|
Plagegeister aller Art und deren Bekämpfung: Log von Malwarebytes, TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.09.2010, 18:35 | #1 |
| Log von Malwarebytes, Trojaner Hallo zusammen, anbei mein Log von Malwarebytes, bin neu hier und hoffe dies genügt nachdem ich alle Anleitungen gelesen habe ;-)) Habe im Forum nach Crypt.IR.50 gesucht und nach Anweisung Malwarebytes laufen gelassen, danach folgt noch OTL. Schon mal großes Danke. raby Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4550 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 05.09.2010 19:10:47 mbam-log-2010-09-05 (19-10-47).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 143892 Laufzeit: 14 Minute(n), 4 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{5843090c-c736-3c10-0aac-c44a95d10e18} (Trojan.BHO) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{3f1cdad3-0a1b-e65e-aa10-2d2fdbede959} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully. |
05.09.2010, 18:57 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Log von Malwarebytes, TrojanerZitat:
Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
05.09.2010, 19:23 | #3 |
| Log von Malwarebytes, Trojaner Edit: sorry, stop, mache erst noch den Vollscan, habe Antwort eben erst gelesen.
__________________raby ***** ...und hier auch die zwei Logs von OTL (leider hat mein Antivir gerade wieder einen Dldr.Agent.bq6 gemeldet, scheint also noch nicht sauber zu sein.) Weiters dickes Danke für die Hilfe. raby. ***deleted*** |
05.09.2010, 21:56 | #4 |
| Log von Malwarebytes, Trojaner so, hier nun Log des Vollscans: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4550 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 05.09.2010 22:55:10 mbam-log-2010-09-05 (22-55-10).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 230121 Laufzeit: 2 Stunde(n), 24 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\Installer\{9CA74E7D-CA06-4A5C-9851-83D15B7B4D59}\IconAD6B62AC3.chm (Trojan.Spambot) -> Quarantined and deleted successfully. |
05.09.2010, 22:21 | #5 |
| Log von Malwarebytes, Trojaner und nun noch die OTL Logs - Antivir meldet weiterhin TL/Dldr.Agent.bq.6..;-(( LOG1:OTL Logfile: Code:
ATTFilter OTL logfile created on: 05.09.2010 23:12:38 - Run 1 OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 512,00 Mb Total Physical Memory | 206,00 Mb Available Physical Memory | 40,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,49 Gb Total Space | 26,22 Gb Free Space | 35,20% Space Free | Partition Type: NTFS Drive D: | 2,22 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: RABY Current User Name: RK Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe (Deutsche Telekom AG) PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\ATI-CPanel\atiptaxx.exe (ATI Technologies, Inc.) PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (Netzmanager Service) -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe (Deutsche Telekom AG) SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (TSMService) -- C:\Programme\T-DSL SpeedManager\tsmsvc.exe (T-Systems Nova, Berkom) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.) DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\rtl8139.sys (Realtek Semiconductor Corporation) DRV - (TNPacket) -- C:\Programme\T-DSL SpeedManager\TNPACKET.SYS (T-Systems Nova GmbH) DRV - (RTL8023) -- C:\WINDOWS\system32\drivers\Rtlnic51.sys (Realtek Semiconductor Corporation ) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (ASAPIW2K) -- C:\WINDOWS\system32\drivers\asapiW2k.sys (Pinnacle Systems GmbH) DRV - (VOBID) -- C:\WINDOWS\System32\DRIVERS\vobid.sys (Pinnacle Systems) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.) DRV - (QV2KUX) -- C:\WINDOWS\system32\drivers\qv2kux.sys (Microsoft Corporation) DRV - (PCANDIS5) -- C:\Programme\T-DSL SpeedManager\PCANDIS5.SYS (Printing Communications Assoc., Inc. (PCAUSA)) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - HKLM\software\mozilla\Mozilla Firefox 3.5.11\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.05 18:23:10 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.5.11\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.05 18:23:10 | 000,000,000 | ---D | M] [2008.08.27 01:35:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Mozilla\Extensions [2010.09.05 19:24:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Mozilla\Firefox\Profiles\yemhtz46.default\extensions [2010.09.04 19:28:43 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Mozilla\Firefox\Profiles\yemhtz46.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.09.05 19:24:59 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.05.30 12:52:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.08.31 12:07:56 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.09.05 18:23:01 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.09.05 18:23:01 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.09.05 18:23:02 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.09.05 18:23:02 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.09.05 18:23:02 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.05.22 13:52:14 | 000,305,721 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 127.0.0.1 123haustiereundmehr.com O1 - Hosts: 10549 more lines... O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O3 - HKCU\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [ATIModeChange] C:\WINDOWS\System32\Ati2mdxx.exe (ATI Technologies, Inc.) O4 - HKLM..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe (ATI Technologies, Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [FirstSteps] File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [NWEReboot] File not found O4 - HKLM..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe () O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [Wizard] File not found O4 - HKCU..\Run: [Getdo] File not found O4 - HKCU..\Run: [Msmfc] C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\trayinx.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SynchronousMachineGroupPolicy = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SynchronousUserGroupPolicy = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: &Google-Suche - c:\programme\google\GoogleToolbar1.dll (Google Inc.) O8 - Extra context menu item: &Ins Deutsche übersetzen - c:\programme\google\GoogleToolbar1.dll (Google Inc.) O8 - Extra context menu item: Ähnliche Seiten - c:\programme\google\GoogleToolbar1.dll (Google Inc.) O8 - Extra context menu item: Im Cache gespeicherte Seite - c:\programme\google\GoogleToolbar1.dll (Google Inc.) O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation) O8 - Extra context menu item: Verweisseiten - c:\programme\google\GoogleToolbar1.dll (Google Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage) O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} https://img.web.de/v/fotoalbum/activex/upload_1115.cab (Upload Control) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} hxxp://software-dl.real.com/031a77bf21ea827c1805/netzip/RdxIE601_de.cab (Reg Error: Key error.) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135427590421 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38109.371412037 (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444500000000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\dimsntfy: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2004.04.01 14:27:58 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{57cfd388-a709-11db-90ae-000ea6919375}\Shell\AutoRun\command - "" = F:\InstallTomTomHOME.exe -- File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.09.05 18:28:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Malwarebytes [2010.09.05 18:28:23 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.09.05 18:28:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.09.05 18:28:19 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.09.05 18:28:19 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.09.05 13:42:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google [2010.09.05 13:42:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google [2010.09.04 19:51:31 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\RK\Recent [2010.09.04 19:44:22 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2010.08.31 12:07:53 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.08.31 12:07:53 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.08.31 12:07:53 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.08.10 21:34:26 | 000,000,000 | ---D | C] -- C:\72536be8471601f1be1166 [2010.08.09 18:55:04 | 000,000,000 | ---D | C] -- C:\Programme\MSXML 6.0 [2010.08.08 22:16:47 | 000,000,000 | ---D | C] -- C:\Programme\PixelNet Foto Client [2010.08.08 21:24:34 | 000,000,000 | ---D | C] -- C:\Programme\Netzmanager [2010.08.08 21:24:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager [2010.08.08 21:15:57 | 000,014,048 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg2.dll [2010.08.08 21:12:11 | 000,000,000 | ---D | C] -- C:\Programme\MSBuild [2010.08.08 21:03:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\XPSViewer [2010.08.08 21:03:47 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\en-us [2010.08.08 21:01:05 | 000,000,000 | ---D | C] -- C:\Programme\Reference Assemblies [2010.08.08 21:00:16 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\xpssvcs.dll [2010.08.08 21:00:16 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\xpssvcs.dll [2010.08.08 21:00:15 | 000,575,488 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\xpsshhdr.dll [2010.08.08 21:00:15 | 000,276,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMPhoto.dll [2010.08.08 21:00:14 | 000,716,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WindowsCodecs.dll [2010.08.08 21:00:14 | 000,352,256 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WindowsCodecsExt.dll [2010.08.08 20:59:57 | 000,117,760 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\prntvpt.dll [2010.08.08 20:59:54 | 000,412,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\photometadatahandler.dll [2010.08.08 20:59:49 | 000,089,088 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\filterpipelineprintproc.dll [2010.08.08 20:59:48 | 000,597,504 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\printfilterpipelinesvc.exe [2010.08.08 20:49:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{290883D4-FF33-4C80-B8FB-E5D5A89C103B} [2010.08.08 20:47:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\PackageAware [1997.09.04 00:00:00 | 000,311,296 | ---- | C] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\msacc8.olb [6 C:\WINDOWS\Fonts\*.tmp files -> C:\WINDOWS\Fonts\*.tmp -> ] [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [244 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.09.05 23:13:06 | 000,001,080 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.09.05 22:59:01 | 000,001,076 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.09.05 22:58:56 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.09.05 22:58:53 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.09.05 22:58:51 | 536,440,832 | -HS- | M] () -- C:\hiberfil.sys [2010.09.05 22:57:39 | 006,815,744 | -H-- | M] () -- C:\Dokumente und Einstellungen\RK\NTUSER.DAT [2010.09.05 22:57:39 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\RK\ntuser.ini [2010.09.05 19:40:13 | 000,021,504 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Eigene Dateien\zgng.xls [2010.09.05 18:28:26 | 000,000,684 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.09.04 20:12:08 | 000,402,060 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Eigene Dateien\cc_20100904_201107.reg [2010.09.04 19:12:34 | 000,160,768 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.09.04 19:06:06 | 000,222,824 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.09.04 18:55:10 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.08.31 20:22:38 | 000,033,101 | ---- | M] () -- C:\Dokumente und Einstellungen\RK\Desktop\BACKUP_Eigene-Dateien.fsy [2010.08.31 11:43:54 | 000,460,664 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.08.31 11:43:54 | 000,442,602 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.08.31 11:43:54 | 000,085,396 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.08.31 11:43:54 | 000,071,868 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.08.31 11:43:53 | 001,029,634 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.08.12 15:41:04 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.08.12 15:40:59 | 000,692,072 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.08.08 21:24:50 | 000,000,772 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [244 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.09.05 18:28:26 | 000,000,684 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.09.04 20:11:29 | 000,402,060 | ---- | C] () -- C:\Dokumente und Einstellungen\RK\Eigene Dateien\cc_20100904_201107.reg [2010.08.31 11:51:20 | 000,353,760 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat [2010.08.08 21:24:50 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Netzmanager.lnk [2009.02.15 17:55:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI [2008.05.31 14:41:29 | 000,000,118 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI [2006.11.30 11:20:59 | 000,000,037 | ---- | C] () -- C:\WINDOWS\easyprint.INI [2006.06.14 14:00:14 | 000,000,190 | ---- | C] () -- C:\WINDOWS\QTW.INI [2006.02.10 23:18:13 | 000,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2006.02.10 23:05:00 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2005.11.17 16:47:13 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll [2005.11.17 16:21:18 | 000,000,021 | ---- | C] () -- C:\Programme\AVPersonalAVWIN.INI [2005.06.16 21:56:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ujbnb.dll [2005.06.16 08:45:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\netuo.dll [2005.06.14 09:37:31 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ztwms.dll [2005.06.11 19:24:52 | 000,000,021 | ---- | C] () -- C:\Programme\AntivirAVWIN.INI [2005.06.10 23:20:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\qruwi.dll [2005.06.10 14:56:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ntwf.dll [2005.06.06 13:14:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\netti.dll [2005.06.04 05:36:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\iejg32.dll [2005.05.29 22:48:38 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini [2005.05.25 04:50:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\d3az.dll [2005.05.18 16:12:03 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2005.05.16 04:12:11 | 000,000,561 | ---- | C] () -- C:\WINDOWS\stammbaum.INI [2004.10.29 19:19:12 | 000,278,528 | ---- | C] () -- C:\WINDOWS\System32\mwtsp.dll [2004.10.03 15:50:02 | 000,003,424 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2004.09.24 16:56:14 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\mwnsp.dll [2004.05.06 20:11:28 | 000,000,490 | ---- | C] () -- C:\WINDOWS\STSBOERS.INI [2004.04.28 22:00:35 | 000,160,768 | ---- | C] () -- C:\Dokumente und Einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2004.04.27 22:06:54 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2004.04.01 14:56:42 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2004.04.01 14:40:35 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2004.04.01 14:33:49 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2004.04.01 14:33:49 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2004.04.01 14:33:49 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2004.04.01 14:33:49 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2004.04.01 14:33:49 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2004.04.01 14:33:49 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [2004.04.01 14:31:44 | 000,000,746 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2004.04.01 14:24:49 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini [2004.02.15 20:43:53 | 000,022,040 | ---- | C] () -- C:\WINDOWS\System32\_005877_.tmp.dll [2004.02.15 20:43:36 | 000,249,270 | ---- | C] () -- C:\WINDOWS\System32\_005909_.tmp.dll [2004.02.15 20:39:55 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll [2002.02.27 17:28:16 | 000,138,752 | ---- | C] () -- C:\WINDOWS\System32\MASE32.DLL [2002.02.27 17:28:16 | 000,057,856 | ---- | C] () -- C:\WINDOWS\System32\MASD32.DLL [2002.02.27 17:28:14 | 000,196,096 | ---- | C] () -- C:\WINDOWS\System32\MACD32.DLL [2002.02.27 17:28:14 | 000,136,192 | ---- | C] () -- C:\WINDOWS\System32\MAMC32.DLL [2002.02.27 17:28:14 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\MA32.DLL [2000.04.03 23:00:00 | 000,130,560 | ---- | C] () -- C:\WINDOWS\System32\ZIPDLL.DLL ========== LOP Check ========== [2004.11.14 20:19:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems [2008.08.31 12:23:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier [2010.08.31 11:56:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager [2008.11.20 12:55:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-DSL SpeedManager [2004.04.27 20:24:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online [2004.05.02 17:02:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online_ZusatzSoftware [2007.05.05 14:39:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom [2010.08.08 21:25:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{290883D4-FF33-4C80-B8FB-E5D5A89C103B} [2010.04.16 22:41:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2004.11.14 20:25:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\ACD Systems [2010.09.05 18:33:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Iccooc [2004.04.28 22:00:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\InterVideo [2010.09.04 19:43:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Micrografx [2006.11.30 10:55:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Pixum [2004.05.31 14:23:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Steinberg [2004.11.01 19:05:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\T-DSL SpeedManager [2004.04.27 20:24:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\T-Online [2010.08.31 10:56:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Udusis [2010.07.25 11:54:56 | 000,000,458 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\wmprfDEU.prx:jeyrvz @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\vb.ini:giocbv @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\rxrgs.dat:yhbmxb @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:mvazje @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:kfmynq @Alternate Data Stream - 63488 bytes -> C:\WINDOWS\bootstat.dat:uapwfs @Alternate Data Stream - 63488 bytes -> C:\WINDOWS\Angler.bmp:yujdvz @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\Zapotek.bmp:tchuht @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\WindowsUpdate.log:refmbw @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\stammbaum.INI:fdkntk @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\REGLOCS.OLD:ghigdy @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\hzbum.txt:clbayo @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\explorer.scf:uogcnj @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\euemp.dat:wwviir @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:lfuvxw @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:hkuhty @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:bkdajo @Alternate Data Stream - 11152 bytes -> C:\WINDOWS\Feder.bmp:pxfokb @Alternate Data Stream - 11152 bytes -> C:\WINDOWS\corelpf.lrs:fmaenp @Alternate Data Stream - 11152 bytes -> C:\WINDOWS\_default.pif:pxizrr < End of report > Log2:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 05.09.2010 23:12:39 - Run 1 OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\RK\Eigene Dateien\drvm\bckp Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 512,00 Mb Total Physical Memory | 206,00 Mb Available Physical Memory | 40,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 75,00% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,49 Gb Total Space | 26,22 Gb Free Space | 35,20% Space Free | Partition Type: NTFS Drive D: | 2,22 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: RABY Current User Name: RK Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation) http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [ACDBrowse] -- "C:\Programme\ACD Systems\ACDSee\6.0\ACDSee6.exe" "%1" (ACD Systems Ltd.) Directory [cmd] -- cmd.exe /k "cd %L" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.) "C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer -- (Microsoft Corporation) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 21 "{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime "{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6 "{3248F0A8-6813-11D6-A77B-00B0D0150090}" = J2SE Runtime Environment 5.0 Update 9 "{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10 "{3248F0A8-6813-11D6-A77B-00B0D0150110}" = J2SE Runtime Environment 5.0 Update 11 "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3 "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5 "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{43B74FAB-FB58-447D-8D3A-5F638AF36FD1}" = Netzmanager "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support "{63357B67-2EC6-4390-B926-A11D0C962344}_is1" = GENprofi - Stammbaum "{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0 "{7148F0A8-6813-11D6-A77B-00B0D0142060}" = Java 2 Runtime Environment, SE v1.4.2_06 "{76BC2442-0002-47FA-9617-43BAD82BEF4C}" = Bonjour "{8283FCCD-AC71-4DC1-A81E-4F244FBBE11D}" = T-Online 5.0 "{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage "{91810AFC-A4F8-4EBA-A5AA-B198BBC81144}" = InterVideo WinDVD "{996A2FAA-7514-4628-9D12-A8FC34A0016E}" = iTunes "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9CA74E7D-CA06-4A5C-9851-83D15B7B4D59}" = Pinnacle InstantCD/DVD Suite "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch "{AC76BA86-7AD7-5670-0000-900000000003}" = Korean Fonts Support For Adobe Reader 9 "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{B5C3B892-0849-476C-9F46-B12F84819D57}" = Apple Mobile Device Support "{B71E1204-64DA-4F27-987C-44B98067734A}" = ACDSee 6.0 Standard Trial "{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{CE325D55-FCAF-4273-BB79-069BB8747270}" = TomTom HOME "{CFE78643-3CDB-46EF-9677-795415937ABB}" = CorelDRAW ESSENTIALS "{DF403CD5-0374-4380-92C2-21A3EB72068B}_is1" = GX::Transcoder.net AWE "{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0 "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{EDDDC607-91D9-4758-9F57-265FDCD8A772}" = Microsoft Works 7.0 "{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729) "{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01 "{F7B0939E-58DF-11DF-B3A6-005056806466}" = Google Earth "{FB26A501-6BA6-459B-89AA-9736730752FB}" = VoiceOver Kit "7-Zip" = 7-Zip 4.42 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Advanced WMA Workshop_is1" = Advanced WMA Workshop version 2.2 "Ahnenblatt" = Ahnenblatt "ATI Display Driver" = ATI Display Driver "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "cam2pc" = cam2pc (remove only) "Cam4you utilities" = Cam4you utilities "CCleaner" = CCleaner "dBpowerAMP Music Converter" = dBpowerAMP Music Converter "ExtractNow_is1" = ExtractNow "FileSync" = FileSync "FileZilla" = FileZilla (remove only) "GedLink Editor Installation" = GedLink Editor Installation "HD Tune_is1" = HD Tune 2.55 "IrfanView" = IrfanView (remove only) "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.5.11)" = Mozilla Firefox (3.5.11) "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "Nero - Burning Rom!UninstallKey" = Nero OEM "Nero BurnRights!UninstallKey" = Ahead Nero BurnRights "NeroBackItUp!UninstallKey" = Nero BackItUp "NeroVision!UninstallKey" = NeroVision Express 2 SE "Netzmanager" = Netzmanager "PixelNet Foto Client" = PixelNet Foto Client 4.8 "Pixum EasyPrint" = Pixum EasyPrint 1.2 "RealPlayer 6.0" = RealPlayer "Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.4 "ST5UNST #1" = FreeFTP "Stammbaum-Drucker 3" = Stammbaum-Drucker 3 "StS-Börse" = StS-Börse "TDSLSM" = T-DSL SpeedManager "The Panorama Factory" = Panorama Factory "T-Online Copas" = T-Online Copas "WIC" = Windows Imaging Component "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "WinGimp-2.0_is1" = The GIMP 2.2.9 "WinGTK-2_is1" = GTK+ 2.6.9 runtime environment "WinZip" = WinZip "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 "XpsEPSC" = XML Paper Specification Shared Components Pack 1.0 ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 09.08.2010 12:33:46 | Computer Name = RABY | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledEvent 69281812 Error - 09.08.2010 12:33:46 | Computer Name = RABY | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 69281812 Error - 09.08.2010 12:33:48 | Computer Name = RABY | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: Continuously busy for more than a second Error - 09.08.2010 12:33:48 | Computer Name = RABY | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledEvent 69284031 Error - 09.08.2010 12:33:48 | Computer Name = RABY | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 69284031 Error - 09.08.2010 12:33:50 | Computer Name = RABY | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: Continuously busy for more than a second Error - 09.08.2010 12:33:50 | Computer Name = RABY | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledEvent 69286218 Error - 09.08.2010 12:33:50 | Computer Name = RABY | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 69286218 Error - 31.08.2010 09:46:57 | Computer Name = RABY | Source = Avira AntiVir | ID = 4118 Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei F:\DCIM\101MSDCF\DSC02665.JPG. [ACCESS_VIOLATION Exception!! EIP = 0x1a71188] Bitte Avira informieren und die obige Datei übersenden! Error - 31.08.2010 09:49:42 | Computer Name = RABY | Source = Avira AntiVir | ID = 4118 Description = AUSNAHMEFEHLER beim Aufruf der Funktion <Scan> für die Datei F:\DCIM\101MSDCF\DSC02718.JPG. [ACCESS_VIOLATION Exception!! EIP = 0x1a71188] Bitte Avira informieren und die obige Datei übersenden! [ System Events ] Error - 31.08.2010 06:25:06 | Computer Name = RABY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht gestartet: %%1079 Error - 31.08.2010 12:55:47 | Computer Name = RABY | Source = Service Control Manager | ID = 7011 Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst AntiVirSchedulerService. Error - 31.08.2010 13:53:18 | Computer Name = RABY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht gestartet: %%1079 Error - 04.09.2010 12:54:47 | Computer Name = RABY | Source = Dhcp | ID = 1000 Description = Die Lease dieses Computers zu der IP-Adresse 192.168.1.3 über die Netzwerkkarte mit der Netzwerkadresse 000EA6919375 ist verloren gegangen. Error - 04.09.2010 13:00:52 | Computer Name = RABY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht gestartet: %%1079 Error - 05.09.2010 07:42:52 | Computer Name = RABY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht gestartet: %%1079 Error - 05.09.2010 13:13:56 | Computer Name = RABY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht gestartet: %%1079 Error - 05.09.2010 13:14:23 | Computer Name = RABY | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: IntelIde Error - 05.09.2010 16:59:14 | Computer Name = RABY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Upload-Manager" wurde aufgrund folgenden Fehlers nicht gestartet: %%1079 Error - 05.09.2010 16:59:41 | Computer Name = RABY | Source = Service Control Manager | ID = 7026 Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen: IntelIde < End of report > |
06.09.2010, 07:43 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Log von Malwarebytes, Trojaner Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL O4 - HKLM..\Run: [FirstSteps] File not found O4 - HKLM..\Run: [NWEReboot] File not found O4 - HKLM..\Run: [Wizard] File not found O4 - HKCU..\Run: [Getdo] File not found O4 - HKCU..\Run: [Msmfc] C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\trayinx.exe () [2005.06.16 21:56:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ujbnb.dll [2005.06.16 08:45:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\netuo.dll [2005.06.14 09:37:31 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ztwms.dll [2005.06.10 23:20:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\qruwi.dll [2005.06.10 14:56:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\ntwf.dll [2005.06.06 13:14:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\netti.dll [2005.06.04 05:36:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\iejg32.dll [2010.08.31 10:56:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Udusis @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\wmprfDEU.prx:jeyrvz @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\vb.ini:giocbv @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\rxrgs.dat:yhbmxb @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:mvazje @Alternate Data Stream - 9237 bytes -> C:\WINDOWS\_default.pif:kfmynq @Alternate Data Stream - 63488 bytes -> C:\WINDOWS\bootstat.dat:uapwfs @Alternate Data Stream - 63488 bytes -> C:\WINDOWS\Angler.bmp:yujdvz @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\Zapotek.bmp:tchuht @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\WindowsUpdate.log:refmbw @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\stammbaum.INI:fdkntk @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\REGLOCS.OLD:ghigdy @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\hzbum.txt:clbayo @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\explorer.scf:uogcnj @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\euemp.dat:wwviir @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:lfuvxw @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:hkuhty @Alternate Data Stream - 11736 bytes -> C:\WINDOWS\_default.pif:bkdajo @Alternate Data Stream - 11152 bytes -> C:\WINDOWS\Feder.bmp:pxfokb @Alternate Data Stream - 11152 bytes -> C:\WINDOWS\corelpf.lrs:fmaenp @Alternate Data Stream - 11152 bytes -> C:\WINDOWS\_default.pif:pxizrr :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ --> Log von Malwarebytes, Trojaner |
06.09.2010, 17:30 | #7 |
| Log von Malwarebytes, Trojaner tnx cosinus ! hier nach dem OTL-Fix das Log: All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\FirstSteps deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NWEReboot deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Wizard deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Getdo deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Msmfc deleted successfully. C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Adobe\Update\trayinx.exe moved successfully. C:\WINDOWS\ujbnb.dll moved successfully. C:\WINDOWS\netuo.dll moved successfully. C:\WINDOWS\ztwms.dll moved successfully. C:\WINDOWS\system32\qruwi.dll moved successfully. C:\WINDOWS\system32\ntwf.dll moved successfully. C:\WINDOWS\system32\netti.dll moved successfully. C:\WINDOWS\system32\iejg32.dll moved successfully. C:\Dokumente und Einstellungen\RK\Anwendungsdaten\Udusis folder moved successfully. ADS C:\WINDOWS\wmprfDEU.prx:jeyrvz deleted successfully. ADS C:\WINDOWS\vb.ini:giocbv deleted successfully. ADS C:\WINDOWS\rxrgs.dat:yhbmxb deleted successfully. ADS C:\WINDOWS\_default.pif:mvazje deleted successfully. ADS C:\WINDOWS\_default.pif:kfmynq deleted successfully. ADS C:\WINDOWS\bootstat.dat:uapwfs deleted successfully. ADS C:\WINDOWS\Angler.bmp:yujdvz deleted successfully. ADS C:\WINDOWS\Zapotek.bmp:tchuht deleted successfully. ADS C:\WINDOWS\WindowsUpdate.log:refmbw deleted successfully. ADS C:\WINDOWS\stammbaum.INI:fdkntk deleted successfully. ADS C:\WINDOWS\REGLOCS.OLD:ghigdy deleted successfully. ADS C:\WINDOWS\hzbum.txt:clbayo deleted successfully. ADS C:\WINDOWS\explorer.scf:uogcnj deleted successfully. ADS C:\WINDOWS\euemp.dat:wwviir deleted successfully. ADS C:\WINDOWS\_default.pif:lfuvxw deleted successfully. ADS C:\WINDOWS\_default.pif:hkuhty deleted successfully. ADS C:\WINDOWS\_default.pif:bkdajo deleted successfully. ADS C:\WINDOWS\Feder.bmpxfokb deleted successfully. ADS C:\WINDOWS\corelpf.lrs:fmaenp deleted successfully. ADS C:\WINDOWS\_default.pifxizrr deleted successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes ->Flash cache emptied: 41 bytes User: LocalService ->Temp folder emptied: 65984 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: remoteservice User: RK ->Temp folder emptied: 167702 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 76321106 bytes ->Flash cache emptied: 1498970 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1075897 bytes %systemroot%\System32 .tmp files removed: 69501768 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 329714 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 142,00 mb OTL by OldTimer - Version 3.2.11.0 log created on 09062010_182355 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
06.09.2010, 19:00 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Log von Malwarebytes, Trojaner Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
11.09.2010, 21:41 | #9 |
| Log von Malwarebytes, Trojaner hallo cosinus, mit etwas Verzögerung wg. Abwesenheit hier nach CCleaner nun der Log von cofi - konnte bei Antivir nur den Guard deaktivieren, irgendwelcher Rest blieb aktiv, auch Dienstekillen war nicht möglich. Hoffe das hat nicht gestört. danke !!! raby Combofix Logfile: Code:
ATTFilter ComboFix 10-09-11.02 - RK 11.09.2010 21:51:51.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.512.231 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\RK\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated) {804E5358-FFA4-00EB-0D24-347CA8A3377C} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000} AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\Downloaded Program Files\RdxIE.dll c:\windows\regedit.com c:\windows\system32\_005866_.tmp.dll c:\windows\system32\_005867_.tmp.dll c:\windows\system32\_005868_.tmp.dll c:\windows\system32\_005869_.tmp.dll c:\windows\system32\_005876_.tmp.dll c:\windows\system32\_005877_.tmp.dll c:\windows\system32\_005878_.tmp.dll c:\windows\system32\_005879_.tmp.dll c:\windows\system32\_005881_.tmp.dll c:\windows\system32\_005882_.tmp.dll c:\windows\system32\_005885_.tmp.dll c:\windows\system32\_005886_.tmp.dll c:\windows\system32\_005888_.tmp.dll c:\windows\system32\_005889_.tmp.dll c:\windows\system32\_005890_.tmp.dll c:\windows\system32\_005892_.tmp.dll c:\windows\system32\_005894_.tmp.dll c:\windows\system32\_005895_.tmp.dll c:\windows\system32\_005896_.tmp.dll c:\windows\system32\_005900_.tmp.dll c:\windows\system32\_005901_.tmp.dll c:\windows\system32\_005903_.tmp.dll c:\windows\system32\_005904_.tmp.dll c:\windows\system32\_005906_.tmp.dll c:\windows\system32\_005907_.tmp.dll c:\windows\system32\_005908_.tmp.dll c:\windows\system32\_005909_.tmp.dll c:\windows\system32\_005910_.tmp.dll c:\windows\system32\_005911_.tmp.dll c:\windows\system32\_005912_.tmp.dll c:\windows\system32\_005915_.tmp.dll c:\windows\system32\_005916_.tmp.dll c:\windows\system32\_005917_.tmp.dll c:\windows\system32\_005918_.tmp.dll c:\windows\system32\_005919_.tmp.dll c:\windows\system32\_005924_.tmp.dll c:\windows\system32\_005926_.tmp.dll c:\windows\system32\taskmgr.com . ((((((((((((((((((((((( Dateien erstellt von 2010-08-11 bis 2010-09-11 )))))))))))))))))))))))))))))) . 2010-09-06 16:23 . 2010-09-06 16:23 -------- d-----w- C:\_OTL 2010-09-05 16:28 . 2010-09-05 16:28 -------- d-----w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Malwarebytes 2010-09-05 16:28 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-05 16:28 . 2010-09-05 16:28 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-09-05 16:28 . 2010-09-05 16:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-09-05 16:28 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-09-05 11:42 . 2010-09-05 11:42 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google 2010-09-05 11:42 . 2010-09-05 11:42 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google 2010-09-04 17:44 . 2010-09-11 19:31 -------- d-----w- c:\programme\CCleaner 2010-08-31 09:51 . 2010-09-04 18:17 353760 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-11 19:21 . 2010-05-01 02:07 664 ----a-w- c:\windows\system32\d3d9caps.dat 2010-09-05 16:33 . 2008-06-25 05:01 -------- d-----w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Iccooc 2010-09-04 17:52 . 2005-06-13 19:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-09-04 17:43 . 2004-09-16 18:54 -------- d-----w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Micrografx 2010-09-04 17:06 . 2005-11-20 16:26 222824 ----a-w- c:\dokumente und einstellungen\RK\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-08-31 15:46 . 2006-02-22 17:44 -------- d-----w- c:\programme\cam2pc 2010-08-31 10:09 . 2004-12-12 17:26 -------- d-----w- c:\programme\Gemeinsame Dateien\Java 2010-08-31 10:07 . 2004-12-12 17:27 -------- d-----w- c:\programme\Java 2010-08-31 09:56 . 2010-08-08 19:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Netzmanager 2010-08-31 09:43 . 2004-02-15 18:44 85396 ----a-w- c:\windows\system32\perfc007.dat 2010-08-31 09:43 . 2004-02-15 18:44 460664 ----a-w- c:\windows\system32\perfh007.dat 2010-08-09 16:55 . 2010-08-09 16:55 -------- d-----w- c:\programme\MSXML 6.0 2010-08-08 20:19 . 2010-08-08 20:16 -------- d-----w- c:\programme\PixelNet Foto Client 2010-08-08 19:25 . 2010-08-08 18:49 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{290883D4-FF33-4C80-B8FB-E5D5A89C103B} 2010-08-08 19:24 . 2010-08-08 19:24 -------- d-----w- c:\programme\Netzmanager 2010-08-08 19:12 . 2010-08-08 19:12 -------- d-----w- c:\programme\MSBuild 2010-08-08 19:01 . 2010-08-08 19:01 -------- d-----w- c:\programme\Reference Assemblies 2010-08-07 10:27 . 2004-04-27 18:35 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2010-08-07 10:17 . 2010-08-07 10:17 503808 ----a-w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3b3be4a2-n\msvcp71.dll 2010-08-07 10:17 . 2010-08-07 10:17 499712 ----a-w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3b3be4a2-n\jmc.dll 2010-08-07 10:17 . 2010-08-07 10:17 12800 ----a-w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a9cbbd-n\decora-d3d.dll 2010-08-07 10:17 . 2010-08-07 10:17 61440 ----a-w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-18a9cbbd-n\decora-sse.dll 2010-08-07 10:17 . 2010-08-07 10:17 348160 ----a-w- c:\dokumente und einstellungen\RK\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-3b3be4a2-n\msvcr71.dll 2010-08-02 18:38 . 2005-09-29 19:43 -------- d-----w- c:\programme\Lavasoft 2010-07-25 10:36 . 2005-06-13 19:26 -------- d-----w- c:\programme\Spybot - Search & Destroy 2010-07-25 10:30 . 2009-05-21 11:03 -------- d-----w- c:\programme\TeaTimer (Spybot - Search & Destroy) 2010-07-25 10:30 . 2009-05-21 11:03 -------- d-----w- c:\programme\SDHelper (Spybot - Search & Destroy) 2010-07-25 09:50 . 2009-05-21 10:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2010-07-17 03:00 . 2010-05-30 10:52 423656 ----a-w- c:\windows\system32\deployJava1.dll 2010-06-14 14:30 . 2004-04-01 12:26 743936 ----a-w- c:\windows\PCHealth\HelpCtr\Binaries\helpsvc.exe 2005-11-17 14:21 . 2005-11-17 14:21 21 ----a-w- c:\programme\AVPersonalAVWIN.INI 2005-06-11 17:24 . 2005-06-11 17:24 21 ----a-w- c:\programme\AntivirAVWIN.INI 1997-09-03 22:00 . 1997-09-03 22:00 311296 ----a-w- c:\programme\Gemeinsame Dateien\msacc8.olb . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672] "ATIPTA"="c:\ati-cpanel\atiptaxx.exe" [2003-12-12 335872] "SoundMan"="SOUNDMAN.EXE" [2003-06-10 55296] "PinnacleDriverCheck"="c:\windows\System32\PSDrvCheck.exe" [2003-11-10 406016] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-03-02 282792] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "SynchronousMachineGroupPolicy"= 0 (0x0) "SynchronousUserGroupPolicy"= 0 (0x0) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ \0 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2010-03-25 23:10 142120 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-03-17 19:53 421888 ----a-w- c:\programme\QuickTime\QTTask.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= R0 VOBID;VOBID;c:\windows\system32\drivers\vobid.sys [01.08.2003 14:47 29239] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.09.2009 22:07 135336] R2 Netzmanager Service;Netzmanager Infrastruktur Informationssystem Dienst;c:\programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe [22.03.2010 16:40 9728] S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [30.05.2010 13:08 136176] S3 TNPacket;T-Systems Nova Packet Capture Driver;c:\programme\T-DSL SpeedManager\TNPACKET.SYS [11.03.2004 18:44 9696] . Inhalt des "geplante Tasks" Ordners 2010-09-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-05-30 11:07] 2010-09-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2010-05-30 11:07] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ mStart Page = uInternet Connection Wizard,ShellNext = hxxp://www.t-online.de/service/redir/tosw5_webtour.htm uInternet Settings,ProxyOverride = *.local IE: &Google-Suche - c:\programme\google\GoogleToolbar1.dll/cmsearch.html IE: &Ins Deutsche übersetzen - c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html IE: Im Cache gespeicherte Seite - c:\programme\google\GoogleToolbar1.dll/cmcache.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000 IE: Verweisseiten - c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html IE: Ähnliche Seiten - c:\programme\google\GoogleToolbar1.dll/cmsimilar.html DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} - hxxps://img.web.de/v/fotoalbum/activex/upload_1115.cab FF - ProfilePath - c:\dokumente und einstellungen\RK\Anwendungsdaten\Mozilla\Firefox\Profiles\yemhtz46.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: network.cookie.cookieBehavior - 0 FF - user.js: privacy.clearOnShutdown.cookies - false FF - user.js: security.warn_viewing_mixed - false FF - user.js: security.warn_viewing_mixed.show_once - false FF - user.js: security.warn_submit_insecure - false FF - user.js: security.warn_submit_insecure.show_once - false c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); . - - - - Entfernte verwaiste Registrierungseinträge - - - - Notify-dimsntfy - (no file) MSConfigStartUp-avserve - c:\windows\avserve.exe MSConfigStartUp-avserve2 - c:\windows\avserve2.exe MSConfigStartUp-mfcgc - c:\windows\system32\mfcgc.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-09-11 22:05 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... c:\windows\_default.pif:udvpin 63488 bytes executable Scan erfolgreich abgeschlossen versteckte Dateien: 1 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2608) c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Avira\AntiVir Desktop\avshadow.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\System32\locator.exe c:\windows\SOUNDMAN.EXE c:\windows\System32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-09-11 22:11:35 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-09-11 20:11 Vor Suchlauf: 24 Verzeichnis(se), 28.222.484.480 Bytes frei Nach Suchlauf: 25 Verzeichnis(se), 28.152.479.744 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn - - End Of File - - 57F34F10DBAAD69B41DB0FF1F88F61BD |
12.09.2010, 20:54 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Log von Malwarebytes, Trojaner Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten |
13.09.2010, 19:54 | #11 |
| Log von Malwarebytes, Trojaner Hallo Arne, nochmal danke bis hierhin, hier die drei logs (Gmer, Osam, Bootkit Remover): raby GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net Rootkit scan 2010-09-13 20:12:15 Windows 5.1.2600 Service Pack 2 Running: 0irm7ig7.exe; Driver: C:\DOKUME~1\RK\LOKALE~1\Temp\ugldrpob.sys ---- System - GMER 1.0.15 ---- SSDT F8C847AE ZwCreateKey SSDT F8C847A4 ZwCreateThread SSDT F8C847B3 ZwDeleteKey SSDT F8C847BD ZwDeleteValueKey SSDT F8C847C2 ZwLoadKey SSDT F8C84790 ZwOpenProcess SSDT F8C84795 ZwOpenThread SSDT F8C847CC ZwReplaceKey SSDT F8C847C7 ZwRestoreKey SSDT F8C847B8 ZwSetValueKey ---- Kernel code sections - GMER 1.0.15 ---- ? Combo-Fix.sys Das System kann die angegebene Datei nicht finden. ! ? C:\DOKUME~1\RK\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ? C:\cofi\catchme.sys Das System kann den angegebenen Pfad nicht finden. ! ? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Das System kann die angegebene Datei nicht finden. ! ? System32\Drivers\hiber_WMILIB.SYS Das System kann den angegebenen Pfad nicht finden. ! ---- Files - GMER 1.0.15 ---- ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP596\A0080067.ini:njljwe 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080183.ini:esqzwh 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080184.ini:njljwe 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080185.INI:btvvfr 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080185.INI:kgijnp 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080186.ini:iodtch 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080187.ini:xqxmuw 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:aqzcda 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:bprjws 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:ophnyw 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:pbyobc 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:rbohdu 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP597\A0080188.pif:udvpin 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083413.INI:kgijnp 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:bprjws 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:ophnyw 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:pbyobc 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:rbohdu 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083414.pif:udvpin 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:ophnyw 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:pbyobc 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:rbohdu 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083424.pif:udvpin 63488 bytes executable ADS C:\System Volume Information\_restore{51A6EF8E-9477-48CD-ACE5-7E3DBF8279D6}\RP610\A0083434.pif:udvpin 63488 bytes executable ADS C:\WINDOWS\_default.pif:udvpin 63488 bytes executable ---- EOF - GMER 1.0.15 ---- OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 20:48:38 on 13.09.2010 OS: Windows XP Home Edition Service Pack 2 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.5.11 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "NeroBurnRights.cpl" - "Ahead Software AG" - C:\WINDOWS\system32\NeroBurnRights.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "AntiVir PersonalEdition Classic Konfiguration" - ? - C:\PROGRA~1\ANTIVI~1\avconfig.cpl (File not found) "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "ASAPIW2K" (ASAPIW2K) - "Pinnacle Systems GmbH" - C:\WINDOWS\System32\Drivers\ASAPIW2K.sys "ASPI32" (ASPI32) - ? - C:\WINDOWS\system32\drivers\ASPI32.sys (File not found) "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\cofi\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "mbr" (mbr) - ? - C:\DOKUME~1\RK\LOKALE~1\Temp\mbr.sys (Hidden registry entry, rootkit activity | File not found) "Padus ASPI Shell" (pfc) - "Padus, Inc." - C:\WINDOWS\System32\drivers\pfc.sys "PCANDIS5 Protocol Driver" (PCANDIS5) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\PROGRA~1\T-DSLS~1\PCANDIS5.SYS "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "T-Systems Nova Packet Capture Driver" (TNPacket) - "T-Systems Nova GmbH" - C:\Programme\T-DSL SpeedManager\TNPACKET.SYS "ugldrpob" (ugldrpob) - ? - C:\DOKUME~1\RK\LOKALE~1\Temp\ugldrpob.sys (Hidden registry entry, rootkit activity | File not found) "VOBID" (VOBID) - "Pinnacle Systems" - C:\WINDOWS\System32\DRIVERS\vobid.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Classes\Protocols\Handler )----- {3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL {CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - ? - C:\Programme\7-Zip\7-zip.dll {F5D92341-0A64-11D0-9956-0000E8096023} "CD Copy Shell Extension" - "Pinnacle Systems, Inc." - C:\WINDOWS\System32\Shellext\CDWshext.dll {F5D92342-0A64-11D0-9956-0000E8096023} "CD Wizard Shell Extension" - "Pinnacle Systems, Inc." - C:\WINDOWS\System32\Shellext\CDWshext.dll "CorelDRAW ESSENTIALS Shell Extension Component" - ? - (File not found | COM-object registry key not found) {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {FED7043D-346A-414D-ACD7-550D052499A7} "dBpShell Class" - ? - C:\Programme\Illustrate\dBpowerAMP\dBShell.dll {2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5} "dMCIShell Class" - ? - C:\Programme\Illustrate\dBpowerAMP\dMCShell.dll {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - c:\WINDOWS\system32\mscoree.dll {F5D92344-0A64-11D0-9956-0000E8096023} "InstantWrite Shellextension" - ? - (File not found | COM-object registry key not found) {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office10\msohev.dll {D9872D13-7651-4471-9EEE-F0A00218BEBB} "Multiscan" - ? - (File not found | COM-object registry key not found) {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - C:\Programme\Real\RealPlayer\rpshell.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL {E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, Inc." - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )----- {32683183-48a0-441b-a342-7c2a440a9478} "{32683183-48a0-441b-a342-7c2a440a9478}" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "&Google" - "Google Inc." - c:\programme\google\googletoolbar1.dll <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) <binary data> "Yahoo! Toolbar" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} "Upload Control" - "WEB.DE AG" - C:\WINDOWS\DOWNLO~1\upload.ocx / https://img.web.de/v/fotoalbum/activex/upload_1115.cab {17492023-C23A-453E-A040-C7C580BBF700} "Windows Genuine Advantage" - "Microsoft® Corporation" - C:\WINDOWS\System32\LegitCheckControl.dll / hxxp://go.microsoft.com/fwlink/?linkid=39204 {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? - (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab {9F1C11AA-197B-4942-BA54-47A8489BB47F} "{9F1C11AA-197B-4942-BA54-47A8489BB47F}" - ? - (File not found | COM-object registry key not found) / hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38109.371412037 {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} "{CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444500000000} "{D27CDB6E-AE6D-11CF-96B8-444500000000}" - ? - (File not found | COM-object registry key not found) / hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? - (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "&Google" - "Google Inc." - c:\programme\google\googletoolbar1.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {AA58ED58-01DD-4d91-8333-CF10577473F7} "Google Toolbar Helper" - "Google Inc." - c:\programme\google\googletoolbar1.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\RK\Startmenü\Programme\Autostart\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" "ATIPTA" - "ATI Technologies, Inc." - C:\ATI-CPanel\atiptaxx.exe "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "PinnacleDriverCheck" - ? - C:\WINDOWS\System32\PSDrvCheck.exe "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Netzmanager Infrastruktur Informationssystem Dienst" (Netzmanager Service) - "Deutsche Telekom AG" - C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe "TSMService" (TSMService) - "T-Systems Nova, Berkom" - C:\Programme\T-DSL SpeedManager\tsmsvc.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.2.0.0 OS Version: Microsoft Windows XP Home Edition Service Pack 2 (build 2600) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`02738a00 Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf Size Device Name MBR Status -------------------------------------------- 74 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit... |
13.09.2010, 21:15 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Log von Malwarebytes, Trojaner 1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. 2.) Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL) Code:
ATTFilter :Files C:\WINDOWS\_default.pif:udvpin :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
14.09.2010, 20:04 | #13 |
| Log von Malwarebytes, Trojaner danke, hier das log: All processes killed ========== FILES ========== File\Folder C:\WINDOWS\_default.pif:udvpin not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: LocalService raby |
14.09.2010, 20:50 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Log von Malwarebytes, Trojaner Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
16.09.2010, 19:08 | #15 |
| Log von Malwarebytes, Trojaner Hi Arne, hier die zwei logs , SASW hat noch was entdeckt und gekillt (aber kritisch ?)): Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4621 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 15.09.2010 22:49:40 mbam-log-2010-09-15 (22-49-40).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 228154 Laufzeit: 3 Stunde(n), 16 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 09/16/2010 at 09:59 AM Application Version : 4.43.1000 Core Rules Database Version : 5516 Trace Rules Database Version: 3328 Scan type : Complete Scan Total Scan Time : 02:48:46 Memory items scanned : 427 Memory threats detected : 0 Registry items scanned : 7315 Registry threats detected : 0 File items scanned : 91090 File threats detected : 3 Trojan.Security Toolbar C:\Dokumente und Einstellungen\RK\Favoriten\Antivirus Test Online.url Rootkit.Agent/Gen-Local C:\PROGRAMME\GXTRANSCODER.NET AWE\ENCODER\OFF.EXE C:\PROGRAMME\GXTRANSCODER.NET AWE\ENCODER\OFR.EXE |
Themen zu Log von Malwarebytes, Trojaner |
adobe, anti-malware, anweisung, dateien, dokumente, einstellungen, explorer, forum, gesucht, großes, hallo zusammen, laufen, log, malwarebytes, mein log, microsoft, minute, neu, service, software, trojan.agent, trojan.bho, trojan.zbotr.gen, trojane, trojaner, update, version, zusammen |