface) -- C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe (Apache Software Foundation) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP) SRV - (EpsonBidirectionalService) -- C:\Programme\EPSON\ESM2\eEBSvc.exe () ========== Driver Services (SafeList) ========== DRV - (ISWKL) -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys (Check Point Software Technologies) DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Check Point Software Technologies LTD) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (nvgts) -- C:\WINDOWS\system32\DRIVERS\nvgts.sys (NVIDIA Corporation) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (se27unic) Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM) -- C:\WINDOWS\system32\drivers\se27unic.sys (MCCI) DRV - (SE27obex) -- C:\WINDOWS\system32\drivers\SE27obex.sys (MCCI) DRV - (se27nd5) Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS) -- C:\WINDOWS\system32\drivers\se27nd5.sys (MCCI) DRV - (SE27mgmt) Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\SE27mgmt.sys (MCCI) DRV - (SE27mdm) -- C:\WINDOWS\system32\drivers\SE27mdm.sys (MCCI) DRV - (SE27mdfl) -- C:\WINDOWS\system32\drivers\SE27mdfl.sys (MCCI) DRV - (SE27bus) Sony Ericsson Device 039 Driver driver (WDM) -- C:\WINDOWS\system32\drivers\SE27bus.sys (MCCI) DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation) DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation) DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices) DRV - (ElgTaDrv) -- C:\WINDOWS\system32\drivers\ElgTaDrv.sys (elmeg Kommunikationstechnik) DRV - (irsir) -- C:\WINDOWS\system32\drivers\irsir.sys (Microsoft Corporation) DRV - (BrPar) -- C:\WINDOWS\System32\drivers\BrPar.sys (Brother Industries Ltd.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\..\URLSearchHook: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZone.dll (Conduit Ltd.) IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultthis.engineName: "ZoneAlarm-Sicherheit Customized Web Search" FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "hxxp://www.comdirect.de/" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {FFB96CC1-7EB3-449D-B827-DB661701C6BB}:1.5.232.0 FF - prefs.js..extensions.enabledItems: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}:2.7.1.3 FF - prefs.js..keyword.URL: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&q=" FF - HKLM\software\mozilla\Firefox\extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Programme\CheckPoint\ZAForceField\TrustChecker [2010.08.18 11:02:18 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.06 14:07:43 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.03.31 18:51:06 | 000,000,000 | ---D | M] [2009.05.22 13:10:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2010.08.27 11:32:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ycqj2had.default\extensions [2010.08.25 10:02:29 | 000,000,000 | ---D | M] (ZoneAlarm-Sicherheit Toolbar) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ycqj2had.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} [2010.06.15 00:31:50 | 000,000,943 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ycqj2had.default\searchplugins\conduit.xml [2010.08.27 11:32:18 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2009.05.22 13:10:04 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2009.05.22 13:10:04 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2009.05.22 13:10:04 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2009.05.22 13:10:04 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2009.05.22 13:10:04 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.12.29 20:08:36 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O2 - BHO: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZone.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3 - HKLM\..\Toolbar: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZone.dll (Conduit Ltd.) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [ISW] C:\Programme\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [Sony Ericsson PC Suite] C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe () O4 - HKLM..\Run: [Spamihilator] C:\Programme\Spamihilator\spamihilator.exe (Michel Krämer) O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe File not found O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD) O4 - HKCU..\Run: [Getdo] File not found O4 - HKCU..\Run: [Resret] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe\Update\hlpcor.exe () O4 - HKCU..\Run: [TrayBackup] C:\Programme\TrayBackup\traybackup.exe ((C) Michael Schiel) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH) O12 - Plugin for: .spop - C:\Programme\Internet Explorer\PLUGINS\NPDocBox.dll (Intertrust Technologies, Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.0.43.33 192.168.2.1 O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.08.05 19:24:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.08.27 17:55:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes [2010.08.27 17:55:12 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.08.27 17:55:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.08.27 17:55:10 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.08.27 17:55:10 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.08.27 14:25:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Helper [2010.08.18 10:41:20 | 000,000,000 | ---D | C] -- D:\Eigene Dateien\ForceField Shared Files [2010.08.18 10:41:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\CheckPoint [2010.08.18 10:40:46 | 000,000,000 | ---D | C] -- C:\Programme\ZoneAlarm-Sicherheit [2010.08.18 10:40:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\ZoneAlarm-Sicherheit [2010.08.18 10:40:46 | 000,000,000 | ---D | C] -- C:\Programme\Conduit [2010.08.18 10:40:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Conduit [2010.08.18 10:40:26 | 000,000,000 | ---D | C] -- C:\Programme\CheckPoint [2010.08.18 10:40:22 | 000,046,592 | ---- | C] (Zone Labs Inc.) -- C:\WINDOWS\System32\vsutil_loc0407.dll [2010.08.18 10:40:21 | 000,058,368 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsregexp.dll [2010.08.18 10:40:20 | 000,103,936 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\zlcommdb.dll [2010.08.18 10:40:20 | 000,069,120 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\zlcomm.dll [2010.08.18 10:40:18 | 000,043,008 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vswmi.dll [2010.08.18 10:40:17 | 001,238,528 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\zpeng25.dll [2010.08.18 10:40:17 | 000,302,592 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vspubapi.dll [2010.08.18 10:40:17 | 000,110,080 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsxml.dll [2010.08.18 10:40:17 | 000,107,520 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsmonapi.dll [2010.08.18 10:40:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\ZoneLabs [2010.08.18 10:40:16 | 000,532,224 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsdatant.sys [2010.08.18 10:38:58 | 000,000,000 | ---D | C] -- C:\Programme\Zone Labs [2010.08.18 10:38:15 | 000,713,728 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsutil.dll [2010.08.18 10:38:15 | 000,228,864 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsinit.dll [2010.08.18 10:38:15 | 000,112,128 | ---- | C] (Check Point Software Technologies LTD) -- C:\WINDOWS\System32\vsdata.dll [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.08.29 16:55:00 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.08.29 16:37:58 | 004,718,592 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT [2010.08.29 16:09:03 | 000,100,352 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.08.29 15:45:49 | 000,002,495 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft Word.lnk [2010.08.29 14:55:00 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.08.29 12:39:30 | 000,733,184 | ---- | M] () -- D:\Eigene Dateien\Mastercraft.xls [2010.08.29 12:13:39 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.08.29 12:13:19 | 000,081,496 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2010.08.29 12:13:13 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.08.29 12:12:56 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.08.29 12:12:01 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini [2010.08.27 17:55:15 | 000,000,680 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.27 14:46:58 | 000,340,992 | ---- | M] () -- D:\Eigene Dateien\Techno1.xls [2010.08.27 14:44:18 | 000,002,523 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Microsoft Excel.lnk [2010.08.27 13:10:12 | 000,000,029 | ---- | M] () -- C:\WINDOWS\standard.sta [2010.08.27 13:06:52 | 002,344,448 | ---- | M] () -- D:\Eigene Dateien\Froca.xls [2010.08.27 11:10:22 | 000,331,264 | ---- | M] () -- D:\Eigene Dateien\Muvantex.xls [2010.08.26 15:09:43 | 000,044,544 | ---- | M] () -- D:\Eigene Dateien\Depla Exklusivität Liste.xls [2010.08.25 13:39:33 | 000,286,720 | ---- | M] () -- D:\Eigene Dateien\Eurotela.xls [2010.08.23 13:55:45 | 000,001,781 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk [2010.08.20 13:31:06 | 000,746,496 | ---- | M] () -- D:\Eigene Dateien\Kontodisposition.xls [2010.08.20 13:29:08 | 000,299,008 | ---- | M] () -- D:\Eigene Dateien\Provision.xls [2010.08.18 10:41:33 | 000,427,421 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml [2010.08.18 10:40:25 | 000,004,212 | -H-- | M] () -- C:\WINDOWS\System32\zllictbl.dat [2010.08.18 10:40:25 | 000,000,715 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\ZoneAlarm Security.lnk [2010.08.10 12:30:43 | 000,027,136 | ---- | M] () -- D:\Eigene Dateien\Mieter Breyeller Str. Krause.doc [2010.08.09 08:59:27 | 000,000,432 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI [2010.08.09 08:59:27 | 000,000,034 | ---- | M] () -- C:\WINDOWS\System32\BD2040.DAT [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.08.27 17:55:15 | 000,000,680 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.08.18 10:40:25 | 000,000,715 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\ZoneAlarm Security.lnk [2010.08.18 10:40:16 | 000,427,421 | ---- | C] () -- C:\WINDOWS\System32\vsconfig.xml [2010.08.05 19:03:41 | 000,027,136 | ---- | C] () -- D:\Eigene Dateien\Mieter Breyeller Str. Krause.doc [2010.04.07 14:36:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\mngui.INI [2009.12.28 15:44:09 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2009.01.02 12:51:01 | 000,038,445 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR [2008.12.03 20:13:12 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008.12.03 17:51:39 | 000,004,767 | ---- | C] () -- C:\WINDOWS\Irremote.ini [2008.11.25 15:12:46 | 000,000,046 | ---- | C] () -- C:\WINDOWS\hmview.ini [2008.11.21 18:41:28 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2008.11.21 17:20:59 | 000,000,741 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log [2008.11.19 18:47:37 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\EEBAPI.dll [2008.11.19 18:47:37 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\EEBDSCVR.dll [2008.11.19 18:47:37 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\EBAPI.dll [2008.11.19 18:39:45 | 000,000,432 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2008.11.19 18:38:01 | 000,000,040 | ---- | C] () -- C:\WINDOWS\BRDIAG.INI [2008.11.19 18:38:01 | 000,000,023 | ---- | C] () -- C:\WINDOWS\Brownie.ini [2008.11.19 18:37:55 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\BROSNMP.DLL [2008.11.19 18:37:55 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC32.DLL [2008.11.19 18:37:55 | 000,004,608 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC16.DLL [2008.11.19 18:37:54 | 000,008,975 | ---- | C] () -- C:\WINDOWS\HL-2040.INI [2008.11.19 18:24:51 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\cmll10sx.dll [2008.11.19 18:24:51 | 000,016,183 | ---- | C] () -- C:\WINDOWS\System32\SELF32.INI [2008.11.19 18:10:56 | 000,100,352 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.11.19 15:29:20 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2006.10.31 08:35:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2006.10.31 08:35:00 | 001,470,464 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2006.10.31 08:35:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2006.10.31 08:35:00 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll [2006.10.31 08:35:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2006.10.31 08:35:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2006.10.31 08:35:00 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll [2006.08.05 19:30:36 | 000,005,917 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2006.08.05 19:30:35 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2001.07.06 16:30:00 | 000,003,254 | ---- | C] () -- C:\WINDOWS\System32\HPTCPMON.INI < End of report > OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 29.08.2010 16:58:32 - Run 2
OTL by OldTimer - Version 3.2.10.0 Folder = D:\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 65,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,11 Gb Total Space | 18,52 Gb Free Space | 49,91% Space Free | Partition Type: NTFS
Drive D: | 195,77 Gb Total Space | 177,69 Gb Free Space | 90,77% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive J: | 7,47 Gb Total Space | 2,95 Gb Free Space | 39,48% Space Free | Partition Type: FAT32
Computer Name: BÜRO
Current User Name: ***
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe" = C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe:*:Enabled:Apache HTTP Server -- (Apache Software Foundation)
"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe" = C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe" = C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard)
"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe" = C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe -- ()
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe" = C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\Programme\Spamihilator\cdcc.exe" = C:\Programme\Spamihilator\cdcc.exe:*:Enabled:Spamihilator DCC Filter Configuration -- ()
"C:\Programme\Spamihilator\dccproc.exe" = C:\Programme\Spamihilator\dccproc.exe:*:Enabled:Spamihilator DCC Filter -- ()
"C:\Programme\Spamihilator\spamihilator.exe" = C:\Programme\Spamihilator\spamihilator.exe:*:Enabled:Spamihilator -- (Michel Krämer)
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon -- (Check Point Software Technologies LTD)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{03B1B42B-F6DE-41d9-8CFF-DC44E895C7A7}" = PhotoGallery
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{0611BD4E-4FE4-4a62-B0C0-18A4CC463428}" = CP_Package_Variety1
"{0711500B-9912-4D60-9A49-C577B4503D42}" = Nero Recode Help
"{07FF7593-9DEA-40B5-9F87-F557E65BBF60}" = Nero Recode
"{09984AEC-6B9F-4ca7-B78D-CB44D4771DA3}" = Destinations
"{0B33B738-AD79-4E32-90C5-E67BFB10BBFF}" = AiO_Scan
"{1122AAC4-AAAA-43BF-B2D4-3C8C12378952}" = Nero InfoTool
"{11A84FCA-C3C7-4AFD-A797-111DB8569DBC}" = Nero BurningROM
"{12345674-DE9A-677A-CCEE-666356D89777}" = Nero BurnRights
"{15EE79F4-4ED1-4267-9B0F-351009325D7D}" = HP Software Update
"{172975EB-9465-4861-95B5-C7BB6D3DE62A}" = DocumentViewer
"{1B040683-C390-4711-ABC7-DA8D85E470E7}" = NeroBurningROM
"{1C139D7D-9FEA-468d-A9C8-2A6E3BDE564A}" = CP_Package_Variety3
"{1F6423DE-7959-4178-80E0-023C7EAA5347}" = NVIDIA ForceWare Network Access Manager
"{21DB3D90-D816-4092-A260-CA3F6B55A6DD}" = Sonic_PrimoSDK
"{23A7B376-BBEC-4e76-BBD7-0F155E70D74B}" = CP_Panorama1Config
"{2466E904-7E48-4597-9321-722CF02930EB}" = 5600
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 11
"{2CADCEAB-D5DA-44D6-B5FC-7DEE87AB3C0C}" = Unload
"{2D3455A8-3B15-41A8-99F8-0D4215746463}" = Nero StartSmart
"{3097B151-1F61-4211-A4CC-D70127B226AE}" = SoundTrax
"{30C19FF2-7FBA-4d09-B9DE-1659977F64F6}" = TrayApp
"{32BDCCB8-9DC8-496d-9DB1-F77510775BDB}" = InstantShareDevices
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36E47DA1-10E1-45d9-8B19-14D19607CDCF}" = CP_CalendarTemplates1
"{3af166b2-aa38-488b-aeb4-e764cf8e2f53}" = Nero 9
"{3F30CC51-0788-487B-AA83-7214A239C0C0}" = Nero Disc Copy Gadget Help
"{4D42353B-533F-4306-AD0B-7FEF292ADE04}" = Nero CoverDesigner Help
"{4E8C27C2-D727-4C00-A90E-C3F6376EEE70}" = Nero ControlCenter
"{53EE9E42-CECB-4C92-BF76-9CA65DAF8F1C}" = FullDPAppQFolder
"{548F99E0-14CC-4D53-A7D6-4A62A5F2C748}" = Nero PhotoSnap
"{54E3707F-808E-4fd4-95C9-15D1AB077E5D}" = NewCopy
"{56BE5CC9-95E6-4128-ABEA-968414CA9C80}" = DolbyFiles
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{56EE8B17-8274-418d-89AC-C057C5DB251E}" = RandMap
"{56F8AFC3-FA98-4ff1-9673-8A026CBF85BE}" = WebReg
"{5A01C58E-B0EC-49b9-AD71-7C0468688087}" = CP_Package_Basic1
"{5A62A775-A29A-4CE1-BBC2-4A9CD0B211EF}" = Nero Live Help
"{5AE12194-3EAA-40DF-B2BF-FE1D6B78BBF4}" = Nero Vision
"{5B622B7A-60FB-4630-B11D-F121D20BCCD6}" = MarketResearch
"{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}" = HP PSC & OfficeJet 5.3.B
"{5C2E8A0F-80E2-4C68-8CC0-D8D16E7196BF}" = Nero RescueAgent Help
"{5C42EAB8-54F9-423A-948C-1CBEF25F8DB4}" = Nero PhotoSnap Help
"{5C9BB0B3-E830-4814-BBA4-D93535E1C7B9}" = Nero Live
"{5F26311C-B135-4F7F-B11E-8E650F83651E}" = DeviceFunctionQFolder
"{66BA8C26-AFE4-4408-807B-43E76B57EF53}" = SkinsHP1
"{66D6F3BD-CA23-41A4-9FA3-96B26B32528D}" = Command & Conquer Die ersten 10 Jahre
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6BB6627C-694F-4FDC-A3E5-C7F4BED4C724}" = DocProc
"{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{75321954-2589-11DC-DDCC-E98356D81493}" = Nero DriveSpeed
"{753973C4-B961-43BF-B2D4-3C8C92F7216E}" = Nero DriveSpeed
"{7850A6D2-CBEA-4728-9877-F1BEDEA9F619}" = AiOSoftware
"{78523651-D8B1-11DC-CCEE-741589645873}" = Nero DiscSpeed
"{7894C695-00FA-4C07-B96B-430EDDE17312}" = Brother HL-2040
"{7C03270C-4FAB-4F5C-B10D-52FEDA190790}" = DocumentViewerQFolder
"{7C9B95B7-B598-4398-B30F-7F6827192E6C}" = ProductContext
"{7E27304E-BAA2-4d90-A34E-76641FAFABB4}" = CP_AtenaShokunin1Config
"{87C51198-5A95-4577-9F47-B953D862FA90}" = EPSON Status Monitor 2
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8BECCB29-DA5E-4002-B211-C3A148E48D63}" = map&guide base
"{8C654BD0-1949-43DE-84F2-EC2A1ABB0CB4}" = Nero ShowTime
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{91130407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Small Business
"{923A7F5A-1E8C-4FBE-8DF6-85940A60A79F}" = Readme
"{943CC0C0-2253-4FE0-9493-DD386F7857FD}" = Nero Express
"{948FFAAE-C57F-447B-9B07-3721E950BFDC}" = Nero ShowTime
"{961D53EA-40DC-4156-AD74-25684CE05F81}" = Nero Installer
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A875B56-A35C-46BA-A3AA-DF8D03EE9F2F}" = Nero ControlCenter
"{9F3523F8-DAD7-AE52-6DA7-45CDDDF33726}" = Advertising Center
"{A195B13E-A5E3-4BAF-A995-7F70F445CD06}" = ScannerCopy
"{A5BB5365-EFB4-44c3-A7E2-EB59B7EFD23D}" = CueTour
"{A73BEC3C-40A0-480E-87EF-EFCD33629088}" = NeroExpress
"{A8399F58-234A-48C6-BA55-30C15738BF3C}" = Nero CoverDesigner
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AAA12554-2589-11DC-92EF-E98356D81493}" = Nero InfoTool
"{AABBCC54-D8B1-11DC-92EF-E98356D81493}" = Nero DiscSpeed
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1.3 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{B2C12C8D-65DC-40BD-B309-5ADB0C6C8D8F}" = Nero WaveEditor
"{B4D279F1-4309-49cc-A4B5-3A0D2E59C7B5}" = PanoStandAlone
"{B824B5C9-849F-4b9e-9EA7-6FD8CD8116DA}" = CP_Package_Variety2
"{B96C2601-52F5-4D5D-816A-63469EA311EF}" = "Nero SoundTrax Help
"{B996AE66-10DB-4ac5-B151-E8B4BFBC42FC}" = BufferChm
"{BCD82AB5-670D-4242-90FA-1F97103C16CD}" = Movie Templates - Starter Kit
"{BFD5AC8A-5884-4da8-9873-3DF8E3DCCE18}" = 5600Trb
"{C151CE54-E7EA-4804-854B-F515368B0798}" = AMD Processor Driver
"{C506A18C-1469-4678-B094-F4EC9DAE6DB7}" = Scan
"{C99C89A3-119A-45E6-B26E-DD5643CAA0C5}" = Menu Templates - Starter Kit
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CC7984C5-020D-4944-85A0-58D09D4A8BFB}" = 5600_Help
"{CD1826A5-CFCC-4C6E-9F9D-E181876162EA}" = Nero Rescue Agent
"{CE24344F-DFD8-40C8-8FD8-C9740B5F25AC}" = Fax
"{D7C206B6-1A63-4389-A8B1-8F607D0BFF1F}" = Nero StartSmart Help
"{E3F90083-80D4-4b5a-87C7-E97E12F5516D}" = HPProductAssistant
"{E4A8DD87-A746-4443-BF25-CAF99CED6767}" = Nero Disc Copy Gadget
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E86156E5-9859-440D-8876-26CED1349802}" = Nero WaveEditor Help
"{EA103B64-C0E4-4C0E-A506-751590E1653D}" = SolutionCenter
"{EA9FFE54-D8B1-11DC-92EF-E98356D81493}" = Nero BurnRights
"{EC25B803-4BDB-47F7-B877-FCE7D7966C0F}" = Visual C++ CRT 9.0 SP1
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F4C2E5F5-2970-45f4-ABD3-C180C4D961C4}" = Status
"{F53F6769-AC46-49E3-ABE3-2C8AFD39D0DD}" = Nero Vision
"{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth
"{FC906D5C-91F9-4DA4-A765-6DCBB669F317}" = Sony Ericsson PC Suite
"7-Zip" = 7-Zip 4.57
"ACT! 2000" = ACT! 2000
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Anmeldesteuer-Online Plus für Windows" = Anmeldesteuer-Online Plus für Windows
"Avira AntiVir Desktop" = Avira AntiVir Premium
"ElsterFormular 11.0.0 11.0.0.***unknown variable buildnummer***" = ElsterFormular 11.0.0
"EPSON-Drucker und Utilities" = EPSON-Drucker-Software
"EvochronAlliance" = EvochronAlliance
"Google Chrome" = Google Chrome
"HP Document Viewer" = HP Document Viewer 5.3
"HP Imaging Device Functions" = HP Imaging Device Functions 5.3
"HP Photo & Imaging" = HP Image Zone 5.3
"HP Solution Center & Imaging Support Tools" = HP Solution Center & Imaging Support Tools 5.3
"HPExtendedCapabilities" = HP Extended Capabilities 5.3
"InstallShield_{1F6423DE-7959-4178-80E0-023C7EAA5347}" = NVIDIA ForceWare Network Access Manager
"InstallShield_{87C51198-5A95-4577-9F47-B953D862FA90}" = EPSON Status Monitor 2
"IrfanView" = IrfanView (remove only)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"NVIDIA Drivers" = NVIDIA Drivers
"Spamihilator" = Spamihilator
"ST6UNST #1" = Alarmstufe Rot 2-Ra2Ru- Editor
"Synchronizer_is1" = Synchronizer - Deinstallation
"Winamp" = Winamp
"Windows XP Service Pack" = Windows XP Service Pack 3
"ZoneAlarm" = ZoneAlarm
"ZoneAlarm Toolbar" = ZoneAlarm Toolbar
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 19.01.2010 03:58:30 | Computer Name = BÜRO | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 27.01.2010 04:08:16 | Computer Name = BÜRO | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 04.02.2010 04:31:28 | Computer Name = BÜRO | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 12.02.2010 03:35:04 | Computer Name = BÜRO | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 16.02.2010 07:59:59 | Computer Name = BÜRO | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung spamihilator.exe, Version 0.9.9.44, fehlgeschlagenes
Modul msvcr90.dll, Version 9.0.30729.1, Fehleradresse 0x0005bb47.
Error - 19.02.2010 04:22:11 | Computer Name = BÜRO | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 28.02.2010 06:08:17 | Computer Name = BÜRO | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 07.03.2010 11:48:11 | Computer Name = BÜRO | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 08.03.2010 15:10:21 | Computer Name = BÜRO | Source = Microsoft Office 10 | ID = 1000
Description = Faulting application outlook.exe, version 10.0.2627.1, faulting module
outlph.dll, version 10.0.2616.0, fault address 0x00007fe8.
Error - 15.03.2010 03:51:12 | Computer Name = BÜRO | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
[ System Events ]
Error - 04.08.2010 03:54:49 | Computer Name = BÜRO | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 05.08.2010 02:54:04 | Computer Name = BÜRO | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 06.08.2010 03:32:36 | Computer Name = BÜRO | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 10.08.2010 03:42:20 | Computer Name = BÜRO | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 11.08.2010 02:20:37 | Computer Name = BÜRO | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 12.08.2010 03:34:39 | Computer Name = BÜRO | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 13.08.2010 03:15:44 | Computer Name = BÜRO | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 17.08.2010 02:39:00 | Computer Name = BÜRO | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 27.08.2010 10:40:10 | Computer Name = BÜRO | Source = Service Control Manager | ID = 7034
Description = Dienst "Gatewaydienst auf Anwendungsebene" wurde unerwartet beendet.
Dies ist bereits 1 Mal passiert.
Error - 27.08.2010 12:05:40 | Computer Name = BÜRO | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
< End of report >
|
|
29.08.2010, 20:23
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML Bitte das sinnfreie ZoneAlarm deinstallieren. Das Teil bringt nichts. Hat sich aber so rumgesprochen ob wohl es sinnfrei bis kontraproduktiv ist. Nutze besser die Windows-Firewall und einen DSL-Router mit Firewall. Mach hiermit weiter, wenn ZoneAlarm deinstalliert wurde: Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
O4 - HKCU..\Run: [Getdo] File not found
O4 - HKCU..\Run: [Resret] C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe\Update\hlpcor.exe ()
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
31.08.2010, 11:57
| #6 |
| | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML habe windows -firewall aktiviert. habe einen router von SMC (ich meiss nicht, ob er eine integriete firewall hat?). eine frage zu meinem laptop: hier gehe ich über UMTS mit meiner handynummer ins internet. soll ich hier auch zone alarm rausnehmen und nur windows firewall nutzen? router dann ich hier nicht einsetzten. danke! musste zwei OTL scans durchführen, weil ich idiot vergessen hatte *** durch meinen namen zu ersetzen. 1.scan: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Getdo deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Resret deleted successfully. File C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe\Update\hlpcor.exe not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 1129624 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: *** ->Temp folder emptied: 4341656 bytes ->Temporary Internet Files folder emptied: 127763464 bytes ->Java cache emptied: 13075830 bytes ->FireFox cache emptied: 35753353 bytes ->Google Chrome cache emptied: 856432 bytes ->Flash cache emptied: 107467 bytes User: NetworkService ->Temp folder emptied: 1063608 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2244925 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 81224490 bytes RecycleBin emptied: 700850587 bytes Total Files Cleaned = 924,00 mb OTL by OldTimer - Version 3.2.10.0 log created on 08312010_123056 Files\Folders moved on Reboot... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DFDFA4.tmp moved successfully. File\Folder C:\WINDOWS\temp\IswTmp\Logs\ISWSHEX.swl not found! File\Folder C:\WINDOWS\temp\ZLT01315.TMP not found! Registry entries deleted on Reboot... 2.scan: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Getdo not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Resret not found. C:\Dokumente und Einstellungen\Mike\Anwendungsdaten\Adobe\Update\hlpcor.exe moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: LocalService ->Temp folder emptied: 1129624 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: *** ->Temp folder emptied: 1811001 bytes ->Temporary Internet Files folder emptied: 34391 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 5338083 bytes ->Google Chrome cache emptied: 0 bytes ->Flash cache emptied: 0 bytes User: NetworkService ->Temp folder emptied: 1063608 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1082179 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 10,00 mb OTL by OldTimer - Version 3.2.10.0 log created on 08312010_123949 Files\Folders moved on Reboot... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\~DFAA51.tmp moved successfully. File\Folder C:\WINDOWS\temp\ZLT053f2.TMP not found! Registry entries deleted on Reboot... |
|
31.08.2010, 12:48
| #7 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTMLZitat:
 Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
31.08.2010, 14:50
| #8 |
| | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML alles durchgeführt. habe jetzt auf dem desktop ein zweites internet explorer zeichen und beim öffnen von der firefox verknüpfung kommt auch internet explorer??? Combofix Logfile: Code:
ATTFilter ComboFix 10-08-30.02 - Mike 31.08.2010 15:29:56.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1791.1310 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Mike\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
FW: ActiveArmor Firewall *disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
((((((((((((((((((((((( Dateien erstellt von 2010-07-28 bis 2010-08-31 ))))))))))))))))))))))))))))))
.
2010-08-31 13:08 . 2010-08-31 13:08 -------- d-----w- c:\programme\CCleaner
2010-08-27 15:55 . 2010-08-27 15:55 -------- d-----w- c:\dokumente und einstellungen\Mike\Anwendungsdaten\Malwarebytes
2010-08-27 15:55 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-27 15:55 . 2010-08-27 15:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-08-27 15:55 . 2010-08-27 15:55 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-08-27 15:55 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-27 12:25 . 2010-08-27 12:25 -------- d-----w- c:\dokumente und einstellungen\Mike\Anwendungsdaten\Helper
2010-08-25 08:02 . 2010-08-19 20:05 52224 ----a-w- c:\dokumente und einstellungen\Mike\Anwendungsdaten\Mozilla\Firefox\Profiles\ycqj2had.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}\components\FFExternalAlert.dll
2010-08-25 08:02 . 2010-08-19 20:05 101376 ----a-w- c:\dokumente und einstellungen\Mike\Anwendungsdaten\Mozilla\Firefox\Profiles\ycqj2had.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}\components\RadioWMPCore.dll
2010-08-18 08:41 . 2010-08-18 08:41 -------- d-----w- c:\dokumente und einstellungen\Mike\Anwendungsdaten\CheckPoint
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-31 12:23 . 2009-01-02 10:38 -------- d-----w- c:\dokumente und einstellungen\Mike\Anwendungsdaten\Spamihilator
2010-08-18 08:40 . 2010-08-18 08:40 -------- d-----w- c:\programme\ZoneAlarm-Sicherheit
2010-08-18 08:40 . 2010-08-18 08:40 -------- d-----w- c:\programme\Conduit
2010-08-18 08:40 . 2010-08-18 08:40 -------- d-----w- c:\programme\CheckPoint
2010-08-18 08:40 . 2008-11-19 14:27 4212 ---ha-w- c:\windows\system32\zllictbl.dat
2010-08-18 08:40 . 2010-08-18 08:38 -------- d-----w- c:\programme\Zone Labs
2010-08-09 06:59 . 2008-11-19 16:39 34 ----a-w- c:\windows\system32\BD2040.DAT
2010-06-28 11:00 . 2010-08-18 08:40 46592 ----a-w- c:\windows\system32\vsutil_loc0407.dll
2010-06-28 10:59 . 2010-08-18 08:40 1238528 ----a-w- c:\windows\system32\zpeng25.dll
2010-06-28 10:59 . 2010-08-18 08:40 69120 ----a-w- c:\windows\system32\zlcomm.dll
2010-06-28 10:59 . 2010-08-18 08:40 103936 ----a-w- c:\windows\system32\zlcommdb.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}"= "c:\programme\ZoneAlarm-Sicherheit\tbZone.dll" [2010-05-09 2517088]
[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]
2010-05-09 09:50 2517088 ----a-w- c:\programme\ZoneAlarm-Sicherheit\tbZone.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}"= "c:\programme\ZoneAlarm-Sicherheit\tbZone.dll" [2010-05-09 2517088]
[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrayBackup"="c:\programme\TrayBackup\traybackup.exe" [2008-11-02 352256]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-31 7634944]
"nwiz"="nwiz.exe" [2006-10-31 1622016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-31 86016]
"RTHDCPL"="RTHDCPL.EXE" [2007-11-22 16858112]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-23 136600]
"Spamihilator"="c:\programme\Spamihilator\spamihilator.exe" [2008-12-23 1321984]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-25 282792]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-23 487424]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2010-06-28 1043968]
"ISW"="c:\programme\CheckPoint\ZAForceField\ForceField.exe" [2010-06-15 738808]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2008-12-20 124928]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\Spamihilator\\cdcc.exe"=
"c:\\Programme\\Spamihilator\\dccproc.exe"=
"c:\\Programme\\Spamihilator\\spamihilator.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [30.10.2009 16:48 337064]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 16:48 135336]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [30.10.2009 16:48 405672]
R2 ISWKL;ZoneAlarm Toolbar ISWKL;c:\programme\CheckPoint\ZAForceField\ISWKL.sys [15.06.2010 17:49 26872]
R2 IswSvc;ZoneAlarm Toolbar IswSvc;c:\programme\CheckPoint\ZAForceField\ISWSVC.exe [15.06.2010 17:49 493048]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.10.2009 17:22 133104]
S3 ElgTaDrv;T-Concept X USB System Driver;c:\windows\system32\drivers\ElgTaDrv.sys [25.11.2008 15:03 73660]
.
Inhalt des "geplante Tasks" Ordners
2010-08-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-10-06 15:22]
2010-08-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-10-06 15:22]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\Office10\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
FF - ProfilePath - c:\dokumente und einstellungen\Mike\Anwendungsdaten\Mozilla\Firefox\Profiles\ycqj2had.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.comdirect.de/
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613550&q=
FF - component: c:\dokumente und einstellungen\Mike\Anwendungsdaten\Mozilla\Firefox\Profiles\ycqj2had.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}\components\FFExternalAlert.dll
FF - component: c:\dokumente und einstellungen\Mike\Anwendungsdaten\Mozilla\Firefox\Profiles\ycqj2had.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}\components\RadioWMPCore.dll
FF - component: c:\programme\CheckPoint\ZAForceField\TrustChecker\components\TrustCheckerMozillaPlugin.dll
FF - plugin: c:\programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll
FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\programme\Google\Update\1.2.183.29\npGoogleOneClick8.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-31 15:32
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(720)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
- - - - - - - > 'lsass.exe'(776)
c:\programme\Avira\AntiVir Desktop\avsda.dll
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
- - - - - - - > 'explorer.exe'(3308)
c:\programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2010-08-31 15:35:04
ComboFix-quarantined-files.txt 2010-08-31 13:35
Vor Suchlauf: 8 Verzeichnis(se), 20.193.447.936 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 20.175.355.904 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - A8C2CBD7C323B9FCAA481824DCCAB2F5
|
|
31.08.2010, 19:46
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML Du hast ZoneAlarm ja immer noch installiert. Sag Bescheid wenn es deinstalliert ist.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
01.09.2010, 11:08
| #10 |
| | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML ne, aber deaktiviert. hab es jetzt deinstalliert. Gruß, Mike |
|
01.09.2010, 13:39
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
02.09.2010, 18:09
| #12 |
| | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML antivir hatte gestern ohne aufforderung einen fund. habe alles aus dem bericht kopiert. ist vielleicht hilfreich? Avira AntiVir Premium Erstellungsdatum der Reportdatei: Mittwoch, 1. September 2010 09:56 Es wird nach 2769444 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : *** Seriennummer : 2204380561-PEPWE-0001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : BÜRO Versionsinformationen: BUILD.DAT : 10.0.0.603 36207 Bytes 19.04.2010 15:44:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 19.04.2010 11:47:57 AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 11:47:57 LUKE.DLL : 10.0.2.3 104296 Bytes 25.03.2010 15:47:01 LUKERES.DLL : 10.0.0.0 13672 Bytes 25.03.2010 15:47:01 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 15:48:19 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 11:41:07 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:42:38 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:58:30 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 11:25:19 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 14:23:52 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:50:20 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 07:40:17 VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 07:40:17 VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 07:40:17 VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 07:40:17 VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 07:40:17 VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 07:40:17 VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 08:13:01 VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 07:42:39 VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 15:43:49 VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 18:52:40 VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 09:32:12 VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 08:54:06 VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 11:42:02 VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 15:34:21 VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 15:05:13 VBASE022.VDF : 7.10.10.217 118272 Bytes 19.08.2010 09:21:17 VBASE023.VDF : 7.10.10.246 130048 Bytes 23.08.2010 12:38:26 VBASE024.VDF : 7.10.11.11 144896 Bytes 25.08.2010 10:56:04 VBASE025.VDF : 7.10.11.33 135168 Bytes 27.08.2010 12:46:05 VBASE026.VDF : 7.10.11.52 148992 Bytes 31.08.2010 08:21:25 VBASE027.VDF : 7.10.11.53 2048 Bytes 31.08.2010 08:21:25 VBASE028.VDF : 7.10.11.54 2048 Bytes 31.08.2010 08:21:25 VBASE029.VDF : 7.10.11.55 2048 Bytes 31.08.2010 08:21:25 VBASE030.VDF : 7.10.11.56 2048 Bytes 31.08.2010 08:21:25 VBASE031.VDF : 7.10.11.63 60416 Bytes 01.09.2010 06:54:17 Engineversion : 8.2.4.46 AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 07:42:52 AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 26.08.2010 12:42:10 AESCN.DLL : 8.1.6.1 127347 Bytes 12.05.2010 18:23:32 AESBX.DLL : 8.1.3.1 254324 Bytes 26.04.2010 06:20:04 AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 07:13:20 AEPACK.DLL : 8.2.3.5 471412 Bytes 09.08.2010 06:56:42 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.07.2010 07:32:57 AEHEUR.DLL : 8.1.2.19 2867574 Bytes 26.08.2010 12:42:09 AEHELP.DLL : 8.1.13.3 242038 Bytes 26.08.2010 12:42:05 AEGEN.DLL : 8.1.3.20 397684 Bytes 26.08.2010 12:42:05 AEEMU.DLL : 8.1.2.0 393588 Bytes 26.04.2010 06:20:02 AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 07:13:13 AEBB.DLL : 8.1.1.0 53618 Bytes 26.04.2010 06:20:01 AVWINLL.DLL : 10.0.0.0 19304 Bytes 25.03.2010 15:47:00 AVPREF.DLL : 10.0.0.0 44904 Bytes 25.03.2010 15:47:00 AVREP.DLL : 10.0.0.8 62209 Bytes 25.03.2010 15:47:01 AVREG.DLL : 10.0.3.0 53096 Bytes 19.04.2010 11:47:57 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 19.04.2010 11:47:57 AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 11:47:57 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 25.03.2010 15:47:00 SQLITE3.DLL : 3.6.19.0 355688 Bytes 25.03.2010 15:47:01 AVSMTP.DLL : 10.0.0.17 63848 Bytes 25.03.2010 15:47:00 NETNT.DLL : 10.0.0.0 11624 Bytes 25.03.2010 15:47:01 RCIMAGE.DLL : 10.0.0.32 2631528 Bytes 19.04.2010 11:47:57 RCTEXT.DLL : 10.0.53.0 98152 Bytes 19.04.2010 11:47:57 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4cbc770e\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Beginn des Suchlaufs: Mittwoch, 1. September 2010 09:56 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'traybackup.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spamihilator.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPWuSchd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcIp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nSvcLog.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'apache.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AVWEBGRD.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'eEBSVC.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\System Volume Information\_restore{4B857CBE-A774-4885-9CD4-F06CC170CDD3}\RP453\A0047593.exe' C:\System Volume Information\_restore{4B857CBE-A774-4885-9CD4-F06CC170CDD3}\RP453\A0047593.exe [FUND] Ist das Trojanische Pferd TR/Crypt.IR.46 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f80a60d.qua' verschoben! Ende des Suchlaufs: Mittwoch, 1. September 2010 09:56 Benötigte Zeit: 00:04 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 43 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 42 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. GMER: habe bei d\: einen haken gemacht, bei c\: (systemlaufwerk) war schon ein haken GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-09-02 18:37:12
Windows 5.1.2600 Service Pack 3
Running: udufudtw.exe; Driver: C:\DOKUME~1\Mike\LOKALE~1\Temp\fgldqpog.sys
---- System - GMER 1.0.15 ----
SSDT A80F73EE ZwCreateKey
SSDT A80F73E4 ZwCreateThread
SSDT A80F73F3 ZwDeleteKey
SSDT A80F73FD ZwDeleteValueKey
SSDT A80F7402 ZwLoadKey
SSDT A80F73D0 ZwOpenProcess
SSDT A80F73D5 ZwOpenThread
SSDT A80F740C ZwReplaceKey
SSDT A80F7407 ZwRestoreKey
SSDT A80F73F8 ZwSetValueKey
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9867380, 0x2468FD, 0xE8000020]
---- EOF - GMER 1.0.15 ----
OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 18:43:47 on 02.09.2010 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.0.19 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "cmmx01.cpl" - "combit GmbH" - C:\WINDOWS\system32\cmmx01.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "main.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\main.cpl "ncpa.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\ncpa.cpl "nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl "nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl "telephon.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\telephon.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Premium " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "ECSEPM" - "Sony Ericsson Mobile Communications AB" - C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\ecsepm.cpl "Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 9\Nero BurnRights\NeroBurnRights_cpl.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "BrPar" (BrPar) - "Brother Industries Ltd." - C:\WINDOWS\System32\drivers\BrPar.sys "catchme" (catchme) - ? - C:\DOKUME~1\Mike\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "fgldqpog" (fgldqpog) - ? - C:\DOKUME~1\Mike\LOKALE~1\Temp\fgldqpog.sys (Hidden registry entry, rootkit activity | File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "T-Concept X USB System Driver" (ElgTaDrv) - "elmeg Kommunikationstechnik" - C:\WINDOWS\System32\Drivers\ElgTaDrv.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {C9E60ED7-FEAE-477b-B6A6-7D62103A0C6B} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? - (File not found | COM-object registry key not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Programme\7-Zip\7-zip.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {42071713-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Bildschirme" - "Microsoft Corporation" - C:\WINDOWS\system32\deskmon.dll {42071712-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Grafikkarten" - "Microsoft Corporation" - C:\WINDOWS\system32\deskadp.dll {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {f92e8c40-3d33-11d2-b1aa-080036a75b03} "Display TroubleShoot CPL Extension" - "Microsoft Corporation" - C:\WINDOWS\system32\deskperf.dll {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {88895560-9AA2-1069-930E-00AA0030EBC8} "HyperTerminal Icon Ext" - "Hilgraeve, Inc." - C:\WINDOWS\system32\hticons.dll {DBCE2480-C732-101B-BE72-BA78E9AD5B27} "ICC-Profil" - "Microsoft Corporation" - C:\WINDOWS\system32\icmui.dll {675F097E-4C4D-11D0-B6C1-0800091AA605} "ICM-Druckerverwaltung" - "Microsoft Corporation" - C:\WINDOWS\system32\icmui.dll {5DB2625A-54DF-11D0-B6C4-0800091AA605} "ICM-Monitorverwaltung" - "Microsoft Corporation" - C:\WINDOWS\System32\icmui.dll {176d6597-26d3-11d1-b350-080036a75b03} "ICM-Scannerverwaltung" - "Microsoft Corporation" - C:\WINDOWS\system32\icmui.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll {97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 9\Nero CoverDesigner\CoverEdExtension.dll {C9E60ED7-FEAE-477b-B6A6-7D62103A0C6B} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll {1CA6BBC9-E9FA-4021-822B-075DF1837B63} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll {4FBFFA8D-F390-471a-AE46-FEB93623AD63} "NeroDigitalInfoHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll {846083A4-BFC6-4447-985C-6578B466A7D7} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll {EDCC595A-F0EE-4d81-B554-D5D01C7AFB87} "NeroDigitalThumbnailHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\SMC\NeroDigitalExt.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL {35786D3C-B075-49b9-88DD-029876E11C01} "Portable Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll {D6791A63-E7E2-4fee-BF52-5DED8E86E9B8} "Portable Devices Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\wpdshext.dll {640167b4-59b0-47a6-b335-a6b3c0695aea} "Portable Media Devices" - "Microsoft Corporation" - C:\WINDOWS\system32\audiodev.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {59be4990-f85c-11ce-aff7-00aa003ca9f6} "Shellerweiterungen für Microsoft Windows-Netzwerkobjekte" - "Microsoft Corporation" - C:\WINDOWS\system32\ntlanui2.dll {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {03DAACC5-10BA-4E3E-9D54-2A569F6B4B87} "Sony Ericsson File Manager" - "Popwire AB" - C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll {738D66C6-0149-4D40-84E4-A7BB2D0CE949} "Sony Ericsson File Manager" - "Popwire AB" - C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_11.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_11.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_11" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_11.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins\Extension )----- "Location" - "Intertrust Technologies, Inc." - C:\Programme\Internet Explorer\Plugins\NPDocBox.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "Microsoft Office.lnk" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\OSA.EXE (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Mike\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "TrayBackup" - "(C) Michael Schiel" - "C:\Programme\TrayBackup\traybackup.exe" /AUTO -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "HP Software Update" - "Hewlett-Packard Co." - C:\Programme\HP\HP Software Update\HPWuSchd2.exe "nwiz" - "NVIDIA Corporation" - nwiz.exe /install "Sony Ericsson PC Suite" - ? - "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions "Spamihilator" - "Michel Krämer" - "C:\Programme\Spamihilator\spamihilator.exe" "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Java\jre6\bin\jusched.exe" [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "EPSON BiD Monitor1" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\EBPMON2.DLL "EPSON BiD Monitor1(1)" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\EBPMON2.dll "HP Standard TCP/IP Port" - "Hewlett Packard" - C:\WINDOWS\system32\HpTcpMon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir MailGuard" (AntiVirMailService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avmailc.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Avira AntiVir WebGuard" (AntiVirWebService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE "EpsonBidirectionalService" (EpsonBidirectionalService) - ? - C:\Programme\EPSON\ESM2\eEBSVC.exe (File found, but it contains no detailed information) "ForceWare IP service" (nSvcIp) - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe "ForceWare user log service" (nSvcLog) - "NVIDIA Corporation" - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe "Forceware Web Interface" (ForcewareWebInterface) - "Apache Software Foundation" - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Nero BackItUp Scheduler 4.0" (Nero BackItUp Scheduler 4.0) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe "Pml Driver HPZ12" (Pml Driver HPZ12) - "HP" - C:\WINDOWS\system32\HPZipm12.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )----- "AVSDA" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avsda.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru remover.exe: habe beim ausführen eine warnung bekommen: ATA_Pass_Through_direct is not supported by your disk controller. SCSI_Pass_Through_direct will be use for disk I/0 nach der ausführung: ATA_Read(): DriceIoControl()ERROR1 232 GB \\.PhysicalDrive0 Unknown boot code Gruß, Mike |
|
02.09.2010, 18:42
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
03.09.2010, 08:39
| #14 |
| | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 3 (build 2600) Logical Drives Mask: 0x000001fc Kernel Drivers (total 122): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806D0000 \WINDOWS\system32\hal.dll 0xBADA8000 \WINDOWS\system32\KDCOM.DLL 0xBACB8000 \WINDOWS\system32\BOOTVID.dll 0xBA778000 ACPI.sys 0xBADAA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xBA767000 pci.sys 0xBA8A8000 isapnp.sys 0xBAE70000 pciide.sys 0xBAB28000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xBA8B8000 MountMgr.sys 0xBA748000 ftdisk.sys 0xBADAC000 dmload.sys 0xBA722000 dmio.sys 0xBAB30000 PartMgr.sys 0xBA8C8000 VolSnap.sys 0xBA70A000 atapi.sys 0xBA6ED000 nvgts.sys 0xBA6D5000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS 0xBA8D8000 disk.sys 0xBA8E8000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xBA6B5000 fltmgr.sys 0xBA6A3000 sr.sys 0xBA8F8000 PxHelp20.sys 0xBA68C000 KSecDD.sys 0xBA5FF000 Ntfs.sys 0xBA5D2000 NDIS.sys 0xBA5B8000 Mup.sys 0xBAAE8000 \SystemRoot\system32\DRIVERS\AmdK8.sys 0xBAB08000 \SystemRoot\system32\DRIVERS\serial.sys 0xBABF8000 \SystemRoot\system32\DRIVERS\irsir.sys 0xBA56A000 \SystemRoot\system32\DRIVERS\irenum.sys 0xB9E9F000 \SystemRoot\system32\DRIVERS\parport.sys 0xBA928000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xBAC00000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xBAC08000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xBA562000 \SystemRoot\system32\DRIVERS\serenum.sys 0xBAC10000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xB9E7B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xBAC18000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xB9E53000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0xBA938000 \SystemRoot\system32\DRIVERS\imapi.sys 0xBA948000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xBA958000 \SystemRoot\system32\DRIVERS\redbook.sys 0xB9E30000 \SystemRoot\system32\DRIVERS\ks.sys 0xBA968000 \SystemRoot\system32\DRIVERS\nvnetbus.sys 0xB9D14000 \SystemRoot\system32\DRIVERS\NVNRM.SYS 0xB9888000 \SystemRoot\system32\DRIVERS\nv4_mini.sys 0xB9874000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xBAFFD000 \SystemRoot\system32\DRIVERS\audstub.sys 0xBAC40000 \SystemRoot\system32\DRIVERS\rasirda.sys 0xBAC48000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xBA998000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xBA552000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xB985D000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xBA9B8000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xB9F43000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xB9833000 \SystemRoot\system32\DRIVERS\psched.sys 0xB9F33000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xB10B7000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xB10A7000 \SystemRoot\system32\DRIVERS\raspti.sys 0xAED9B000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xAFFFB000 \SystemRoot\system32\DRIVERS\termdd.sys 0xBAE36000 \SystemRoot\system32\DRIVERS\swenum.sys 0xAED3D000 \SystemRoot\system32\DRIVERS\update.sys 0xB4C73000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xAEFB9000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xBAA98000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xBADCC000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xBAB18000 \SystemRoot\system32\DRIVERS\NVENETFD.sys 0xAA20F000 \SystemRoot\system32\drivers\RtkHDAud.sys 0xAA16D000 \SystemRoot\system32\drivers\portcls.sys 0xBAAB8000 \SystemRoot\system32\drivers\drmk.sys 0xBAE2E000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xBAEB1000 \SystemRoot\System32\Drivers\Null.SYS 0xBAE1C000 \SystemRoot\System32\Drivers\Beep.SYS 0xB1313000 \SystemRoot\System32\drivers\vga.sys 0xBAE1E000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xBAE20000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xB12A3000 \SystemRoot\System32\Drivers\Msfs.SYS 0xB129B000 \SystemRoot\System32\Drivers\Npfs.SYS 0xAF05A000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xA8420000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xA83C7000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xA8395000 \SystemRoot\system32\DRIVERS\netbt.sys 0xAF04E000 \SystemRoot\System32\drivers\ws2ifsl.sys 0xA8373000 \SystemRoot\System32\drivers\afd.sys 0xB121B000 \SystemRoot\system32\DRIVERS\netbios.sys 0xB12E3000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xA8348000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xA82B0000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xB4401000 \SystemRoot\System32\Drivers\Fips.SYS 0xA828A000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xB43E1000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xAF02A000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0xA8172000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xA820A000 \SystemRoot\system32\DRIVERS\usbscan.sys 0xA7E11000 \SystemRoot\system32\DRIVERS\usbprint.sys 0xA7E09000 \SystemRoot\system32\DRIVERS\HPZius12.sys 0xA6CEB000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xA7558000 \SystemRoot\system32\DRIVERS\HPZid412.sys 0xA7D7D000 \SystemRoot\system32\DRIVERS\HPZipr12.sys 0xA8256000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xA7538000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xA7D6D000 \SystemRoot\System32\Drivers\dump_diskdump.sys 0xA6CA4000 \SystemRoot\System32\Drivers\dump_nvgts.sys 0xBF800000 \SystemRoot\System32\win32k.sys 0xA6D23000 \SystemRoot\System32\drivers\Dxapi.sys 0xA77A6000 \SystemRoot\System32\watchdog.sys 0xBF9C3000 \SystemRoot\System32\drivers\dxg.sys 0xBAE9F000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF9D5000 \SystemRoot\System32\nv4_disp.dll 0xA5E2E000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xA55C8000 \SystemRoot\system32\DRIVERS\irda.sys 0xA9830000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA54AB000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xB44BB000 \SystemRoot\System32\drivers\BrPar.sys 0xBAE4C000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xA53B9000 \SystemRoot\system32\DRIVERS\srv.sys 0xA51EC000 \SystemRoot\system32\drivers\wdmaud.sys 0xA5299000 \SystemRoot\system32\drivers\sysaudio.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 48): 0 System Idle Process 4 System 624 C:\WINDOWS\system32\smss.exe 688 csrss.exe 712 C:\WINDOWS\system32\winlogon.exe 756 C:\WINDOWS\system32\services.exe 768 C:\WINDOWS\system32\lsass.exe 924 C:\Programme\Avira\AntiVir Desktop\avguard.exe 1000 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 1184 C:\WINDOWS\system32\svchost.exe 1232 svchost.exe 1328 C:\WINDOWS\system32\svchost.exe 1432 svchost.exe 1604 svchost.exe 1824 C:\WINDOWS\system32\spoolsv.exe 1872 C:\Programme\Avira\AntiVir Desktop\sched.exe 136 C:\Programme\EPSON\ESM2\eEBSvc.exe 268 C:\Programme\Avira\AntiVir Desktop\avmailc.exe 276 C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe 304 C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe 420 C:\Programme\Java\jre6\bin\jqs.exe 484 C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe 668 C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe 1280 C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe 1316 C:\WINDOWS\system32\nvsvc32.exe 1396 C:\WINDOWS\system32\HPZipm12.exe 1472 C:\WINDOWS\system32\svchost.exe 1684 C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe 2112 C:\WINDOWS\system32\WgaTray.exe 2284 C:\WINDOWS\explorer.exe 2588 C:\WINDOWS\system32\wscntfy.exe 2744 C:\WINDOWS\system32\rundll32.exe 2752 C:\WINDOWS\RTHDCPL.exe 2760 C:\Programme\HP\HP Software Update\hpwuSchd2.exe 2792 C:\Programme\Java\jre6\bin\jusched.exe 2800 C:\Programme\Spamihilator\spamihilator.exe 2840 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 2856 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe 2904 C:\Programme\TrayBackup\traybackup.exe 2912 C:\WINDOWS\system32\ctfmon.exe 3360 alg.exe 1556 C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe 2720 C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe 3052 C:\PROGRA~1\MICROS~1\Office10\OUTLOOK.EXE 492 C:\Programme\Microsoft Office\Office10\WINWORD.EXE 3996 C:\Programme\Messenger\msmsgs.exe 3200 C:\Programme\Mozilla Firefox\firefox.exe 2220 C:\Dokumente und Einstellungen\Mike\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000009`46d85600 (NTFS) PhysicalDrive0 Model Number: SAMSUNGHD250HJ, Rev: FH100-06 Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! |
|
03.09.2010, 10:33
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Internet Brouser funktioniert nicht mehr, habe evtl. Trojaner TR/Crypt.IR.41, HTML |
| adobe, antivir, automatisch, blockiert, brouser, dateien, einstellungen, explorer, firefox, folge, funktioniert nicht, funktioniert nicht mehr, helper, html, internet, internet explorer, liveu.exe, malwarebytes, microsoft, neustart, nicht sicher, probleme, software, system, trojan.agent, trojaner, update, windows, windows xp, ändern |
Linear-Darstellung
