| |
| |||||||
Log-Analyse und Auswertung: einige Malware gelöscht, jetzt Rundll ismsti.dllWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
16.09.2010, 18:27
| #1 |
 |  einige Malware gelöscht, jetzt Rundll ismsti.dll Hallo Forum, mein Rechner wurde letzten Donnerstag von einem Virus/Trojaner befallen. Nun habe ich - auch Dank dieses Forums - nun fast alles wieder geheilt, zumindest finden die Virenprogramme nichts mehr. Aber ich haben nun die Fehlermeldung beim Start von Windows XP: RUNDLL Fehler beim Laden von C:\WINDOWS\ismsti.dll Das angegegebene Modul wurde nicht gefunden. In einem anderen Post konnte ich lesen, dass vielleicht doch noch nicht alles geheilt ist, aber ich kam nicht weiter. Anbei das Logfile - nach all meinen Heilungsversuchen. Bei Interesse hätte ich noch das Antivir Log Datei von Tag meines Befalls. -------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:57:56, on 16.09.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17080) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\WINDOWS\system32\bgsvcgen.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Microsoft LifeCam\MSCamS32.exe C:\WINDOWS\system32\o2flash.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TomTom HOME 2\TomTomHOMEService.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\sm56hlpr.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\vVX1000.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\DivX\DivX Update\DivXUpdate.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\CCleaner\ccleaner.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fuelpilot-bosch O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AOLMIcon] C:\ISP\AOL\AOLMIcon.exe O4 - HKCU\..\Run: [T-Online Hinweis] c:\t-online_hinweis\t-online_fs2.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe" O4 - HKCU\..\Run: [Jtanakidalosac] rundll32.exe "C:\WINDOWS\ismsti.dll",Startup O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: PHOTOfunSTUDIO HD Edition.lnk = C:\Programme\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe O4 - Global Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169068222781 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- End of file - 9561 bytes -------------------------- Danke |
|
17.09.2010, 18:15
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | einige Malware gelöscht, jetzt Rundll ismsti.dllZitat:
__________________ |
|
18.09.2010, 10:57
| #3 |
| | einige Malware gelöscht, jetzt Rundll ismsti.dll Hi, da ich zu Beginn noch recht unbefangen war, hatte ich "nur" Antivir.
__________________Hier das Logfile von Antivir: -------------------------------------------- Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 9. September 2010 22:01
Es wird nach 2796454 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : SPATZELRECHNER
Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 13:13:20
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:13:20
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 13:13:20
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 22:26:58
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 20:06:20
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 07:32:25
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 18:50:57
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 15:01:14
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 18:38:48
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.07.2010 18:38:48
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.07.2010 18:38:48
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.07.2010 18:38:48
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.07.2010 18:38:48
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.07.2010 18:38:48
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.07.2010 18:38:49
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.07.2010 18:38:55
VBASE015.VDF : 7.10.10.28 139264 Bytes 02.08.2010 19:01:54
VBASE016.VDF : 7.10.10.52 127488 Bytes 03.08.2010 17:55:19
VBASE017.VDF : 7.10.10.84 137728 Bytes 06.08.2010 19:59:08
VBASE018.VDF : 7.10.10.107 176640 Bytes 09.08.2010 16:18:28
VBASE019.VDF : 7.10.10.130 132608 Bytes 10.08.2010 16:18:28
VBASE020.VDF : 7.10.10.158 131072 Bytes 12.08.2010 18:12:10
VBASE021.VDF : 7.10.10.190 136704 Bytes 16.08.2010 17:35:04
VBASE022.VDF : 7.10.10.217 118272 Bytes 19.08.2010 18:09:52
VBASE023.VDF : 7.10.10.246 130048 Bytes 23.08.2010 19:38:15
VBASE024.VDF : 7.10.11.11 144896 Bytes 25.08.2010 19:38:15
VBASE025.VDF : 7.10.11.33 135168 Bytes 27.08.2010 06:31:31
VBASE026.VDF : 7.10.11.52 148992 Bytes 31.08.2010 17:19:15
VBASE027.VDF : 7.10.11.75 124928 Bytes 03.09.2010 17:55:56
VBASE028.VDF : 7.10.11.92 137728 Bytes 06.09.2010 15:39:13
VBASE029.VDF : 7.10.11.107 166400 Bytes 08.09.2010 15:39:11
VBASE030.VDF : 7.10.11.108 2048 Bytes 08.09.2010 15:39:11
VBASE031.VDF : 7.10.11.119 54784 Bytes 09.09.2010 16:02:15
Engineversion : 8.2.4.50
AEVDF.DLL : 8.1.2.1 106868 Bytes 31.07.2010 18:39:07
AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 26.08.2010 19:38:23
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 04:46:18
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 21:17:57
AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 19:41:46
AEPACK.DLL : 8.2.3.5 471412 Bytes 06.08.2010 19:59:19
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 19:41:21
AEHEUR.DLL : 8.1.2.21 2883958 Bytes 03.09.2010 17:56:04
AEHELP.DLL : 8.1.13.3 242038 Bytes 26.08.2010 19:38:16
AEGEN.DLL : 8.1.3.20 397684 Bytes 26.08.2010 19:38:15
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 21:17:43
AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 19:40:21
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 21:17:41
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.10.2009 09:57:48
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 19:44:24
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 13:13:19
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Donnerstag, 9. September 2010 22:01
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '64551' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'guardgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WsftpCOMHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'meinsparbuchheute.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PhAutoRun.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMERunner.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vVX1000.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TomTomHOMEService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'o2flash.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSCamS32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'bgsvcgen.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '60' Prozesse mit '60' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '81' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <470649>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16\637a2890-264c09a8
[0] Archivtyp: ZIP
--> dev/s/Bavarian.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.1
--> dev/s/Saxonia.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.2
--> dev/s/Silezia.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.em.3
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62\5982fcbe-2c966b60
[0] Archivtyp: ZIP
--> AppletX.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agen.NA.1
C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\monmvr32.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Mozilla Firefox\firefox.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{2F8D9BC5-995E-4BE9-9807-53509A06085D}\RP293\A0050207.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\atmarpc.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\changer.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\fdc.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\flpydisk.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\irenum.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\kbdhid.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\sfloppy.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\streamip.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\LastGood\system32\drivers\usbstor.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD6E.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD73.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD78.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD7C.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD81.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD85.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD99.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLD9D.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
C:\WINDOWS\system32\drivers\OLDA1.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16\637a2890-264c09a8
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cc0506b.qua' verschoben!
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62\5982fcbe-2c966b60
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cc15071.qua' verschoben!
C:\System Volume Information\_restore{2F8D9BC5-995E-4BE9-9807-53509A06085D}\RP293\A0050207.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb95068.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\atmarpc.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf650ac.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\changer.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cea50a0.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\fdc.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cec509c.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\flpydisk.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf950a4.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\irenum.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cee50aa.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\kbdhid.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ced509a.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\sfloppy.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf5509e.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\streamip.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cfb50ad.qua' verschoben!
C:\WINDOWS\LastGood\system32\drivers\usbstor.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ceb50ac.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD6E.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ccd5085.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD73.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f36b7a6.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD78.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f31be6e.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD7C.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f3a9886.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD81.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f30a636.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD85.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48cd5e66.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD99.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48416316.qua' verschoben!
C:\WINDOWS\system32\drivers\OLD9D.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48406bde.qua' verschoben!
C:\WINDOWS\system32\drivers\OLDA1.tmp
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '484313a6.qua' verschoben!
Ende des Suchlaufs: Donnerstag, 9. September 2010 23:23
Benötigte Zeit: 1:21:24 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
16550 Verzeichnisse wurden überprüft
583426 Dateien wurden geprüft
23 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
21 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
583399 Dateien ohne Befall
14904 Archive wurden durchsucht
4 Warnungen
23 Hinweise
64551 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Etwas später gelang es mir, das meiste wieder zu reinigen. Anschließend blieb dann nur noch der folgende Virus übrig. Auszug aus dem Lofile.: -------------------------------------------- Code:
ATTFilter Beginne mit der Suche in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\drivers\zumttt.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\zumttt.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Agent.biiu
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf73cdd.qua' verschoben!
Diese konnte ich nur mit Hilfe von "The Avenger" löschen. Als letztes blieb nur noch der beschriebene RUNDLL Fehler, den ich mittlerweile aber auch mit Hilfe von Trend Mirco HijackThis habe löschen können: "O4 - HKCU\..\Run: [Jtanakidalosac] rundll32.exe "C:\WINDOWS\ismsti.dll",Startup" Aber leider war das Befreien meines Rechners so aufwendig, dass ich keine Gewissheit habe, ob es mir wirklich endgültig gelang. Deshalb poste ich noch mal da aktuelle Hijack Logfile. Vielleicht kann mir jmd mit mehr Kompetenz sagen, ob mein Rechner doch noch infiziert ist. Danke ------------------------------------------- HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:43:03, on 18.09.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17080) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\sm56hlpr.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\vVX1000.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\DivX\DivX Update\DivXUpdate.exe C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Mozilla Firefox\plugin-container.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\HiJackThis.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fuelpilot-bosch O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [VX1000] C:\WINDOWS\vVX1000.exe O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe" O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AOLMIcon] C:\ISP\AOL\AOLMIcon.exe O4 - HKCU\..\Run: [T-Online Hinweis] c:\t-online_hinweis\t-online_fs2.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe" O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: PHOTOfunSTUDIO HD Edition.lnk = C:\Programme\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe O4 - Global Startup: WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169068222781 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- End of file - 8477 bytes ------------------------------------------- |
|
18.09.2010, 12:37
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | einige Malware gelöscht, jetzt Rundll ismsti.dll Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
20.09.2010, 17:38
| #5 |
| | einige Malware gelöscht, jetzt Rundll ismsti.dll Hallo, ich habe nun beide Scans durchgeführt. Durch Malware habe ich nun doch noch drei betroffene Dateien gefunden. Kann jemand helfen, wie ich nun die letzten drei auch noch eliminieren kann? Danke Malware Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Database version: 4654
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11
20.09.2010 18:22:05
mbam-log-2010-09-20 (18-22-05).txt
Scan type: Full scan (C:\|)
Objects scanned: 215294
Time elapsed: 52 minute(s), 41 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 3
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\apiqfw.dat (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\avdrn.dat (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\pdfupd.exe (Trojan.Agent) -> No action taken.
OTL Logfile: OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 20.09.2010 18:34:37 - Run 2
OTL by OldTimer - Version 3.2.12.1 Folder = C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 60,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111,79 Gb Total Space | 66,18 Gb Free Space | 59,20% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: SPATZELRECHNER
Current User Name: Admin
NOT logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
[HKEY_USERS\S-1-5-21-981261687-363558514-1002934090-1006\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [ACDBrowse] -- "C:\Programme\ACD Systems\ACDSee\ACDSee.exe" "%1" (ACD Systems, Ltd.)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Fotoschau] -- "C:\Programme\SCHLECKER\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "-Foto %1" ()
Directory [SCHLECKER Foto Digital Service] -- "C:\Programme\SCHLECKER\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "%1" ()
Directory [SCHLECKER Foto Digital Service.exe] -- "C:\Programme\SCHLECKER\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"26675:TCP" = 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"D:\fuel\microweb.exe" = D:\fuel\microweb.exe:*:Enabled:MicroWeb Web Server -- File not found
"C:\Programme\Microsoft LifeCam\LifeExp.exe" = C:\Programme\Microsoft LifeCam\LifeExp.exe:*:Enabled:LifeExp.exe -- (Microsoft Corporation)
"C:\Programme\Microsoft LifeCam\LifeCam.exe" = C:\Programme\Microsoft LifeCam\LifeCam.exe:*:Enabled:LifeCam.exe -- (Microsoft Corporation)
"C:\WINDOWS\system32\fxsclnt.exe" = C:\WINDOWS\system32\fxsclnt.exe:*:Enabled:Microsoft Fax Console -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\rapimgr.exe" = C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\wcescomm.exe" = C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager -- (Microsoft Corporation)
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe" = C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application -- (Microsoft Corporation)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"D:\fuel\mysql\bin\mysqld.exe" = D:\fuel\mysql\bin\mysqld.exe:*:Disabled:mysqld -- File not found
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}" = WISO Sparbuch 2009
"{0819E89D-6214-4B6F-A18D-4633CB4E0E4A}" = Softwareupdate für Webordner
"{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour
"{1E04F83B-2AB9-4301-9EF7-E86307F79C72}" = Google Earth
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{24561814-4815-4387-AC59-05DDEC5AF013}" = ACDSee 4.0.1 Standard
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java(TM) 6 Update 21
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4360BB46-507E-4361-8DCB-4FF9BDC9907B}" = SnagIt 7
"{46B70DEB-97B3-4E38-B746-EC16905E6A8F}" = WISO Sparbuch 2010
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{5221B8FB-6C0B-4753-923C-5B78ACEF6626}" = ATI Catalyst Control Center
"{5EDB9281-1F84-4195-9CDD-85985D17DDC7}" = WISO Sparbuch 2007
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8F3C31C5-9C3A-4AA8-8EFA-71290A7AD533}" = TomTom HOME Visual Studio Merge Modules
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{91120407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003
"{91F7F3F3-CE80-48C3-8327-7D24A0A5716A}" = iTunes
"{98736A65-3C79-49EC-B7E9-A3C77774B0E6}" = Google SketchUp 6
"{99052DB7-9592-4522-A558-5417BBAD48EE}" = Microsoft ActiveSync
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A9DBEBC-C800-4776-A970-D76D6AA405B1}" = PHOTOfunSTUDIO HD Edition
"{A1973A71-BC23-4A8C-A0A0-2B0497B7EAF4}" = WISO Sparbuch 2008
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{AD88355B-A4E0-4DA1-BAC3-EA4FEA930691}" = Ipswitch WS_FTP 12
"{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support
"{B3D8B2F8-3C2C-45BC-933E-8B60E78F6684}" = Google SketchUp 6
"{B76B2B1C-EDB0-4A4A-9D97-226EFE745BC4}" = Microsoft LifeCam
"{BA165460-FCF7-4D6C-A7A2-F2321700720F}" = MobileMe Control Panel
"{BB65C393-C76E-4F06-9B0C-2124AA8AF97B}" = Adobe Flash Player 9 ActiveX
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C7340571-7773-4A8C-9EBC-4E4243B38C76}" = Microsoft XML Parser
"{C76E8E58-CFEF-4BE2-9A6F-4F1AE997E5F2}" = Langenscheidt Vokabeltrainer 3.0 Italienisch
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CC038D57-788A-4544-BF8F-179E5CF50D2F}" = Microsoft Visual C++ 2005 SP1 CRT Redistributable
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FE45EF11-F91F-4A39-A3CC-CD6B22FE4288}" = O2Micro Flash Memory Card Windows Driver V2.00
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop 7.0" = Adobe Photoshop 7.0
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"DivX Setup.divx.com" = DivX-Setup
"Firebird SQL Server D" = Firebird SQL Server (D)
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"InstallShield_{FE45EF11-F91F-4A39-A3CC-CD6B22FE4288}" = O2Micro Flash Memory Card Windows Driver V2.00
"LetsTrade" = LetsTrade Komponenten
"MAGIX Digital Foto Maker SE D" = MAGIX Digital Foto Maker SE (D)
"MAGIX Fotos auf CD D" = MAGIX Fotos auf CD (D)
"MAGIX Media Suite - Standard Edition D" = MAGIX Media Suite - Standard Edition (D)
"MAGIX mp3 maker SE D" = MAGIX mp3 maker SE (D)
"MAGIX Online Druck Service (FS)" = MAGIX Online Druck Service (FS)
"MAGIX Video deLuxe SE D" = MAGIX Video deLuxe SE (D)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MSNINST" = MSN
"Nero - Burning Rom!UninstallKey" = Nero OEM
"Nero BurnRights!UninstallKey" = Nero BurnRights
"NeroVision!UninstallKey" = Nero Digital
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVEContent!UninstallKey" = NeroVision Express Content
"Picasa 3" = Picasa 3
"SCHLECKER Foto Digital Service" = SCHLECKER Foto Digital Service
"Skype™ for Windows Mobile_is1" = Skype™ for Windows Mobile 3.0
"SMSERIAL" = Motorola SM56 Data Fax Modem
"TomTom HOME" = TomTom HOME 2.7.3.1894
"VLC media player" = VideoLAN VLC media player 0.8.6d
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"Wings Of Fury" = Wings Of Fury
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
========== HKEY_USERS Uninstall List ==========
[HKEY_USERS\S-1-5-21-981261687-363558514-1002934090-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
========== Last 10 Event Log Errors ==========
Error: Unable to start EventLog service!
< End of report >
[/code] Nun der Log von OLT (OLT) OTL Logfile: OTL Logfile: Code:
ATTFilter OTL logfile created on: 20.09.2010 18:34:37 - Run 2 OTL by OldTimer - Version 3.2.12.1 Folder = C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 60,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 82,00% Paging File free Paging file location(s): C:\pagefile.sys 0 0 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 111,79 Gb Total Space | 66,18 Gb Free Space | 59,20% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: SPATZELRECHNER Current User Name: Admin NOT logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Java\jre6\bin\java.exe (Sun Microsystems, Inc.) PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe () PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe () PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) PRC - C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom) PRC - C:\Programme\Ipswitch\WS_FTP 12\WsftpCOMHelper.exe (Ipswitch) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft ActiveSync\rapimgr.exe (Microsoft Corporation) PRC - C:\WINDOWS\vVX1000.exe (Microsoft Corporation) PRC - C:\WINDOWS\sm56hlpr.exe (Motorola Inc.) PRC - C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE (Microsoft Corporation) PRC - C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE (Microsoft Corporation) PRC - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe (Adobe Systems Inc.) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== ========== Driver Services (SafeList) ========== ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-981261687-363558514-1002934090-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-981261687-363558514-1002934090-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fuelpilot-bosch ========== FireFox ========== FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {085804F6-522F-4D5E-A45D-14E6F60E9E21}:1.9.1 FF - prefs.js..network.proxy.no_proxies_on: "fuelpilot-bosch" FF - HKLM\software\mozilla\Firefox\extensions\\{085804F6-522F-4D5E-A45D-14E6F60E9E21}: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\{085804F6-522F-4D5E-A45D-14E6F60E9E21} [2010.09.09 22:00:39 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Firefox\extensions\\{BBB87675-DA74-4161-9D62-0FCB4617181E}: C:\Dokumente und Einstellungen\Claudia\Lokale Einstellungen\Anwendungsdaten\{BBB87675-DA74-4161-9D62-0FCB4617181E} FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.20 17:13:26 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.20 17:13:26 | 000,000,000 | ---D | M] [2010.08.30 19:41:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions [2010.08.30 19:41:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions\home2@tomtom.com [2010.09.20 08:02:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\3tulcjol.default\extensions [2010.05.24 19:08:37 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\3tulcjol.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.09.20 08:02:02 | 000,001,595 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\3tulcjol.default\searchplugins\ixquick---deutsch.xml [2010.09.20 08:02:02 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.09.15 21:35:30 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.09.15 21:35:12 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.08.25 02:44:54 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.08.25 02:44:54 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.08.25 02:44:54 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.08.25 02:44:54 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.08.25 02:44:54 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2007.01.28 19:42:51 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (HelperObject Class) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll (TechSmith Corporation) O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O3 - HKLM\..\Toolbar: (SnagIt) - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll (TechSmith Corporation) O3 - HKU\S-1-5-21-981261687-363558514-1002934090-1006\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found. O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe (Apple Inc.) O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe () O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation) O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation) O4 - HKLM..\Run: [LifeCam] C:\Programme\Microsoft LifeCam\LifeExp.exe (Microsoft Corporation) O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe () O4 - HKLM..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe ( ) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [SkyTel] C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe (Motorola Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [VX1000] C:\WINDOWS\vVX1000.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-981261687-363558514-1002934090-1006..\Run: [AOLMIcon] C:\ISP\AOL\AOLMIcon.exe File not found O4 - HKU\S-1-5-21-981261687-363558514-1002934090-1006..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-981261687-363558514-1002934090-1006..\Run: [TomTomHOME.exe] C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom) O4 - HKU\S-1-5-21-981261687-363558514-1002934090-1006..\Run: [T-Online Hinweis] c:\t-online_hinweis\t-online_fs2.exe File not found O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe (Adobe Systems Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PHOTOfunSTUDIO HD Edition.lnk = C:\Programme\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe (Panasonic Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WISO Mein Sparbuch heute.lnk = C:\Programme\WISO\Sparbuch 2010\meinsparbuchheute.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-981261687-363558514-1002934090-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.) O9 - Extra Button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169068222781 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - c:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.12.18 12:40:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{c9c2b198-b45c-11df-8139-001060d00183}\Shell\AutoRun\command - "" = E:\InstallTomTomHOME.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: perfeset - (C:\WINDOWS\system32\regisort.dll) - C:\WINDOWS\System32\regisort.dll File not found O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.09.20 17:22:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes [2010.09.20 08:06:22 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.09.20 08:06:21 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.09.20 08:06:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.09.20 08:06:20 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.09.16 19:09:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss [2010.09.16 18:55:25 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Admin\Recent [2010.09.16 18:52:40 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner [2010.09.15 21:35:48 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java [2010.09.15 21:35:29 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.09.15 21:35:29 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.09.15 21:35:29 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.09.15 21:35:29 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2010.09.15 21:34:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton [2010.09.15 21:34:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\NPE [2010.09.15 21:11:42 | 000,000,000 | ---D | C] -- C:\Avenger [2010.09.15 18:25:10 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\MpEngineStore [2010.09.09 22:02:11 | 000,034,688 | ---- | C] (Toshiba Corp.) -- C:\WINDOWS\System32\drivers\lbrtfdc.sys [2010.09.09 22:00:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\{085804F6-522F-4D5E-A45D-14E6F60E9E21} [2010.08.30 19:42:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\TomTom [2010.08.30 19:42:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom [2010.08.30 19:41:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\TomTom [2010.08.30 19:41:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TomTom [2010.08.30 19:41:22 | 000,000,000 | ---D | C] -- C:\Programme\TomTom International B.V [2010.08.30 19:41:09 | 000,000,000 | ---D | C] -- C:\Programme\TomTom HOME 2 [2010.08.30 19:34:25 | 000,000,000 | ---D | C] -- C:\Programme\TomTom DesktopSuite [10 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.09.20 17:10:33 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.09.20 17:10:31 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.09.20 17:10:28 | 2145,570,816 | -HS- | M] () -- C:\hiberfil.sys [2010.09.20 08:13:25 | 004,718,592 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\NTUSER.DAT [2010.09.20 08:03:49 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.09.15 21:56:34 | 000,001,715 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk [2010.09.15 21:39:40 | 000,001,572 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2010.09.15 21:35:12 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll [2010.09.15 21:35:12 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe [2010.09.15 21:35:12 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe [2010.09.15 21:35:12 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe [2010.09.15 21:35:12 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl [2010.09.15 21:02:43 | 000,724,952 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\avenger.zip [2010.09.15 18:25:10 | 000,000,184 | ---- | M] () -- C:\WINDOWS\System32\MRT.INI [2010.09.09 21:59:03 | 000,000,024 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\apiqfw.dat [2010.09.09 21:58:46 | 000,000,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\avdrn.dat [2010.09.09 18:21:01 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2010.09.08 17:36:56 | 004,555,622 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\P1010963.JPG [2010.09.05 13:46:08 | 000,720,501 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\ard_rington_tatort.mp3 [2010.09.01 17:51:31 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Admin\ntuser.ini [2010.08.31 11:15:01 | 000,002,121 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk [2010.08.29 19:00:44 | 001,084,024 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.08.29 19:00:44 | 000,464,622 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.08.29 19:00:44 | 000,445,918 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.08.29 19:00:44 | 000,086,826 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.08.29 19:00:44 | 000,073,124 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.08.28 09:05:26 | 000,001,490 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\DivX Movies.lnk [2010.08.28 09:05:15 | 000,000,763 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Player.lnk [2010.08.26 20:43:39 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [10 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.09.15 21:02:32 | 000,724,952 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\avenger.zip [2010.09.15 18:25:10 | 000,000,184 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI [2010.09.09 21:58:51 | 000,000,024 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\apiqfw.dat [2010.09.09 21:58:46 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\avdrn.dat [2010.09.08 17:36:56 | 004,555,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\P1010963.JPG [2010.08.28 09:05:15 | 000,000,763 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Player.lnk [2009.11.14 14:24:22 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\$_hpcst$.hpc [2009.10.07 10:59:08 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini [2009.04.29 17:43:25 | 000,000,017 | ---- | C] () -- C:\WINDOWS\Missing.ini [2007.10.29 21:24:52 | 000,001,755 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache [2007.03.25 15:14:31 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2007.03.02 22:56:30 | 000,000,039 | ---- | C] () -- C:\WINDOWS\MB.ini [2007.02.27 10:17:28 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\CNMVS3m.DLL [2007.02.04 13:18:50 | 000,003,072 | ---- | C] () -- C:\WINDOWS\tm.ini [2007.02.03 13:20:17 | 000,000,867 | ---- | C] () -- C:\WINDOWS\wiso.ini [2007.02.03 13:06:58 | 000,000,244 | ---- | C] () -- C:\WINDOWS\BUHL.INI [2007.02.03 12:55:45 | 000,210,944 | ---- | C] () -- C:\WINDOWS\System32\Msvcrt10.dll [2007.02.03 12:55:41 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\adistres.dll [2007.02.02 23:50:18 | 000,012,800 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2007.01.28 19:15:30 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2007.01.17 23:07:04 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2007.01.17 18:43:47 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2006.12.18 14:07:51 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2006.12.18 13:35:51 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\cpuinf32.dll [2006.12.18 13:33:43 | 000,002,856 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini [2006.12.18 13:33:20 | 000,000,180 | ---- | C] () -- C:\WINDOWS\Option.ini [2006.12.18 13:25:28 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini [2006.12.18 12:43:19 | 000,000,778 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2006.12.18 12:38:46 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini [2006.04.27 12:19:01 | 000,015,498 | ---- | C] () -- C:\WINDOWS\VX1000.ini [2005.09.02 14:44:00 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll [2005.07.22 21:30:00 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll [2005.01.21 12:02:28 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\RMDevice.dll [2004.07.20 17:04:00 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\TosBtHcrpAPI.dll [2004.01.15 14:43:00 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\TBTMonUI.dll [2003.02.20 18:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI [2001.12.03 15:48:36 | 000,503,808 | R--- | C] () -- C:\WINDOWS\System32\lt_xtrans.dll [2001.12.03 15:48:36 | 000,286,720 | R--- | C] () -- C:\WINDOWS\System32\MrSIDD.dll [2001.12.03 15:48:36 | 000,163,840 | R--- | C] () -- C:\WINDOWS\System32\lt_common.dll [2001.12.03 15:48:36 | 000,126,976 | R--- | C] () -- C:\WINDOWS\System32\lt_trans.dll [2001.12.03 15:48:36 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\lt_meta.dll [2001.12.03 15:48:36 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\lt_encrypt.dll [2001.12.03 15:48:36 | 000,020,480 | R--- | C] () -- C:\WINDOWS\System32\lt_messagetext.dll [2001.12.03 15:48:32 | 000,006,688 | R--- | C] () -- C:\WINDOWS\System32\Digita.sys [2001.12.03 15:48:30 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportUSB.dll [2001.12.03 15:48:30 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportSerial.dll [2001.12.03 15:48:30 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrDA.dll [2001.12.03 15:48:30 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrCOMM.dll [2000.03.30 14:38:13 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56spn.dll [2000.03.30 14:38:13 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56itl.dll [2000.03.30 14:38:13 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56eng.dll [2000.03.30 14:38:13 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56brz.dll [2000.03.30 14:38:13 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56ger.dll [2000.03.30 14:38:13 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56fra.dll [2000.03.30 14:38:13 | 000,053,248 | ---- | C] () -- C:\WINDOWS\sm56jpn.dll [2000.03.30 14:38:13 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56cht.dll [2000.03.30 14:38:13 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56chs.dll [2000.03.30 14:32:14 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\property.dll < End of report > [/code] |
|
20.09.2010, 18:20
| #6 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | einige Malware gelöscht, jetzt Rundll ismsti.dllZitat:
__________________ --> einige Malware gelöscht, jetzt Rundll ismsti.dll |
|
20.09.2010, 18:58
| #7 |
| | einige Malware gelöscht, jetzt Rundll ismsti.dll Hi, sorry für die dumme Frage, ich habe die drei über Malwarebytes gelöscht. Was ich eigentlich meinte, kann mir jemand sagen und helfen, warum ich mit anderen Programmen dauernd neue Viren/Trojaner finde. Da muss es doch in meinem System noch irgendwas geben, was sich hartnäckig gegen Virenprogramme wehrt. Und so meinte ich eigentlich, ob jemand da noch einen Hinweis aus meinen Logfiles findet oder ob jemand sagen kann, die sehen jetzt eigentlich ganz gut - vermutlich virenfrei Sorry und Danke Jetzt |
|
20.09.2010, 19:03
| #8 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | einige Malware gelöscht, jetzt Rundll ismsti.dllZitat:
 Keiner hat gesagt, dass eine Bereinigung in 3 Minuten erledigt sei! Außerdem musst Du schon posten, was zwischenzeitlich gefunden wird!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.09.2010, 19:10
| #9 |
| | einige Malware gelöscht, jetzt Rundll ismsti.dll Hi, sorry, ich wollte nicht ungeduldig erscheinen, ich hatte mich nur über meine missverständlichen Äußerungen geärgert, denn nun (siehe Forenregeln) hatten wir eine "unsinnige Korrespondenz. Also ich lasse jetzt noch mal Malwarebytes laufen. Mit den anderen Programme (Antivir und hijackthis) nicht mehr gefunden. Soll ich auch OTL nochmal laufen lassen? Danke |
|
20.09.2010, 20:07
| #10 |
| | einige Malware gelöscht, jetzt Rundll ismsti.dll nun habe ich mit Malwarebytes noch einen Suchlauf gestartet. Gefunden hat er nichts, hier mal das Logfile. Darf ich mich jetzt glücklich schätzen und befreit fühlen? Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Database version: 4654
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11
20.09.2010 21:04:17
mbam-log-2010-09-20 (21-04-17).txt
Scan type: Full scan (C:\|)
Objects scanned: 215263
Time elapsed: 57 minute(s), 53 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
(No malicious items detected)
|
|
20.09.2010, 21:14
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | einige Malware gelöscht, jetzt Rundll ismsti.dll Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
O33 - MountPoints2\{c9c2b198-b45c-11df-8139-001060d00183}\Shell\AutoRun\command - "" = E:\InstallTomTomHOME.exe -- File not found
O36 - AppCertDlls: perfeset - (C:\WINDOWS\system32\regisort.dll) - C:\WINDOWS\System32\regisort.dll File not found
[2010.09.09 22:00:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\{085804F6-522F-4D5E-A45D-14E6F60E9E21}
[2010.09.09 21:59:03 | 000,000,024 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\apiqfw.dat
[2010.09.09 21:58:46 | 000,000,004 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\avdrn.dat
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.09.2010, 17:59
| #12 |
| | einige Malware gelöscht, jetzt Rundll ismsti.dll Hallo Arne, hier das Logfile. Aber leider scheint OTL nicht alles gefunden zu haben. Sieht mein Rechner nun besser aus? Woher weißt Du/man, dass man ein paar bestimmte Zeilen aus dem Logfile auf diesen oder jenen Virus hinweisen? Ist das nur Erfahrung oder gibt es da Indizien? Danke Code:
ATTFilter All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c9c2b198-b45c-11df-8139-001060d00183}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c9c2b198-b45c-11df-8139-001060d00183}\ not found.
File E:\InstallTomTomHOME.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\perfeset:C:\WINDOWS\system32\regisort.dll deleted successfully.
Folder C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\{085804F6-522F-4D5E-A45D-14E6F60E9E21}\ not found.
File C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\apiqfw.dat not found.
File C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\avdrn.dat not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYTEMP]
User: Admin
->Temp folder emptied: 544700976 bytes
->Temporary Internet Files folder emptied: 6221857 bytes
->Java cache emptied: 58542 bytes
->FireFox cache emptied: 68320339 bytes
->Flash cache emptied: 6011 bytes
User: All Users
User: Claudia
->Temp folder emptied: 227063367 bytes
->Temporary Internet Files folder emptied: 18305792 bytes
->Java cache emptied: 106475068 bytes
->FireFox cache emptied: 65475715 bytes
->Apple Safari cache emptied: 6241280 bytes
->Flash cache emptied: 1886031 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 32969 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 5061994 bytes
User: SuperAdmin
->Temp folder emptied: 910833 bytes
->Temporary Internet Files folder emptied: 59536 bytes
->FireFox cache emptied: 4685146 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 4511623 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 20587790 bytes
RecycleBin emptied: 576000 bytes
Total Files Cleaned = 1.031,00 mb
OTL by OldTimer - Version 3.2.12.1 log created on 09212010_184832
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
|
|
21.09.2010, 18:23
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | einige Malware gelöscht, jetzt Rundll ismsti.dll Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
21.09.2010, 19:05
| #14 |
| | einige Malware gelöscht, jetzt Rundll ismsti.dll Hallo, hat alles soweit funktioniert. Allerdings habe ich Antivir wieder gestartet, bevor ich Firefox wieder geöffnet habe, ich hoffe, dass war okay. Combofix Logfile: Code:
ATTFilter ComboFix 10-09-20.07 - SuperAdmin 21.09.2010 19:54:32.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2046.1456 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\SuperAdmin\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\Admin\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf
c:\dokumente und einstellungen\Claudia\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf
c:\dokumente und einstellungen\Claudia\Lokale Einstellungen\Anwendungsdaten\{BBB87675-DA74-4161-9D62-0FCB4617181E}
c:\dokumente und einstellungen\Claudia\Lokale Einstellungen\Anwendungsdaten\{BBB87675-DA74-4161-9D62-0FCB4617181E}\chrome.manifest
c:\dokumente und einstellungen\Claudia\Lokale Einstellungen\Anwendungsdaten\{BBB87675-DA74-4161-9D62-0FCB4617181E}\chrome\content\_cfg.js
c:\dokumente und einstellungen\Claudia\Lokale Einstellungen\Anwendungsdaten\{BBB87675-DA74-4161-9D62-0FCB4617181E}\chrome\content\overlay.xul
c:\dokumente und einstellungen\Claudia\Lokale Einstellungen\Anwendungsdaten\{BBB87675-DA74-4161-9D62-0FCB4617181E}\install.rdf
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-21 bis 2010-09-21 ))))))))))))))))))))))))))))))
.
2010-09-21 16:56 . 2010-09-21 16:56 503808 ----a-w- c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1275fc1e-n\msvcp71.dll
2010-09-21 16:56 . 2010-09-21 16:56 499712 ----a-w- c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1275fc1e-n\jmc.dll
2010-09-21 16:56 . 2010-09-21 16:56 348160 ----a-w- c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-1275fc1e-n\msvcr71.dll
2010-09-21 16:56 . 2010-09-21 16:56 61440 ----a-w- c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-12d3ad8f-n\decora-sse.dll
2010-09-21 16:56 . 2010-09-21 16:56 12800 ----a-w- c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-12d3ad8f-n\decora-d3d.dll
2010-09-21 16:43 . 2010-09-21 16:43 -------- d-----w- C:\_OTL
2010-09-20 15:22 . 2010-09-20 15:22 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2010-09-20 06:07 . 2010-09-20 06:07 -------- d-----w- c:\dokumente und einstellungen\SuperAdmin\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-09-20 06:06 . 2010-09-20 06:06 -------- d-----w- c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Malwarebytes
2010-09-20 06:06 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-20 06:06 . 2010-09-20 06:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-20 06:06 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-20 06:06 . 2010-09-20 06:06 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-20 06:04 . 2010-09-21 16:46 -------- d-----w- c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Ipswitch
2010-09-20 06:04 . 2010-09-20 06:04 -------- d-----w- c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Apple Computer
2010-09-20 06:04 . 2010-09-20 06:04 -------- d-----w- c:\dokumente und einstellungen\SuperAdmin\Lokale Einstellungen\Anwendungsdaten\Apple Computer
2010-09-16 16:52 . 2010-09-21 17:32 -------- d-----w- c:\programme\CCleaner
2010-09-15 19:35 . 2010-09-15 19:35 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-09-15 19:34 . 2010-09-15 19:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-09-15 19:34 . 2010-09-15 19:54 -------- d-----w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\NPE
2010-09-15 16:25 . 2010-09-15 16:25 -------- d-----w- c:\windows\system32\MpEngineStore
2010-09-09 21:24 . 2010-09-09 21:24 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-09-09 20:02 . 2008-04-13 18:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-09-09 20:02 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-09-09 20:01 . 2008-04-13 18:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-09-09 20:01 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-09-09 20:00 . 2008-04-13 18:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-08-30 17:48 . 2010-08-30 17:48 20332736 ----a-w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\TomTom\HOME\Profiles\v3ezg27h.default\Updates\v2_7_6_2056_win.exe
2010-08-30 17:42 . 2010-08-30 17:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TomTom
2010-08-30 17:41 . 2010-08-30 17:41 -------- d-----w- c:\dokumente und einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\TomTom
2010-08-30 17:41 . 2010-08-30 17:41 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\TomTom
2010-08-30 17:41 . 2010-08-30 17:41 -------- d-----w- c:\programme\TomTom International B.V
2010-08-30 17:41 . 2010-08-30 17:41 -------- d-----w- c:\programme\TomTom HOME 2
2010-08-30 17:34 . 2010-08-30 17:34 -------- d-----w- c:\programme\TomTom DesktopSuite
2010-08-28 07:05 . 2010-08-28 07:01 185640 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\finishPlugin.dll
2010-08-28 07:05 . 2010-08-28 07:05 56765 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-08-28 07:05 . 2010-08-28 07:05 56997 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-08-28 07:05 . 2010-08-28 07:05 53600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-08-28 07:05 . 2010-08-28 07:05 57691 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-08-28 07:05 . 2010-08-28 07:05 84063 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-08-28 07:05 . 2010-08-28 07:05 54153 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-08-28 07:01 . 2010-08-28 07:01 144696 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-20 16:18 . 2007-01-21 13:05 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Skype
2010-09-20 16:12 . 2010-06-12 20:51 -------- d-----w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\skypePM
2010-09-20 06:04 . 2010-09-20 06:03 74232 ----a-w- c:\dokumente und einstellungen\SuperAdmin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-20 06:03 . 2010-09-20 06:03 143 ----a-w- c:\dokumente und einstellungen\SuperAdmin\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2010-09-15 19:35 . 2010-05-24 09:52 423656 ----a-w- c:\windows\system32\deployJava1.dll
2010-09-15 19:24 . 2007-01-21 19:15 -------- d-----w- c:\programme\Java
2010-09-10 13:55 . 2010-09-10 13:55 24 ----a-w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\apiqfw.dat
2010-08-29 17:00 . 2000-03-30 12:32 86826 ----a-w- c:\windows\system32\perfc007.dat
2010-08-29 17:00 . 2000-03-30 12:32 464622 ----a-w- c:\windows\system32\perfh007.dat
2010-08-28 07:08 . 2010-07-17 22:01 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-08-28 07:05 . 2010-07-17 21:56 -------- d-----w- c:\programme\DivX
2010-08-28 07:05 . 2010-07-17 21:56 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-08-28 07:01 . 2010-07-17 22:00 1062184 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-08-28 07:01 . 2010-07-17 22:00 850200 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-08-26 18:43 . 2010-04-11 12:46 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-08-17 13:17 . 2000-03-30 12:32 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-15 10:37 . 2010-08-15 10:37 -------- d-----w- c:\programme\iTunes
2010-08-15 10:37 . 2010-08-15 10:37 -------- d-----w- c:\programme\iPod
2010-08-15 10:37 . 2007-09-23 11:10 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-08-15 10:33 . 2010-08-15 10:33 -------- d-----w- c:\programme\Bonjour
2010-08-15 10:28 . 2010-08-15 10:28 73000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
2010-08-15 09:25 . 2010-08-15 09:25 503808 ----a-w- c:\dokumente und einstellungen\Claudia\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-300633f9-n\msvcp71.dll
2010-08-15 09:25 . 2010-08-15 09:25 499712 ----a-w- c:\dokumente und einstellungen\Claudia\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-300633f9-n\jmc.dll
2010-08-15 09:25 . 2010-08-15 09:25 348160 ----a-w- c:\dokumente und einstellungen\Claudia\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-300633f9-n\msvcr71.dll
2010-08-15 09:25 . 2010-08-15 09:25 61440 ----a-w- c:\dokumente und einstellungen\Claudia\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-3a9ac2db-n\decora-sse.dll
2010-08-15 09:25 . 2010-08-15 09:25 12800 ----a-w- c:\dokumente und einstellungen\Claudia\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-3a9ac2db-n\decora-d3d.dll
2010-08-05 17:22 . 2010-08-05 17:22 503808 ----a-w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42207a48-n\msvcp71.dll
2010-08-05 17:22 . 2010-08-05 17:22 499712 ----a-w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42207a48-n\jmc.dll
2010-08-05 17:22 . 2010-08-05 17:22 348160 ----a-w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-42207a48-n\msvcr71.dll
2010-08-05 17:22 . 2010-08-05 17:22 61440 ----a-w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-3f0cc489-n\decora-sse.dll
2010-08-05 17:22 . 2010-08-05 17:22 12800 ----a-w- c:\dokumente und einstellungen\Admin\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-3f0cc489-n\decora-d3d.dll
2010-08-01 16:19 . 2007-04-10 17:35 -------- d-----w- c:\programme\Microsoft LifeCam
2010-07-22 15:48 . 2000-03-30 12:32 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-07-17 21:59 . 2010-07-17 21:59 57054 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSDesktopComponents\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59 54166 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAVCDecoder\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59 57532 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSASPDecoder\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59 56458 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXDecoderShortcut\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59 54174 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DSAACDecoder\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59 54128 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Converter\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59 54644 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TranscodeEngine\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59 57409 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ControlPanel\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59 54101 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MPEG2Plugin\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59 52963 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\MSVC80CRTRedist\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59 54073 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Qt4.5\Uninstaller.exe
2010-07-17 21:59 . 2010-07-17 21:59 56969 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\ASPEncoder\Uninstaller.exe
2010-06-30 12:28 . 2000-03-30 12:32 149504 ----a-w- c:\windows\system32\schannel.dll
2010-06-24 12:15 . 2000-03-30 12:32 832512 ----a-w- c:\windows\system32\wininet.dll
2010-06-24 12:15 . 2000-03-30 12:31 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-06-24 12:15 . 2000-03-30 12:31 17408 ------w- c:\windows\system32\corpol.dll
2010-06-24 09:02 . 2000-03-30 12:32 1852032 ----a-w- c:\windows\system32\win32k.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-30 16269312]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"SMSERIAL"="sm56hlpr.exe" [2006-01-20 544768]
"Muscbrigade"="c:\musicbrigade\Musicbrigade.exe" [2005-12-20 40960]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-04-15 45056]
"VX1000"="c:\windows\vVX1000.exe" [2006-10-13 707376]
"LifeCam"="c:\programme\Microsoft LifeCam\LifeExp.exe" [2006-10-13 277296]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-04-13 47392]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-07-21 141608]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-08-20 1164584]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - c:\programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2007-2-3 49254]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-2-3 110592]
PHOTOfunSTUDIO HD Edition.lnk - c:\programme\Panasonic\PHOTOfunSTUDIO\PhAutoRun.exe [2009-10-7 44176]
WISO Mein Sparbuch heute.lnk - c:\programme\WISO\Sparbuch 2010\meinsparbuchheute.exe [2010-1-5 1156392]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeExp.exe"=
"c:\\Programme\\Microsoft LifeCam\\LifeCam.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [05.08.2005 10:51 34144]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [19.12.2005 17:15 28800]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.10.2009 11:57 108289]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\TomTom HOME 2\TomTomHOMEService.exe [13.11.2009 13:31 92008]
S0 zumttt;zumttt; [x]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [18.12.2006 13:36 1527900]
.
Inhalt des "geplante Tasks" Ordners
2010-09-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - c:\dokumente und einstellungen\SuperAdmin\Anwendungsdaten\Mozilla\Firefox\Profiles\84kx7ly6.default\
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien:
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(904)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-09-21 20:00:05
ComboFix-quarantined-files.txt 2010-09-21 18:00
Vor Suchlauf: 23 Verzeichnis(se), 71.944.294.400 Bytes frei
Nach Suchlauf: 27 Verzeichnis(se), 76.149.272.576 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - 3EBBDE81FF017B63E78158CC35309375
|
|
22.09.2010, 09:05
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | einige Malware gelöscht, jetzt Rundll ismsti.dll Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter Dirlook::
C:\_OTL
Driver::
zumttt
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu einige Malware gelöscht, jetzt Rundll ismsti.dll |
| antivir, antivir guard, avira, bho, bonjour, desktop, excel, firefox, google, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, log datei, logfile, malware, mozilla, plug-in, rundll, server, software, sparbuch, start von windows, studio, system, virus/trojaner, windows, windows xp, wiso |
Linear-Darstellung
