| |
| |||||||
Antiviren-, Firewall- und andere Schutzprogramme: Malwarebytes - was mach ich danach?Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen. |
 |
11.09.2010, 16:58
| #1 |
 |  Malwarebytes - was mach ich danach? Hallo, ich bin mir tatsächlich nicht sicher, ob das Thema woanders schon bearbeitet wurde, also entschuldigfe ich mich, falls dem so ist und bitte, mir dies mitzuteilen. Ich habe gerade Malwarebytes über das System laufen lassen mit dem Ergebnis, dass es 11 Dateien/Infizierungen gab, die Antivir nicht gefunden hat, nachdem ich mich ratlos auf die Suche machte, warum mein Rechenr nach dem hochfahren, gleich wieder herunterfährt und neu startet und warum bei Firefox nicht mehr alles funktioniert. Zuerst habe ich nur den Quickscan laufen lassen und den Rechner neustarten lassen. Das Ergebnis stelle ich mal ans Ende des Beitrag. Dann habe ich gelesen, dass es hier im Forum der "Lang"Scan bevorzugt wird und den laufen lassen (siehe auch Ende). Eben habe ich auch die OTL-Sache gemacht. Was ich wissen möchte ist, war es das? Ist das, was gefunden wurde jetzt auf ewig in die Hölle der Qurantäne verbannt? Oder was muss ich jetzt tun? Der große Scan hat noch mal zwei Infizierungen ans Licht gebracht, wurden die beim Quickscan übersehen oder haben die sich neu eingenistet? Hier das Ergebis des Quickscans: Infizierte Verzeichnisse: 0 Infizierte Dateien: 6 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RapportMgmtService.exe (Security.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RapportService.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msres (Trojan.Riern) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\helper (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{97df59e9-4a2f-01ec-b7ef-a49fba9c396d} (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\.zylomisrtemp1276858004\ZylomGameITemp.exe (Adware.NaviPromo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\.zylomisrtemp1278458122\ZylomGameITemp.exe (Adware.NaviPromo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\tmp050fd6a7\rapport.exe (Spyware.Zbot) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Adobe\Update\cliat.exe (Trojan.Riern) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Adobe\Update\flacor.dat (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Helper\bin\liveu.exe (Trojan.Agent) -> Quarantined and deleted successfully. Hier der große Scan: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4594 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 11.09.2010 17:00:38 mbam-log-2010-09-11 (17-00-38).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 222975 Laufzeit: 1 Stunde(n), 2 Minute(n), 13 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{024A0C6A-BF3F-41E2-8C63-2F1415C2D4D3}\RP312\A0029921.exe (Adware.NaviPromo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully. und die anschließende OTL-Geschichte: erstensOTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 11.09.2010 17:16:40 - Run 1 OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 77,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 90,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 232,88 Gb Total Space | 181,28 Gb Free Space | 77,84% Space Free | Partition Type: NTFS D: Drive not present or media not loaded Drive E: | 970,13 Mb Total Space | 786,77 Mb Free Space | 81,10% Space Free | Partition Type: FAT F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: YYY Current User Name: XXX Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "D:\Installation\Setupx.exe" = D:\Installation\Setupx.exe:*:Enabled:Nero ProductSetup -- File not found "C:\WINDOWS\system32\usmt\migwiz.exe" = C:\WINDOWS\system32\usmt\migwiz.exe:*:Enabled:Assistent zum Übertragen von Dateien und Einstellungen -- (Microsoft Corporation) "C:\Programme\Nero\Nero 7\Nero Home\NeroHome.exe" = C:\Programme\Nero\Nero 7\Nero Home\NeroHome.exe:*:Enabled:Nero Home -- (Nero AG) "C:\WINDOWS\Temp\KD_installer.exe" = C:\WINDOWS\Temp\KD_installer.exe:*:Enabled:Kabel Deutschland Installer -- (mquadr.at software engineering & consulting GmbH - Web: hxxp://www.mquadr.at - Mail: office@mquadr.at) "C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager -- File not found "C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer -- (RealNetworks, Inc.) "C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.) "C:\Programme\Gemeinsame Dateien\Ahead\Nero Web\SetupX.exe" = C:\Programme\Gemeinsame Dateien\Ahead\Nero Web\SetupX.exe:*:Enabled:Nero ProductSetup -- (Nero AG) "C:\Dokumente und Einstellungen\Rainer\Eigene Dateien\Downloads\VLC_Player_Setup.exe" = C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Downloads\VLC_Player_Setup.exe:*:Enabled:VLC Media Player -- File not found "C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer -- (Microsoft Corporation) "C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Mozilla Firefox -- (Mozilla Corporation) "C:\Programme\Mozilla Thunderbird\thunderbird.exe" = C:\Programme\Mozilla Thunderbird\thunderbird.exe:*:Enabled:Mozilla Thunderbird -- (Mozilla Messaging) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00010407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Professional "{0A999E7E-6E86-4E1D-B032-1CF2B63039DE}" = Let's EDIT 2 "{1A103D70-5C9B-4E1A-B306-5106C68F9914}" = Microsoft Plus! Dancer LE "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 21 "{2E99559E-7AC6-4545-B99B-86375F515BF6}" = Lets EDIT 3D RT "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{52809086-618D-4F0B-8BF1-B75A5BB817A4}" = Sony Ericsson PC Suite "{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml "{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5 "{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update "{7235252A-39A3-4889-AF58-18B82040310E}" = AVEO USB2.0 PC Camera "{757AD3D4-036B-42FA-B0A4-96BD6F4605A0}" = Ulead VideoStudio 7 SE VCD "{8B7917E0-AF55-4E8A-9473-017F0AA03AC8}" = QuickTime "{8C453F13-6877-4D34-8816-009ABDE306DB}" = Prince of Persia The Sands of Time "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9AFC93C3-EEE0-497C-9341-27753FAC7233}" = Prince of Persia The Two Thrones "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.5 - Deutsch "{AC76BA86-7AD7-1031-7B44-A81300000003}_814" = KB408682 "{ADC20BE6-8CA6-4989-B3E8-68EBD2AF1031}" = Nero 7 Essentials "{B8281D46-D846-4BB9-BC84-F1115A7BF820}" = Maxtor Manager "{B83FC356-B7C0-441F-8A4D-D71E088E7974}" = NVIDIA PhysX "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{DFFE2B1F-07E0-45A9-8801-CD8514CAA876}" = Prince of Persia T2T "{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F722E488-A5B5-47ff-AA9B-4DE6CE7914CA}" = Windows 7 Upgrade Advisor "3B18191663CDFABAA2A93D4267E54D683153FF60" = Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0) "ABBYY FineReader 4.0 Sprint" = ABBYY FineReader 4.0 Sprint "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.5 "Ankh" = Ankh "AudibleDownloadManager" = Audible Download Manager "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "B991B020-2968-11D8-AF23-444553540000_is1" = FreeMind "Das Große Bertelsmann Lexikon 2001 OEM" = Das Große Bertelsmann Lexikon 2001 OEM "Delicious Deluxe" = Delicious Deluxe "doPDF 7 printer_is1" = doPDF 7.1 printer "fol1024 Screensaver" = fol1024 Screensaver "Free Sound Recorder" = Free Sound Recorder "Froggy Castle 2 Deluxe" = Froggy Castle 2 Deluxe "Google Chrome" = Google Chrome "ie8" = Windows Internet Explorer 8 "InfraRecorder" = InfraRecorder "InstallShield_{B8281D46-D846-4BB9-BC84-F1115A7BF820}" = Maxtor Manager "InterActual Player" = InterActual Player "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mobile Partner" = Mobile Partner "Mortimer Beckett Deluxe" = Mortimer Beckett Deluxe "Mozilla Firefox (3.6.9)" = Mozilla Firefox (3.6.9) "Mozilla Thunderbird (3.1.2)" = Mozilla Thunderbird (3.1.2) "MPE" = MyPhoneExplorer "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "MSNINST" = MSN "NVIDIA Drivers" = NVIDIA Drivers "Plustek USB Scanner" = Plustek USB Scanner "RealPlayer 6.0" = RealPlayer Basic "WIC" = Windows Imaging Component "Windows Media Encoder 9" = Windows Media Encoder 9-Reihe "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Service Pack" = Windows XP Service Pack 3 "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 07.09.2010 04:51:23 | Computer Name = YYY | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3855, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 07.09.2010 04:58:19 | Computer Name = YYY| Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3855, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 07.09.2010 05:02:41 | Computer Name = YYY | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3855, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 07.09.2010 05:06:53 | Computer Name = YYY | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3855, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 07.09.2010 05:39:42 | Computer Name = YYY | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3855, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 07.09.2010 07:18:00 | Computer Name = YYY | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3855, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 07.09.2010 11:20:39 | Computer Name = YYY | Source = ESENT | ID = 490 Description = svchost (1112) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien. Error - 08.09.2010 09:41:05 | Computer Name = YYY | Source = Google Update | ID = 20 Description = Error - 08.09.2010 10:41:05 | Computer Name = YYY | Source = Google Update | ID = 20 Description = Error - 09.09.2010 10:16:03 | Computer Name = YYY | Source = ESENT | ID = 490 Description = svchost (1120) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb" für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien. [ System Events ] Error - 09.09.2010 10:18:25 | Computer Name = YYY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden Fehlers nicht gestartet: %%1058 Error - 09.09.2010 13:15:44 | Computer Name = YYY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden Fehlers nicht gestartet: %%1058 Error - 10.09.2010 04:29:39 | Computer Name = YYY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden Fehlers nicht gestartet: %%1058 Error - 10.09.2010 08:51:22 | Computer Name = YYY | Source = Dhcp | ID = 1000 Description = Die Lease dieses Computers zu der IP-Adresse 88.134.152.178 über die Netzwerkkarte mit der Netzwerkadresse 001D9206F0BB ist verloren gegangen. Error - 10.09.2010 19:32:42 | Computer Name = YYY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden Fehlers nicht gestartet: %%1058 Error - 10.09.2010 19:35:15 | Computer Name = YYY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden Fehlers nicht gestartet: %%1058 Error - 11.09.2010 04:38:24 | Computer Name = YYY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden Fehlers nicht gestartet: %%1058 Error - 11.09.2010 07:36:22 | Computer Name = YYY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden Fehlers nicht gestartet: %%1058 Error - 11.09.2010 08:46:39 | Computer Name = YYY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden Fehlers nicht gestartet: %%1058 Error - 11.09.2010 11:02:26 | Computer Name = YYY | Source = Service Control Manager | ID = 7000 Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden Fehlers nicht gestartet: %%1058 < End of report > und hier der zweite Bericht:OTL Logfile: Code:
ATTFilter OTL logfile created on: 11.09.2010 17:16:40 - Run 1 OTL by OldTimer - Version 3.2.11.0 Folder = C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Downloads Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 77,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 90,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 232,88 Gb Total Space | 181,28 Gb Free Space | 77,84% Space Free | Partition Type: NTFS D: Drive not present or media not loaded Drive E: | 970,13 Mb Total Space | 786,77 Mb Free Space | 81,10% Space Free | Partition Type: FAT F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: YYY Current User Name: XXX Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Maxtor\Sync\SyncServices.exe (Seagate Technology LLC) PRC - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe (Nero AG) PRC - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG) PRC - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG) PRC - C:\WINDOWS\system32\WinSys2.exe (TODO: <Company name>) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (Maxtor Sync Service) -- C:\Programme\Maxtor\Sync\SyncServices.exe (Seagate Technology LLC) SRV - (NMIndexingService) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation) ========== Driver Services (SafeList) ========== DRV - (tle33fa) -- C:\WINDOWS\System32\drivers\tle33fa.sys File not found DRV - (GMSIPCI) -- D:\INSTALL\GMSIPCI.SYS File not found DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (AVEO) -- C:\WINDOWS\system32\drivers\aveodcnt.sys (AVEO Corp) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (hwdatacard) -- C:\WINDOWS\system32\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (MXOPSWD) -- C:\WINDOWS\system32\drivers\mxopswd.sys (Maxtor Corp.) DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation ) DRV - (se27unic) Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM) -- C:\WINDOWS\system32\drivers\se27unic.sys (MCCI) DRV - (SE27obex) -- C:\WINDOWS\system32\drivers\SE27obex.sys (MCCI) DRV - (se27nd5) Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS) -- C:\WINDOWS\system32\drivers\se27nd5.sys (MCCI) DRV - (SE27mgmt) Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\SE27mgmt.sys (MCCI) DRV - (SE27mdm) -- C:\WINDOWS\system32\drivers\SE27mdm.sys (MCCI) DRV - (SE27mdfl) -- C:\WINDOWS\system32\drivers\SE27mdfl.sys (MCCI) DRV - (SE27bus) Sony Ericsson Device 039 Driver driver (WDM) -- C:\WINDOWS\system32\drivers\SE27bus.sys (MCCI) DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = h**p://www.****.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = : ========== FireFox ========== FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.10 14:57:15 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.10 14:57:15 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.08.31 21:22:23 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.08.31 21:22:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Extensions [2010.08.31 21:22:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.09.11 13:52:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\1nl9me36.default\extensions [2010.09.03 10:56:28 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\XXXr\Anwendungsdaten\Mozilla\Firefox\Profiles\1nl9me36.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.09.11 13:52:18 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.05.03 20:47:31 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.08.27 00:07:15 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2009.10.26 16:53:52 | 000,102,400 | ---- | M] (Zylom) -- C:\Programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll [2010.07.23 02:48:56 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.07.23 02:48:56 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.07.23 02:48:56 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.07.23 02:48:56 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.07.23 02:48:56 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2003.04.02 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [SW20] C:\WINDOWS\system32\sw20.exe () O4 - HKLM..\Run: [SW24] C:\WINDOWS\system32\sw24.exe () O4 - HKLM..\Run: [WinSys2] C:\WINDOWS\system32\WinSys2.exe (TODO: <Company name>) O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG) O4 - HKCU..\Run: [Getdo] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 95 O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe File not found O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe File not found O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} h**p://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 83.169.185.33 83.169.185.97 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.12.10 18:58:29 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{301e4938-a763-11dd-9412-001d9206f0bb}\Shell - "" = AutoRun O33 - MountPoints2\{301e4938-a763-11dd-9412-001d9206f0bb}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{301e4938-a763-11dd-9412-001d9206f0bb}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found O33 - MountPoints2\{301e493b-a763-11dd-9412-001d9206f0bb}\Shell - "" = AutoRun O33 - MountPoints2\{301e493b-a763-11dd-9412-001d9206f0bb}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{301e493b-a763-11dd-9412-001d9206f0bb}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found O33 - MountPoints2\{36cb0af8-8d8d-11de-9476-001d9206f0bb}\Shell - "" = AutoRun O33 - MountPoints2\{36cb0af8-8d8d-11de-9476-001d9206f0bb}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{36cb0af8-8d8d-11de-9476-001d9206f0bb}\Shell\AutoRun\command - "" = E:\autorun.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.09.11 14:21:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Malwarebytes [2010.09.11 14:21:20 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.09.11 14:21:18 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.09.11 14:21:18 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.09.11 14:21:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.09.10 15:45:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Zylom [2010.09.09 16:44:31 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\XXX\IECompatCache [2010.09.08 15:13:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Magic3 [2010.09.08 02:27:40 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2010.09.07 19:03:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Eigene Dateien\FUNK-Material [2010.09.07 18:45:11 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\XXX\PrivacIE [2010.09.07 18:41:12 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\XXX\IETldCache [2010.09.07 18:38:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates [2010.09.07 18:37:29 | 011,077,120 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ieframe.dll [2010.09.07 18:37:29 | 001,986,560 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iertutil.dll [2010.09.07 18:37:29 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll [2010.09.07 18:37:29 | 000,599,040 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msfeeds.dll [2010.09.07 18:37:29 | 000,055,296 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msfeedsbs.dll [2010.09.07 18:37:17 | 000,000,000 | ---D | C] -- C:\WINDOWS\WBEM [2010.09.07 18:36:13 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8 [2010.09.07 18:28:50 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch [2010.09.07 18:13:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de-de [2010.09.07 18:13:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de [2010.09.07 18:13:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\bits [2010.09.07 18:07:48 | 000,000,000 | ---D | C] -- C:\WINDOWS\network diagnostic [2010.09.07 18:04:24 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$NtServicePackUninstall$ [2010.09.06 00:03:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Nevosoft Games [2010.09.03 13:43:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Astar Games [2010.09.01 23:16:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\YoudaGames [2010.08.28 01:52:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia [2010.08.28 01:14:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Helper [2010.08.27 00:07:27 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2010.08.27 00:07:14 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.08.27 00:07:14 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.08.27 00:07:14 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.09.11 17:09:57 | 000,000,053 | ---- | M] () -- C:\biosinfo [2010.09.11 17:09:53 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.09.11 17:09:48 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.09.11 17:02:13 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.09.11 17:02:12 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.09.11 17:01:06 | 004,980,736 | -H-- | M] () -- C:\Dokumente und Einstellungen\XXX\NTUSER.DAT [2010.09.11 17:00:54 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\XXX\ntuser.ini [2010.09.11 16:41:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.09.10 10:48:33 | 000,000,884 | ---- | M] () -- C:\WINDOWS\win.ini [2010.09.10 10:48:33 | 000,000,234 | RHS- | M] () -- C:\boot.ini [2010.09.10 10:48:33 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.09.10 02:26:32 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2010.09.08 16:02:01 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2010.09.08 09:29:09 | 000,162,592 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.09.08 02:30:04 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2010.09.08 02:28:54 | 000,996,318 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.09.08 02:28:54 | 000,448,470 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.09.08 02:28:54 | 000,432,356 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.09.08 02:28:54 | 000,079,910 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.09.08 02:28:54 | 000,067,312 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.09.07 18:07:33 | 000,251,712 | RHS- | M] () -- C:\ntldr [2010.09.03 10:53:55 | 004,366,448 | -H-- | M] () -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.09.02 11:37:10 | 000,001,566 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2010.08.30 14:56:10 | 000,000,000 | RHS- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\ctf [8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.09.02 11:37:10 | 000,001,566 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2010.08.30 14:56:10 | 000,000,000 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\ctf [2010.02.11 12:47:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\mngui.INI [2009.07.25 13:58:21 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\MFC_InstDrvDLL.dll [2009.01.24 19:46:38 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI [2008.10.07 10:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS\System32\physxcudart_20.dll [2008.10.07 10:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll [2008.10.07 10:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll [2008.06.25 01:29:58 | 000,000,029 | ---- | C] () -- C:\WINDOWS\DEBUGSM.INI [2008.06.04 15:52:25 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI [2008.06.01 03:42:11 | 000,000,066 | ---- | C] () -- C:\WINDOWS\TEXTware.ini [2008.06.01 03:42:07 | 000,115,200 | ---- | C] () -- C:\WINDOWS\System32\UnzDll.dll [2008.06.01 03:42:05 | 000,017,920 | ---- | C] () -- C:\WINDOWS\System32\TWAIED02.DLL [2008.06.01 03:42:04 | 000,209,408 | ---- | C] () -- C:\WINDOWS\System32\TWASBB01.DLL [2008.06.01 03:42:04 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\TWAVBX32.DLL [2008.06.01 03:42:04 | 000,009,216 | ---- | C] () -- C:\WINDOWS\System32\TWASFI.DLL [2008.06.01 03:42:03 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\ILXTBS.DLL [2008.06.01 03:42:03 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\ILXTBL.DLL [2008.06.01 03:42:03 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\ILXIMC.DLL [2008.06.01 03:41:10 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll [2008.05.09 15:48:39 | 000,000,152 | ---- | C] () -- C:\WINDOWS\VoiceOver.INI [2008.05.06 16:21:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PRESTOPM.INI [2008.05.06 16:07:02 | 000,000,492 | ---- | C] () -- C:\WINDOWS\MAXLINK.INI [2008.05.06 16:04:06 | 000,000,218 | ---- | C] () -- C:\WINDOWS\SCNDRVU.INI [2008.05.06 16:03:40 | 000,004,473 | ---- | C] () -- C:\WINDOWS\If42le.ini [2008.05.06 16:03:40 | 000,000,297 | ---- | C] () -- C:\WINDOWS\PEXPLORE.INI [2008.05.06 16:03:27 | 000,011,776 | ---- | C] () -- C:\WINDOWS\System32\PMSBFN32.DLL [2008.05.06 16:03:27 | 000,000,407 | ---- | C] () -- C:\WINDOWS\UMXADDIN.INI [2008.05.06 15:38:14 | 000,028,672 | R--- | C] () -- C:\WINDOWS\pccuo.dll [2008.05.06 15:38:14 | 000,001,871 | R--- | C] () -- C:\WINDOWS\~~~runcd.ini [2008.04.11 15:18:48 | 000,076,800 | ---- | C] () -- C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.03.28 17:58:31 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008.03.17 17:26:28 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007.12.15 17:44:17 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll [2007.12.15 17:44:17 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll [2007.12.12 01:29:18 | 000,001,118 | ---- | C] () -- C:\WINDOWS\Ultra EDIT.INI [2007.12.10 19:36:56 | 000,000,012 | ---- | C] () -- C:\WINDOWS\DVCONFIG.INI [2007.12.10 19:36:56 | 000,000,010 | ---- | C] () -- C:\WINDOWS\Let's EDIT.INI [2007.12.10 19:35:08 | 000,000,518 | ---- | C] () -- C:\WINDOWS\canopus.ini [2007.12.10 19:20:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\msicpl.ini [2007.12.10 19:17:57 | 000,131,072 | R--- | C] () -- C:\WINDOWS\System32\smdll.dll [2007.12.10 19:17:54 | 000,032,768 | R--- | C] () -- C:\WINDOWS\System32\Auxiliary.dll [2007.12.10 19:17:53 | 000,262,144 | R--- | C] () -- C:\WINDOWS\System32\HookShield.dll [2007.12.10 19:17:53 | 000,253,952 | R--- | C] () -- C:\WINDOWS\System32\HookMAp.dll [2007.12.10 19:17:53 | 000,009,728 | R--- | C] () -- C:\WINDOWS\System32\sysinfoX64.sys [2007.12.10 19:17:53 | 000,008,192 | R--- | C] () -- C:\WINDOWS\System32\sysinfo.sys [2007.11.06 21:00:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007.11.06 21:00:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007.11.06 21:00:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007.11.06 21:00:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [1999.01.22 21:01:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL ========== Alternate Data Streams ========== @Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0 < End of report > Ich hoffe, ich habe das jetzt so richtig gemacht, bzw. würde mich freuen, wenn mich jemand aufklären könnte, was ich jetzt weiter tun soll. Viele Grüße, T. |
|
13.09.2010, 10:34
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Malwarebytes - was mach ich danach? Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
__________________Code:
ATTFilter :OTL
PRC - C:\WINDOWS\system32\WinSys2.exe (TODO: <Company name>)
DRV - (tle33fa) -- C:\WINDOWS\System32\drivers\tle33fa.sys File not found
DRV - (GMSIPCI) -- D:\INSTALL\GMSIPCI.SYS File not found
O4 - HKLM..\Run: [WinSys2] C:\WINDOWS\system32\WinSys2.exe (TODO: <Company name>)
O4 - HKCU..\Run: [Getdo] File not found
O33 - MountPoints2\{301e4938-a763-11dd-9412-001d9206f0bb}\Shell - "" = AutoRun
O33 - MountPoints2\{301e4938-a763-11dd-9412-001d9206f0bb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{301e4938-a763-11dd-9412-001d9206f0bb}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found
O33 - MountPoints2\{301e493b-a763-11dd-9412-001d9206f0bb}\Shell - "" = AutoRun
O33 - MountPoints2\{301e493b-a763-11dd-9412-001d9206f0bb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{301e493b-a763-11dd-9412-001d9206f0bb}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- File not found
O33 - MountPoints2\{36cb0af8-8d8d-11de-9476-001d9206f0bb}\Shell - "" = AutoRun
O33 - MountPoints2\{36cb0af8-8d8d-11de-9476-001d9206f0bb}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{36cb0af8-8d8d-11de-9476-001d9206f0bb}\Shell\AutoRun\command - "" = E:\autorun.exe -- File not found
[2010.08.30 14:56:10 | 000,000,000 | RHS- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\ctf
@Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ |
|
13.09.2010, 11:08
| #3 |
| | Malwarebytes - was mach ich danach? Vielen Dank!
__________________Hier noch der Bericht, scheint mir gut auszuschauen:-) Besonders mag ich diesen ersten Satz. All processes killed ========== OTL ========== No active process named WinSys2.exe was found! Service tle33fa stopped successfully! Service tle33fa deleted successfully! File C:\WINDOWS\System32\drivers\tle33fa.sys File not found not found. Service GMSIPCI stopped successfully! Service GMSIPCI deleted successfully! File D:\INSTALL\GMSIPCI.SYS File not found not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WinSys2 deleted successfully. C:\WINDOWS\system32\WinSys2.exe moved successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Getdo deleted successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{301e4938-a763-11dd-9412-001d9206f0bb}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{301e4938-a763-11dd-9412-001d9206f0bb}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{301e4938-a763-11dd-9412-001d9206f0bb}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{301e4938-a763-11dd-9412-001d9206f0bb}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{301e4938-a763-11dd-9412-001d9206f0bb}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{301e4938-a763-11dd-9412-001d9206f0bb}\ not found. File E:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{301e493b-a763-11dd-9412-001d9206f0bb}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{301e493b-a763-11dd-9412-001d9206f0bb}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{301e493b-a763-11dd-9412-001d9206f0bb}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{301e493b-a763-11dd-9412-001d9206f0bb}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{301e493b-a763-11dd-9412-001d9206f0bb}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{301e493b-a763-11dd-9412-001d9206f0bb}\ not found. File E:\AutoRun.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36cb0af8-8d8d-11de-9476-001d9206f0bb}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36cb0af8-8d8d-11de-9476-001d9206f0bb}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36cb0af8-8d8d-11de-9476-001d9206f0bb}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36cb0af8-8d8d-11de-9476-001d9206f0bb}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36cb0af8-8d8d-11de-9476-001d9206f0bb}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36cb0af8-8d8d-11de-9476-001d9206f0bb}\ not found. File E:\autorun.exe not found. C:\Dokumente und Einstellungen\All Users\Dokumente\ctf moved successfully. ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0 deleted successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 65984 bytes ->Temporary Internet Files folder emptied: 1577026 bytes ->Flash cache emptied: 434 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 809778 bytes User: XXX ->Temp folder emptied: 2422568195 bytes ->Temporary Internet Files folder emptied: 2213864639 bytes ->Java cache emptied: 55470978 bytes ->FireFox cache emptied: 87048241 bytes ->Google Chrome cache emptied: 5876068 bytes ->Flash cache emptied: 55821 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 35055774 bytes %systemroot%\System32 .tmp files removed: 4182407 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 37405059 bytes RecycleBin emptied: 3110170950 bytes Total Files Cleaned = 7.605,00 mb OTL by OldTimer - Version 3.2.11.0 log created on 09132010_113936 Nach dem kosmischen Prinzip der ausgleichenden Gerechtigkeit hoffe ich mich irgendwie dafür revanchieren zu können. Viele Grüße, R |
|
13.09.2010, 11:25
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Malwarebytes - was mach ich danach? Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
14.09.2010, 09:21
| #5 |
| | Malwarebytes - was mach ich danach? Guten Morgen, sorry, dass ich mich erst heute wieder melde. Scheint alles nicht gar zu leicht zu sein. Bevor ich CF ausführe: Windows fragt mich erst gar nicht wo ich es abspeichern und wie benennen soll, daher frage ich vorsichtig, ob es in Ordnung ist, wenn ich die Datei manuell aus dem Downloadordner auf den Destop ziehe und über Mausklick rechts umbenenne. Grüße, R. |
|
14.09.2010, 09:29
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Malwarebytes - was mach ich danach? Geht denn kein Rechtsklick => Ziel speichern unter?
__________________ --> Malwarebytes - was mach ich danach? |
|
14.09.2010, 09:58
| #7 |
| | Malwarebytes - was mach ich danach? doch geht... aber andere Frage: ist zwar schön, wenn man vom CCleaner die neueste Version bekommt, die Anleitung ist leider nicht auf dem neuesten Stand: Internet Explorer -> "Eingabefeld Verlauf" existiert nicht, dafür "Formulardaten", nicht anklicken? Windows Explorer -> "Thumbnail Cache" existiert nicht System "DNS Cache" ist hinzugekommen, ankreuzen? Grüße, R |
|
14.09.2010, 10:14
| #8 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Malwarebytes - was mach ich danach?Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
14.09.2010, 10:37
| #9 |
| | Malwarebytes - was mach ich danach? Entschuldigung, wenn es so rüber kam, ich meinte es nicht als Kritik, sondern als Feststellung. Ich bin durchaus etwas verunsichert und will nichts falsch machen, deshalb die Nachfrage. Ich bin froh und dankbar für die Hilfe und hoffe, wir vertragen uns wieder. Grüße, R |
|
14.09.2010, 11:03
| #10 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Malwarebytes - was mach ich danach?Zitat:
 Formulardaten können raus. Dann sind aber im IE zB bei Webmailern eingetragene E-Mailadressen weg, Du müsstest beim nächsten Login diese wieder manuell eintragen. Betrifft sämtliche Formulardaten. Thumnail Cache ignorieren DNS-Cache kannste halten wie ein Dachdecker. Lösch es einfach 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
14.09.2010, 11:53
| #11 |
| | Malwarebytes - was mach ich danach? trotz leichter Verunsicherung, voilà: der Cofi-Log ComboFix 10-09-13.02 - XXX 14.09.2010 12:34:14.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1606 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\XXX\Anwendungsdaten\Desktopicon c:\windows\system32\Thumbs.db . ((((((((((((((((((((((( Dateien erstellt von 2010-08-14 bis 2010-09-14 )))))))))))))))))))))))))))))) . 2010-09-14 08:27 . 2010-09-14 08:27 -------- d-----w- c:\programme\CCleaner 2010-09-13 09:39 . 2010-09-13 09:39 -------- d-----w- C:\_OTL 2010-09-11 12:21 . 2010-09-11 12:21 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes 2010-09-11 12:21 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-11 12:21 . 2010-09-11 12:21 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-09-11 12:21 . 2010-09-11 12:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-09-11 12:21 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-09-10 13:45 . 2010-09-10 13:45 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Zylom 2010-09-09 22:33 . 2010-09-09 22:33 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten 2010-09-09 22:33 . 2010-09-09 22:33 -------- d-sh--w- c:\dokumente und einstellungen\LocalService\IETldCache 2010-09-09 14:44 . 2010-09-09 14:44 -------- d-sh--w- c:\dokumente und einstellungen\XXX\IECompatCache 2010-09-08 13:13 . 2010-09-08 13:13 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Magic3 2010-09-07 16:45 . 2010-09-07 16:45 -------- d-sh--w- c:\dokumente und einstellungen\XXX\PrivacIE 2010-09-07 16:41 . 2010-09-07 16:41 -------- d-sh--w- c:\dokumente und einstellungen\XXX\IETldCache 2010-09-07 16:38 . 2010-06-18 11:39 16896 -c----w- c:\windows\system32\dllcache\iecompat.dll 2010-09-07 16:38 . 2010-09-08 00:30 -------- d-----w- c:\windows\ie8updates 2010-09-07 16:37 . 2010-06-24 15:51 11077120 -c----w- c:\windows\system32\dllcache\ieframe.dll 2010-09-07 16:37 . 2010-06-24 12:22 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll 2010-09-07 16:37 . 2010-06-24 12:21 599040 -c----w- c:\windows\system32\dllcache\msfeeds.dll 2010-09-07 16:37 . 2010-06-24 12:21 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll 2010-09-07 16:37 . 2010-06-24 12:21 1986560 -c----w- c:\windows\system32\dllcache\iertutil.dll 2010-09-07 16:37 . 2010-06-24 12:21 247808 -c----w- c:\windows\system32\dllcache\ieproxy.dll 2010-09-07 16:37 . 2010-06-24 12:21 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll 2010-09-07 16:36 . 2010-09-07 16:37 -------- dc-h--w- c:\windows\ie8 2010-09-07 16:13 . 2010-09-07 16:40 -------- d-----w- c:\windows\system32\de-de 2010-09-07 16:13 . 2010-09-07 16:13 -------- d-----w- c:\windows\system32\de 2010-09-07 16:13 . 2010-09-07 16:13 -------- d-----w- c:\windows\system32\bits 2010-09-05 22:03 . 2010-09-05 22:03 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Nevosoft Games 2010-09-03 11:43 . 2010-09-03 11:43 -------- d-----w- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Astar Games 2010-09-01 21:16 . 2010-09-01 21:16 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\YoudaGames 2010-08-27 23:14 . 2010-08-27 23:14 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Helper 2010-08-26 22:07 . 2010-08-26 22:07 -------- d-----w- c:\programme\Gemeinsame Dateien\Java . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-13 18:20 . 2009-12-30 13:49 664 ----a-w- c:\windows\system32\d3d9caps.dat 2010-09-13 09:08 . 2007-12-10 17:07 33488 ----a-w- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-09-10 00:25 . 2009-10-23 20:43 -------- d-----w- c:\programme\Zylom Games 2010-09-08 00:28 . 2003-04-02 12:00 79910 ----a-w- c:\windows\system32\perfc007.dat 2010-09-08 00:28 . 2003-04-02 12:00 448470 ----a-w- c:\windows\system32\perfh007.dat 2010-09-07 16:14 . 2007-12-10 16:57 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2010-09-07 08:34 . 2009-10-13 21:56 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2010-08-31 19:22 . 2009-10-23 13:45 -------- d-----w- c:\programme\Mozilla Thunderbird 2010-08-31 19:22 . 2009-10-23 13:45 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Thunderbird 2010-08-31 18:04 . 2009-10-24 09:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2010-08-30 18:32 . 2009-10-29 12:17 -------- d-----w- c:\programme\ICQ6.5 2010-08-26 22:07 . 2009-11-15 11:58 -------- d-----w- c:\programme\Java 2010-08-11 22:19 . 2010-08-11 22:19 -------- d-----w- c:\programme\VLCPortable 2010-08-04 09:43 . 2010-08-04 09:43 503808 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-10fe560c-n\msvcp71.dll 2010-08-04 09:43 . 2010-08-04 09:43 499712 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-10fe560c-n\jmc.dll 2010-08-04 09:43 . 2010-08-04 09:43 348160 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-10fe560c-n\msvcr71.dll 2010-08-04 09:41 . 2010-08-04 09:41 61440 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2ece025d-n\decora-sse.dll 2010-08-04 09:41 . 2010-08-04 09:41 12800 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-2ece025d-n\decora-d3d.dll 2010-08-03 11:27 . 2009-06-18 09:26 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Diunbe 2010-08-02 11:07 . 2008-07-17 17:55 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Giit 2010-07-29 08:55 . 2010-07-29 08:55 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\McAfee 2010-07-17 03:00 . 2010-05-03 18:47 423656 ----a-w- c:\windows\system32\deployJava1.dll 2010-06-30 12:28 . 2004-08-03 22:57 149504 ----a-w- c:\windows\system32\schannel.dll 2010-06-24 12:22 . 2004-08-03 22:57 916480 ----a-w- c:\windows\system32\wininet.dll 2010-06-24 09:02 . 2004-08-03 22:46 1852032 ----a-w- c:\windows\system32\win32k.sys 2010-06-21 15:27 . 2004-08-03 21:14 354304 ----a-w- c:\windows\system32\drivers\srv.sys 2010-06-17 14:03 . 2004-08-03 22:57 80384 ----a-w- c:\windows\system32\iccvid.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2007-05-10 16342528] "SW20"="c:\windows\system32\sw20.exe" [2006-12-15 208896] "SW24"="c:\windows\system32\sw24.exe" [2006-12-15 69632] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-02-15 417792] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8523776] "nwiz"="nwiz.exe" [2007-11-06 1626112] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^abcHood Pager 1.0.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\abcHood Pager 1.0.lnk backup=c:\windows\pss\abcHood Pager 1.0.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Action Manager 32.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Action Manager 32.lnk backup=c:\windows\pss\Action Manager 32.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Audible Download Manager.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Audible Download Manager.lnk backup=c:\windows\pss\Audible Download Manager.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CamAppSTI.exe] 2009-01-04 14:26 28672 ----a-w- c:\programme\AVEO\AVEO USB2.0 PC Camera\CamAppSTI.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] 2008-04-14 02:22 1695232 ----a-w- c:\programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mxomssmenu] 2007-09-06 13:53 169264 ----a-w- c:\programme\Maxtor\OneTouch Status\MaxMenuMgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2007-03-01 14:57 153136 ----a-w- c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-02-15 17:50 417792 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] 2009-07-25 11:49 26112 ----a-w- c:\programme\Real\RealPlayer\realplay.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite] 2005-10-26 16:17 159744 ----a-r- c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\usmt\\migwiz.exe"= "c:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"= "c:\\Programme\\Real\\RealPlayer\\realplay.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"= "c:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\Mozilla Thunderbird\\thunderbird.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.09.2009 01:50 108289] R2 BulkUsb;Plustek USB Scanner;c:\windows\system32\drivers\usbscan.sys [06.05.2008 15:38 15104] S2 gupdate1ca542d934eca1a;Google Update Service (gupdate1ca542d934eca1a);c:\programme\Google\Update\GoogleUpdate.exe [24.10.2009 00:10 133104] S3 AVEO;AVEO USB2.0 PC Camera;c:\windows\system32\drivers\aveodcnt.sys [25.07.2009 13:58 281600] . Inhalt des "geplante Tasks" Ordners 2010-09-08 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34] 2010-09-14 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-10-23 22:09] 2010-09-14 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-10-23 22:09] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.***.de/ FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\1nl9me36.default\ FF - prefs.js: browser.startup.homepage - hxxps://www.***.de/csc FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-09-14 12:37 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2010-09-14 12:38:46 ComboFix-quarantined-files.txt 2010-09-14 10:38 Vor Suchlauf: 16 Verzeichnis(se), 199.271.170.048 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 199.303.495.680 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer /basevideo - - End Of File - - FA6B6E5D1207AC83DF24836D08A441 in meinem fall end of nervs;-) würde mich freuen, wenn´s das war. Vielen Dank, R |
|
14.09.2010, 13:34
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Malwarebytes - was mach ich danach? Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
15.09.2010, 14:38
| #13 |
| | Malwarebytes - was mach ich danach? Hallo, wusst ich´s doch, da kommt noch was. Im Anschluiss schon mal (hoffentlich das richtige) Log von GMER. Mit Osam bin ich grade überfordert, denn wenn ich auf Osam.exe klicke kommt die Meldung dass die Komponente osam_gui.dll nicht gefunden wird. Aber sie ist doch da... Grüße, R GMER Logfile: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.***.net
Rootkit scan 2010-09-15 00:02:20
Windows 5.1.2600 Service Pack 3
Running: 416xqgjq.exe; Driver: C:\DOKUME~1\XXX\LOKALE~1\Temp\pwtdipow.sys
---- System - GMER 1.0.15 ----
SSDT BA7506D6 ZwCreateKey
SSDT BA7506CC ZwCreateThread
SSDT BA7506DB ZwDeleteKey
SSDT BA7506E5 ZwDeleteValueKey
SSDT BA7506EA ZwLoadKey
SSDT BA7506B8 ZwOpenProcess
SSDT BA7506BD ZwOpenThread
SSDT BA7506F4 ZwReplaceKey
SSDT BA7506EF ZwRestoreKey
SSDT BA7506E0 ZwSetValueKey
SSDT BA7506C7 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwCallbackReturn + 2D6C 80504608 4 Bytes JMP F8BA7506
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9418360, 0x3441C7, 0xE8000020]
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
|
|
15.09.2010, 14:51
| #14 |
| | Malwarebytes - was mach ich danach? ok, habs hingekriegt, bin nur nervös... OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 15:46:49 on 15.09.2010 OS: Windows XP Professional Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 3.6.9 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl "nvcpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvcpl.cpl "nvtuicpl.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvtuicpl.cpl "PhysX.cpl" - "NVIDIA Corporation" - C:\WINDOWS\system32\PhysX.cpl "prefscpl.cpl" - "RealNetworks, Inc." - C:\WINDOWS\system32\prefscpl.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "ECSEPM" - "Sony Ericsson Mobile Communications AB" - C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\ecsepm.cpl "Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero Toolkit\NeroBurnRights.cpl "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "AVEO USB2.0 PC Camera" (AVEO) - "AVEO Corp" - C:\WINDOWS\System32\DRIVERS\AVEOdcnt.sys "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\DOKUME~1\XXX\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {BDEADF00-C265-11d0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {16148659-720A-457d-850B-2DBD87BB129D} "AudibleShlExt Class" - "Audible, Inc." - C:\Programme\Audible\Bin\AudibleExt.dll {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {16148659-720A-457d-850B-2DBD87BB129D} "AudibleShlExt Class" - "Audible, Inc." - C:\Programme\Audible\Bin\AudibleExt.dll {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" - "NVIDIA Corporation" - C:\WINDOWS\system32\nvshell.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - c:\WINDOWS\system32\dfshim.dll {A5110426-177D-4e08-AB3F-785F10B4439C} "Sony Ericsson Datei-Manager" - "Sony Ericsson Mobile Communications AB" - C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll {E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll {E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll {E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll {E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\WINDOWS\system32\Macromed\Flash\Flash10e.ocx / hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "ICQ6" - "ICQ, LLC." - C:\Programme\ICQ6.5\ICQ.exe "PartyPoker.com" - ? - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (File not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\Rainer\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" - "Nero AG" - "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min "nwiz" - "NVIDIA Corporation" - nwiz.exe /install "QuickTime Task" - "Apple Inc." - "C:\Programme\QuickTime\QTTask.exe" -atboottime "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" "SW20" - ? - C:\WINDOWS\system32\sw20.exe "SW24" - ? - C:\WINDOWS\system32\sw24.exe (File found, but it contains no detailed information) [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "doPDF 7 Monitor" - "Softland" - C:\WINDOWS\system32\dopdfmn7.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "ASP.NET State Service" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Google Update Service (gupdate1ca542d934eca1a)" (gupdate1ca542d934eca1a) - "Google Inc." - C:\Programme\Google\Update\GoogleUpdate.exe "HID Input Service" (HidServ) - ? - C:\WINDOWS\System32\hidserv.dll (File not found) "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe "Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe "Maxtor Service" (Maxtor Sync Service) - "Seagate Technology LLC" - C:\Programme\Maxtor\Sync\SyncServices.exe "NBService" (NBService) - "Nero AG" - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe "NMIndexingService" (NMIndexingService) - "Nero AG" - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe "Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) ===[ Logfile end ]=========================================[ Logfile end ]=== Viele Grüße, R |
|
15.09.2010, 16:08
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Malwarebytes - was mach ich danach? Und der Bootkit Remover?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Malwarebytes - was mach ich danach? |
| 0x00000001, acroiehelper.dll, adware.adon, adware.navipromo, alternate, antivir, avgntflt.sys, avira, bho, components, ebayshortcuts.exe, error, firefox, firefox.exe, flash player, google, google chrome, helper, home, homepage, installation, ip-adresse, jusched.exe, location, logfile, mozilla, mozilla thunderbird, nicht gefunden, nicht sicher, object, oldtimer, otl logfile, otl.exe, plug-in, realtek, registry, rundll, saver, searchplugins, server, shell32.dll, software, svchost, system, tcp, trojan.zbotr.gen, udp, usb, vlc media player, warum, windows, windows internet, windows internet explorer |
Malwarebytes - was mach ich danach?
Linear-Darstellung
