| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.09.2010, 21:27
| #1 |
 |  Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 Hallo! Hab mir leider etwas eingefangen. Vor ca. einer Woche hat AntiVir mir angezeigt, dass sich zwei Java Viren auf meinem Rechner befinden. Kurz darauf ist dann der Windows Defender angesprungen und hat die Viren dann (scheinbar) gelöscht. Hier der entsprechende Log von Antivir: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 13. September 2010 23:35
Es wird nach 2833783 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : ****
Computername : MEGATRON
Versionsinformationen:
BUILD.DAT : 9.0.0.422 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 12:16:20
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 20:40:23
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 20:40:43
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 17:15:46
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 21:19:05
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 15:30:49
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:47:47
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 15:09:21
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 15:09:21
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 15:09:21
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 15:09:21
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 15:09:21
VBASE013.VDF : 7.10.11.138 2048 Bytes 13.09.2010 15:09:21
VBASE014.VDF : 7.10.11.139 2048 Bytes 13.09.2010 15:09:22
VBASE015.VDF : 7.10.11.140 2048 Bytes 13.09.2010 15:09:22
VBASE016.VDF : 7.10.11.141 2048 Bytes 13.09.2010 15:09:22
VBASE017.VDF : 7.10.11.142 2048 Bytes 13.09.2010 15:09:22
VBASE018.VDF : 7.10.11.143 2048 Bytes 13.09.2010 15:09:23
VBASE019.VDF : 7.10.11.144 2048 Bytes 13.09.2010 15:09:23
VBASE020.VDF : 7.10.11.145 2048 Bytes 13.09.2010 15:09:23
VBASE021.VDF : 7.10.11.146 2048 Bytes 13.09.2010 15:09:24
VBASE022.VDF : 7.10.11.147 2048 Bytes 13.09.2010 15:09:24
VBASE023.VDF : 7.10.11.148 2048 Bytes 13.09.2010 15:09:25
VBASE024.VDF : 7.10.11.149 2048 Bytes 13.09.2010 15:09:25
VBASE025.VDF : 7.10.11.150 2048 Bytes 13.09.2010 15:09:25
VBASE026.VDF : 7.10.11.151 2048 Bytes 13.09.2010 15:09:26
VBASE027.VDF : 7.10.11.152 2048 Bytes 13.09.2010 15:09:27
VBASE028.VDF : 7.10.11.153 2048 Bytes 13.09.2010 15:09:27
VBASE029.VDF : 7.10.11.154 2048 Bytes 13.09.2010 15:09:27
VBASE030.VDF : 7.10.11.155 2048 Bytes 13.09.2010 15:09:27
VBASE031.VDF : 7.10.11.156 2048 Bytes 13.09.2010 15:09:27
Engineversion : 8.2.4.50
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 15:46:53
AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 26.08.2010 21:01:50
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 16:19:25
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 16:40:30
AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 16:41:52
AEPACK.DLL : 8.2.3.5 471412 Bytes 07.08.2010 12:26:46
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 16:41:42
AEHEUR.DLL : 8.1.2.21 2883958 Bytes 04.09.2010 16:38:54
AEHELP.DLL : 8.1.13.3 242038 Bytes 26.08.2010 21:01:49
AEGEN.DLL : 8.1.3.20 397684 Bytes 26.08.2010 21:01:49
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 16:40:29
AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 16:40:08
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 16:40:28
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 20:18:39
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, +ISO,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PFS,
Beginn des Suchlaufs: Montag, 13. September 2010 23:35
Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NlaSvc\Parameters\internet
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NlaSvc\Parameters\servicedll
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NlaSvc\Parameters\servicedllunloadonstop
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '31896' Objekte überprüft, '3' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyBatteryMgr3.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkLicenseServer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '0' Modul(e) wurden durchsucht
Es wurden '15' Prozesse mit '15' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '45' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\Michael\AppData\Local\Temp\jar_cache6511923240833289118.tmp
[0] Archivtyp: ZIP
--> JavaUpdateManager.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.AJ.4
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4d009b7d.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\Michael\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\51377d4a-105306f1
[0] Archivtyp: ZIP
--> JavaUpdateManager.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.AJ.4
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4cc19b54.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Ende des Suchlaufs: Dienstag, 14. September 2010 00:07
Benötigte Zeit: 32:04 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
17756 Verzeichnisse wurden überprüft
250047 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
250043 Dateien ohne Befall
1787 Archive wurden durchsucht
2 Warnungen
4 Hinweise
31896 Objekte wurden beim Rootkitscan durchsucht
3 Versteckte Objekte wurden gefunden
Danach war dann scheinbar alles wieder ok. Vor einigen Tagen hat Antivir jedoch wieder angezeigt, dass "die Datei wininit.exe der Trojaner TR/spy.96256.32" ist. Später dann auch TR/dldr.Fake.MSE.4 und Java Virus JAVA/C-2009-3867.EH . Hier die Logfiles von Antivir: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 17. September 2010 15:59
Es wird nach 2851395 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : MEGATRON
Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 12:16:20
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 20:40:23
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 20:40:43
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 17:15:46
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 21:19:05
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 15:30:49
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:47:47
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 15:09:21
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 15:09:21
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 15:09:21
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 15:09:21
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 15:09:21
VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 15:26:13
VBASE014.VDF : 7.10.11.166 2048 Bytes 15.09.2010 15:26:13
VBASE015.VDF : 7.10.11.167 2048 Bytes 15.09.2010 15:26:13
VBASE016.VDF : 7.10.11.168 2048 Bytes 15.09.2010 15:26:13
VBASE017.VDF : 7.10.11.169 2048 Bytes 15.09.2010 15:26:13
VBASE018.VDF : 7.10.11.170 2048 Bytes 15.09.2010 15:26:13
VBASE019.VDF : 7.10.11.171 2048 Bytes 15.09.2010 15:26:13
VBASE020.VDF : 7.10.11.172 2048 Bytes 15.09.2010 15:26:13
VBASE021.VDF : 7.10.11.173 2048 Bytes 15.09.2010 15:26:13
VBASE022.VDF : 7.10.11.174 2048 Bytes 15.09.2010 15:26:13
VBASE023.VDF : 7.10.11.175 2048 Bytes 15.09.2010 15:26:13
VBASE024.VDF : 7.10.11.176 2048 Bytes 15.09.2010 15:26:13
VBASE025.VDF : 7.10.11.177 2048 Bytes 15.09.2010 15:26:13
VBASE026.VDF : 7.10.11.178 2048 Bytes 15.09.2010 15:26:13
VBASE027.VDF : 7.10.11.179 2048 Bytes 15.09.2010 15:26:13
VBASE028.VDF : 7.10.11.180 2048 Bytes 15.09.2010 15:26:13
VBASE029.VDF : 7.10.11.181 2048 Bytes 15.09.2010 15:26:13
VBASE030.VDF : 7.10.11.182 2048 Bytes 15.09.2010 15:26:13
VBASE031.VDF : 7.10.11.200 114176 Bytes 17.09.2010 13:58:02
Engineversion : 8.2.4.52
AEVDF.DLL : 8.1.2.1 106868 Bytes 30.07.2010 15:46:53
AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 26.08.2010 21:01:50
AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 16:19:25
AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 16:40:30
AERDL.DLL : 8.1.8.2 614772 Bytes 21.07.2010 16:41:52
AEPACK.DLL : 8.2.3.5 471412 Bytes 07.08.2010 12:26:46
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 16:41:42
AEHEUR.DLL : 8.1.2.21 2883958 Bytes 04.09.2010 16:38:54
AEHELP.DLL : 8.1.13.3 242038 Bytes 26.08.2010 21:01:49
AEGEN.DLL : 8.1.3.21 401780 Bytes 16.09.2010 15:26:14
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 16:40:29
AECORE.DLL : 8.1.16.2 192887 Bytes 21.07.2010 16:40:08
AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 16:40:28
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.7 159784 Bytes 17.02.2010 20:18:39
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +PFS,
Beginn des Suchlaufs: Freitag, 17. September 2010 15:59
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '31564' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTStackServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ONENOTEM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EasyBatteryMgr3.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cvpnd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NetworkLicenseServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '58' Prozesse mit '58' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '42' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\Michael\AppData\Local\Temp\mkcxhunr.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Fake.MSE.4
C:\Users\Michael\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\1f62c23a-3f12f7d7
[0] Archivtyp: ZIP
--> vmain.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/C-2009-3867.EH
Beginne mit der Suche in 'D:\'
Beginne mit der Desinfektion:
C:\Users\Michael\AppData\Local\Temp\mkcxhunr.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Fake.MSE.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cf67ff6.qua' verschoben!
C:\Users\Michael\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\1f62c23a-3f12f7d7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cc97ff1.qua' verschoben!
Ende des Suchlaufs: Freitag, 17. September 2010 16:47
Benötigte Zeit: 36:25 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
18149 Verzeichnisse wurden überprüft
271931 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
271927 Dateien ohne Befall
2008 Archive wurden durchsucht
2 Warnungen
4 Hinweise
31564 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Seitdem ist es allerdings schon 3 Mal passiert, dass eine Browser Meldung aufgepoppt ist, die behauptete auf meinem System wurde Malware gefunden und Windows Defender würde diese nun entfernen. (Anhang 1.jpg) Daraufhin hat sich ein Browserfenster mit einem angeblich ablaufenden Windows Defender Virenbeseitigungsvorgang geöffnet, welches ich dann immer sofort wieder geschlossen habe. (2.jpg) Das ganze ist offensichtlich eher ein Dateidowload. Außerdem habe ich heute festgestellt, dass ich nicht mehr auf google suchen kann. Wenn ich auf eine Suchergebnis klicke, lande ich immer auf irgendwelchen seltsamen Seiten (w**.netwere.com, usw.). Das ganze scheint immer von der Seite: h**p://kyqygyv.co.cc auszugehen. Ich weiß nciht ob das evtl normal ist, aber in den Antivir logfiles steht auch ich hätte Windows Vista, obwohl ich jedoch Windows 7 nutze. Hier die Logfiles von einem aktuellen OTL scan: Code:
ATTFilter OTL logfile created on: 19.09.2010 19:25:13 - Run 1 OTL by OldTimer - Version 3.2.14.0 Folder = C:\Users\Michael\Desktop An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 54,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 71,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 88,31 Gb Total Space | 26,83 Gb Free Space | 30,38% Space Free | Partition Type: NTFS Drive D: | 88,00 Gb Total Space | 80,67 Gb Free Space | 91,68% Space Free | Partition Type: NTFS E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: MEGATRON Current User Name: ***** Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Users\****\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe (ABBYY) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation) PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation) PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.) PRC - C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation) PRC - C:\Programme\Samsung\EBM\EasyBatteryMgr3.exe (SAMSUNG Electronics co., LTD.) PRC - C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe (SAMSUNG Electronics) PRC - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.) PRC - C:\Programme\WIDCOMM\Bluetooth Software\BTStackServer.exe (Broadcom Corporation.) PRC - C:\Windows\System32\agrsmsvc.exe (Agere Systems) ========== Modules (SafeList) ========== MOD - C:\Users\****\Desktop\OTL.exe (OldTimer Tools) MOD - C:\Windows\System32\sspicli.dll (Microsoft Corporation) MOD - C:\Windows\System32\sechost.dll (Microsoft Corporation) MOD - C:\Windows\System32\samcli.dll (Microsoft Corporation) MOD - C:\Windows\System32\profapi.dll (Microsoft Corporation) MOD - C:\Windows\System32\netutils.dll (Microsoft Corporation) MOD - C:\Windows\System32\KernelBase.dll (Microsoft Corporation) MOD - C:\Windows\System32\dwmapi.dll (Microsoft Corporation) MOD - C:\Windows\System32\devobj.dll (Microsoft Corporation) MOD - C:\Windows\System32\cryptbase.dll (Microsoft Corporation) MOD - C:\Windows\System32\cfgmgr32.dll (Microsoft Corporation) MOD - C:\Windows\System32\msscript.ocx (Microsoft Corporation) MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (Akamai) -- c:\Programme\Common Files\Akamai\rswin_3746.dll () SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation) SRV - (getPlusHelper) getPlus(R) -- C:\Programme\NOS\bin\getPlus_Helper.dll (NOS Microsystems Ltd.) SRV - (ABBYY.Licensing.FineReader.Professional.10.0) -- C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe (ABBYY) SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (WwanSvc) -- C:\Windows\System32\wwansvc.dll (Microsoft Corporation) SRV - (WbioSrvc) -- C:\Windows\System32\wbiosrvc.dll (Microsoft Corporation) SRV - (Power) -- C:\Windows\System32\umpo.dll (Microsoft Corporation) SRV - (Themes) -- C:\Windows\System32\themeservice.dll (Microsoft Corporation) SRV - (sppuinotify) -- C:\Windows\System32\sppuinotify.dll (Microsoft Corporation) SRV - (StorSvc) -- C:\Windows\System32\StorSvc.dll (Microsoft Corporation) SRV - (RpcEptMapper) -- C:\Windows\System32\RpcEpMap.dll (Microsoft Corporation) SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation) SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation) SRV - (PNRPsvc) -- C:\Windows\System32\pnrpsvc.dll (Microsoft Corporation) SRV - (p2pimsvc) -- C:\Windows\System32\pnrpsvc.dll (Microsoft Corporation) SRV - (HomeGroupProvider) -- C:\Windows\System32\provsvc.dll (Microsoft Corporation) SRV - (PNRPAutoReg) -- C:\Windows\System32\pnrpauto.dll (Microsoft Corporation) SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation) SRV - (HomeGroupListener) -- C:\Windows\System32\ListSvc.dll (Microsoft Corporation) SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation) SRV - (Dhcp) -- C:\Windows\System32\dhcpcore.dll (Microsoft Corporation) SRV - (defragsvc) -- C:\Windows\System32\defragsvc.dll (Microsoft Corporation) SRV - (BDESVC) -- C:\Windows\System32\bdesvc.dll (Microsoft Corporation) SRV - (AxInstSV) ActiveX-Installer (AxInstSV) -- C:\Windows\System32\AxInstSv.dll (Microsoft Corporation) SRV - (AppIDSvc) -- C:\Windows\System32\appidsvc.dll (Microsoft Corporation) SRV - (sppsvc) -- C:\Windows\System32\sppsvc.exe (Microsoft Corporation) SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (CVPND) -- C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.) SRV - (AgereModemAudio) -- C:\Windows\System32\agrsmsvc.exe (Agere Systems) ========== Driver Services (SafeList) ========== DRV - (ALSysIO) -- C:\Users\Michael\AppData\Local\Temp\ALSysIO.sys File not found DRV - (KSecPkg) -- C:\Windows\System32\Drivers\ksecpkg.sys (Microsoft Corporation) DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (cmdide) -- C:\Windows\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.) DRV - (adpahci) -- C:\Windows\system32\DRIVERS\adpahci.sys (Adaptec, Inc.) DRV - (adp94xx) -- C:\Windows\system32\DRIVERS\adp94xx.sys (Adaptec, Inc.) DRV - (amdsbs) -- C:\Windows\system32\DRIVERS\amdsbs.sys (AMD Technologies Inc.) DRV - (adpu320) -- C:\Windows\system32\DRIVERS\adpu320.sys (Adaptec, Inc.) DRV - (arcsas) -- C:\Windows\system32\DRIVERS\arcsas.sys (Adaptec, Inc.) DRV - (amdsata) -- C:\Windows\system32\DRIVERS\amdsata.sys (Advanced Micro Devices) DRV - (arc) -- C:\Windows\system32\DRIVERS\arc.sys (Adaptec, Inc.) DRV - (amdxata) -- C:\Windows\system32\DRIVERS\amdxata.sys (Advanced Micro Devices) DRV - (aliide) -- C:\Windows\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.) DRV - (nvstor) -- C:\Windows\system32\DRIVERS\nvstor.sys (NVIDIA Corporation) DRV - (nvraid) -- C:\Windows\system32\DRIVERS\nvraid.sys (NVIDIA Corporation) DRV - (nfrd960) -- C:\Windows\system32\DRIVERS\nfrd960.sys (IBM Corporation) DRV - (LSI_SAS) -- C:\Windows\system32\DRIVERS\lsi_sas.sys (LSI Corporation) DRV - (iaStorV) -- C:\Windows\system32\DRIVERS\iaStorV.sys (Intel Corporation) DRV - (MegaSR) -- C:\Windows\system32\DRIVERS\MegaSR.sys (LSI Corporation, Inc.) DRV - (LSI_SCSI) -- C:\Windows\system32\DRIVERS\lsi_scsi.sys (LSI Corporation) DRV - (LSI_FC) -- C:\Windows\system32\DRIVERS\lsi_fc.sys (LSI Corporation) DRV - (LSI_SAS2) -- C:\Windows\system32\DRIVERS\lsi_sas2.sys (LSI Corporation) DRV - (iirsp) -- C:\Windows\system32\DRIVERS\iirsp.sys (Intel Corp./ICP vortex GmbH) DRV - (megasas) -- C:\Windows\system32\DRIVERS\megasas.sys (LSI Corporation) DRV - (hwpolicy) -- C:\Windows\System32\drivers\hwpolicy.sys (Microsoft Corporation) DRV - (elxstor) -- C:\Windows\system32\DRIVERS\elxstor.sys (Emulex) DRV - (aic78xx) -- C:\Windows\system32\DRIVERS\djsvs.sys (Adaptec, Inc.) DRV - (HpSAMD) -- C:\Windows\system32\DRIVERS\HpSAMD.sys (Hewlett-Packard Company) DRV - (FsDepends) -- C:\Windows\System32\drivers\fsdepends.sys (Microsoft Corporation) DRV - (vsmraid) -- C:\Windows\system32\DRIVERS\vsmraid.sys (VIA Technologies Inc.,Ltd) DRV - (vmbus) -- C:\Windows\system32\DRIVERS\vmbus.sys (Microsoft Corporation) DRV - (vhdmp) -- C:\Windows\system32\DRIVERS\vhdmp.sys (Microsoft Corporation) DRV - (storflt) -- C:\Windows\system32\DRIVERS\vmstorfl.sys (Microsoft Corporation) DRV - (vdrvroot) -- C:\Windows\system32\DRIVERS\vdrvroot.sys (Microsoft Corporation) DRV - (storvsc) -- C:\Windows\system32\DRIVERS\storvsc.sys (Microsoft Corporation) DRV - (WIMMount) -- C:\Windows\System32\drivers\wimmount.sys (Microsoft Corporation) DRV - (viaide) -- C:\Windows\system32\DRIVERS\viaide.sys (VIA Technologies, Inc.) DRV - (ql2300) -- C:\Windows\system32\DRIVERS\ql2300.sys (QLogic Corporation) DRV - (rdyboost) -- C:\Windows\System32\drivers\rdyboost.sys (Microsoft Corporation) DRV - (ql40xx) -- C:\Windows\system32\DRIVERS\ql40xx.sys (QLogic Corporation) DRV - (SiSRaid4) -- C:\Windows\system32\DRIVERS\sisraid4.sys (Silicon Integrated Systems) DRV - (pcw) -- C:\Windows\System32\drivers\pcw.sys (Microsoft Corporation) DRV - (SiSRaid2) -- C:\Windows\system32\DRIVERS\SiSRaid2.sys (Silicon Integrated Systems Corp.) DRV - (stexstor) -- C:\Windows\system32\DRIVERS\stexstor.sys (Promise Technology) DRV - (CNG) -- C:\Windows\System32\Drivers\cng.sys (Microsoft Corporation) DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\System32\Drivers\Brserid.sys (Brother Industries Ltd.) DRV - (rdpbus) -- C:\Windows\System32\drivers\rdpbus.sys (Microsoft Corporation) DRV - (RDPREFMP) -- C:\Windows\System32\drivers\RDPREFMP.sys (Microsoft Corporation) DRV - (RasAgileVpn) WAN Miniport (IKEv2) -- C:\Windows\System32\drivers\agilevpn.sys (Microsoft Corporation) DRV - (WfpLwf) -- C:\Windows\System32\drivers\wfplwf.sys (Microsoft Corporation) DRV - (NdisCap) -- C:\Windows\System32\drivers\ndiscap.sys (Microsoft Corporation) DRV - (vwifibus) -- C:\Windows\System32\drivers\vwifibus.sys (Microsoft Corporation) DRV - (1394ohci) -- C:\Windows\system32\DRIVERS\1394ohci.sys (Microsoft Corporation) DRV - (UmPass) -- C:\Windows\system32\DRIVERS\umpass.sys (Microsoft Corporation) DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation) DRV - (mshidkmdf) -- C:\Windows\System32\drivers\mshidkmdf.sys (Microsoft Corporation) DRV - (MTConfig) -- C:\Windows\system32\DRIVERS\MTConfig.sys (Microsoft Corporation) DRV - (CompositeBus) -- C:\Windows\System32\drivers\CompositeBus.sys (Microsoft Corporation) DRV - (AppID) -- C:\Windows\system32\drivers\appid.sys (Microsoft Corporation) DRV - (scfilter) -- C:\Windows\System32\drivers\scfilter.sys (Microsoft Corporation) DRV - (s3cap) -- C:\Windows\system32\DRIVERS\vms3cap.sys (Microsoft Corporation) DRV - (VMBusHID) -- C:\Windows\system32\DRIVERS\VMBusHID.sys (Microsoft Corporation) DRV - (discache) -- C:\Windows\System32\drivers\discache.sys (Microsoft Corporation) DRV - (HidBatt) -- C:\Windows\system32\DRIVERS\HidBatt.sys (Microsoft Corporation) DRV - (AcpiPmi) -- C:\Windows\system32\DRIVERS\acpipmi.sys (Microsoft Corporation) DRV - (AmdPPM) -- C:\Windows\system32\DRIVERS\amdppm.sys (Microsoft Corporation) DRV - (hcw85cir) -- C:\Windows\system32\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.) DRV - (BrUsbMdm) -- C:\Windows\System32\Drivers\BrUsbMdm.sys (Brother Industries Ltd.) DRV - (BrUsbSer) -- C:\Windows\System32\Drivers\BrUsbSer.sys (Brother Industries Ltd.) DRV - (BrSerWdm) -- C:\Windows\System32\Drivers\BrSerWdm.sys (Brother Industries Ltd.) DRV - (BrFiltLo) -- C:\Windows\system32\DRIVERS\BrFiltLo.sys (Brother Industries, Ltd.) DRV - (BrFiltUp) -- C:\Windows\system32\DRIVERS\BrFiltUp.sys (Brother Industries, Ltd.) DRV - (AgereSoftModem) -- C:\Windows\System32\drivers\AGRSM.sys (LSI Corp) DRV - (yukonw7) -- C:\Windows\System32\drivers\yk62x86.sys (Marvell) DRV - (netw5v32) Intel(R) -- C:\Windows\System32\drivers\netw5v32.sys (Intel Corporation) DRV - (b57nd60x) -- C:\Windows\System32\drivers\b57nd60x.sys (Broadcom Corporation) DRV - (ebdrv) -- C:\Windows\system32\DRIVERS\evbdx.sys (Broadcom Corporation) DRV - (b06bdrv) -- C:\Windows\system32\DRIVERS\bxvbdx.sys (Broadcom Corporation) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - (KMWDFILTERx86) -- C:\Windows\System32\drivers\KMWDFILTER.sys (Windows (R) Codename Longhorn DDK provider) DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (CVPNDRVA) -- C:\Windows\System32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.) DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.) DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation) DRV - (NETw4v32) Intel(R) -- C:\Windows\System32\drivers\NETw4v32.sys (Intel Corporation) DRV - (SynTP) -- C:\Windows\System32\drivers\SynTP.sys (Synaptics, Inc.) DRV - (rimmptsk) -- C:\Windows\System32\drivers\rimmptsk.sys (REDC) DRV - (rismxdp) -- C:\Windows\System32\drivers\rixdptsk.sys (REDC) DRV - (rimsptsk) -- C:\Windows\System32\drivers\rimsptsk.sys (REDC) DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.) DRV - (btwaudio) -- C:\Windows\System32\drivers\btwaudio.sys (Broadcom Corporation.) DRV - (btwrchid) -- C:\Windows\System32\drivers\btwrchid.sys (Broadcom Corporation.) DRV - (btwavdt) -- C:\Windows\System32\drivers\btwavdt.sys (Broadcom Corporation.) DRV - (yukonwlh) -- C:\Windows\System32\drivers\yk60x86.sys (Marvell) DRV - (KMDFMEMIO) -- C:\Windows\System32\drivers\KMDFMEMIO.sys (SAMSUNG ELECTRONICS CO., LTD.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 7F 57 96 7B 41 54 CB 01 [binary data] IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.selectedEngine: "Wikipedia (de)" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.spiegel.de" FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2 FF - prefs.js..extensions.enabledItems: 5 FF - prefs.js..extensions.enabledItems: 0 FF - prefs.js..extensions.enabledItems: 1 FF - prefs.js..extensions.enabledItems: {8AA36F4F-6DC7-4c06-77AF-5035170634FE}:2010.01.21 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.09.17 15:56:03 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.09.17 15:56:03 | 000,000,000 | ---D | M] [2009.12.04 14:01:17 | 000,000,000 | ---D | M] -- C:\Users\Michael\AppData\Roaming\mozilla\Extensions [2010.09.19 17:55:27 | 000,000,000 | ---D | M] -- C:\Users\Michael\AppData\Roaming\mozilla\Firefox\Profiles\gyu6ap5n.default\extensions [2009.12.04 14:06:38 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Users\Michael\AppData\Roaming\mozilla\Firefox\Profiles\gyu6ap5n.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7} [2009.12.20 21:57:48 | 000,000,000 | ---D | M] -- C:\Users\Michael\AppData\Roaming\mozilla\Firefox\Profiles\gyu6ap5n.default\extensions\firefox@tvunetworks.com [2009.12.04 23:45:12 | 000,001,042 | ---- | M] () -- C:\Users\Michael\AppData\Roaming\Mozilla\FireFox\Profiles\gyu6ap5n.default\searchplugins\wikipedia-eng.xml [2010.09.13 23:22:42 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.02.25 15:13:52 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{8AA36F4F-6DC7-4c06-77AF-5035170634FE} [2010.09.13 23:22:42 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.07.26 21:16:36 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.07.26 21:16:36 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.07.26 21:16:36 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.07.26 21:16:36 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.07.26 21:16:36 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Bonus.SSR.FR10] C:\Program Files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe (ABBYY.) O4 - HKLM..\Run: [ Malwarebytes Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvSvc] C:\Windows\System32\nvsvc.DLL (NVIDIA Corporation) O4 - Startup: C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O8 - Extra context menu item: &Citavi Picker... - C:\Program Files\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html () O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm () O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} https://juniper.net/dana-cached/sc/JuniperSetupClient.cab (JuniperSetupClientControl Class) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 85.216.127.130 192.168.0.1 O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O30 - LSA: Security Packages - (pku2u) - C:\Windows\System32\pku2u.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\Shell - "" = AutoRun O33 - MountPoints2\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\Shell\AutoRun\command - "" = F:\WD SmartWare.exe -- File not found O33 - MountPoints2\{884729dc-2529-11df-9cbe-00197efa9d6c}\Shell - "" = AutoRun O33 - MountPoints2\{884729dc-2529-11df-9cbe-00197efa9d6c}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.09.19 18:47:06 | 000,576,000 | ---- | C] (OldTimer Tools) -- C:\Users\Michael\Desktop\OTL.exe [2010.09.13 23:23:00 | 000,000,000 | ---D | C] -- C:\ProgramData\Sun [2010.09.13 23:22:59 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\Java [2010.09.13 23:22:40 | 000,423,656 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\deployJava1.dll [2010.09.13 23:22:40 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe [2010.09.13 23:22:40 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe [2010.09.13 23:22:40 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe [2010.09.13 22:18:56 | 000,000,000 | -H-D | C] -- C:\Users\Public\Documents\Server [2010.09.13 17:25:33 | 000,000,000 | ---D | C] -- C:\Users\Michael\Desktop\frEeze-Teleportation [2010.09.03 17:51:01 | 000,000,000 | ---D | C] -- C:\Users\Michael\Desktop\mazamovie [2010.09.03 17:03:39 | 000,000,000 | ---D | C] -- C:\Users\Michael\AppData\Roaming\ABBYY [2010.09.03 16:30:04 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\ABBYY [2010.09.03 16:28:43 | 000,000,000 | ---D | C] -- C:\Users\Michael\AppData\Local\ABBYY [2010.09.03 16:28:42 | 000,000,000 | ---D | C] -- C:\ProgramData\ABBYY [2010.09.03 16:20:08 | 000,000,000 | ---D | C] -- C:\Programme\Common [2010.09.03 16:18:53 | 000,245,408 | ---- | C] (Microsoft Corporation) -- C:\Programme\unicows.dll [2010.09.03 16:18:53 | 000,000,000 | ---D | C] -- C:\Programme\ABBYY FineReader 10 [2010.09.03 16:18:52 | 001,822,520 | ---- | C] (Microsoft Corporation) -- C:\Programme\instmsiw.exe [2010.09.03 16:18:52 | 000,547,080 | ---- | C] (ABBYY.) -- C:\Programme\Setup.exe [2010.09.03 16:18:52 | 000,000,000 | ---D | C] -- C:\Programme\ReadMe [2010.09.03 16:18:52 | 000,000,000 | ---D | C] -- C:\Programme\Licences [2010.09.03 16:18:51 | 000,000,000 | ---D | C] -- C:\Programme\Guide [1 C:\Users\Michael\Desktop\*.tmp files -> C:\Users\Michael\Desktop\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.09.19 19:27:48 | 002,097,152 | -HS- | M] () -- C:\Users\Michael\NTUSER.DAT [2010.09.19 19:25:00 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2010.09.19 19:25:00 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2010.09.19 18:47:26 | 000,576,000 | ---- | M] (OldTimer Tools) -- C:\Users\Michael\Desktop\OTL.exe [2010.09.19 17:51:03 | 000,013,440 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2010.09.19 17:51:03 | 000,013,440 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2010.09.19 17:47:47 | 001,486,084 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI [2010.09.19 17:47:47 | 000,648,704 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2010.09.19 17:47:47 | 000,611,332 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2010.09.19 17:47:47 | 000,128,930 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2010.09.19 17:47:47 | 000,105,512 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2010.09.19 17:43:45 | 000,276,359 | ---- | M] () -- C:\Users\Michael\AppData\Roaming\nvModes.001 [2010.09.19 17:43:19 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT [2010.09.19 17:43:15 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2010.09.19 17:43:10 | 1609,375,744 | -HS- | M] () -- C:\hiberfil.sys [2010.09.18 00:12:21 | 001,023,010 | -H-- | M] () -- C:\Users\Michael\AppData\Local\IconCache.db [2010.09.17 21:04:43 | 000,051,712 | ---- | M] () -- C:\Users\Michael\Desktop\Bescheinigung Anlage 1.doc [2010.09.17 15:51:35 | 000,410,152 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT [2010.09.16 23:04:26 | 000,276,359 | ---- | M] () -- C:\Users\Michael\AppData\Roaming\nvModes.dat [2010.09.16 18:13:17 | 253,173,335 | ---- | M] () -- C:\Windows\MEMORY.DMP [2010.09.16 14:47:37 | 000,138,608 | ---- | M] () -- C:\Windows\System32\drivers\PnkBstrK.sys [2010.09.16 14:47:28 | 000,234,576 | ---- | M] () -- C:\Windows\System32\PnkBstrB.xtr [2010.09.14 20:21:19 | 002,600,960 | ---- | M] () -- C:\Users\Michael\Desktop\LiteraturlisteDiplomarbeit.ctv [2010.09.12 19:43:34 | 000,001,075 | ---- | M] () -- C:\Users\Michael\Desktop\StreamTorrent 1.0.lnk [2010.09.10 11:26:51 | 000,011,206 | ---- | M] () -- C:\Users\Michael\Desktop\Sehr geehrte Frau Stange.docx [2010.08.31 15:00:57 | 000,047,104 | ---- | M] () -- C:\Users\Michael\Desktop\FORMULAR - Anlage 3.doc [2010.08.31 15:00:51 | 000,074,752 | ---- | M] () -- C:\Users\Michael\Desktop\FORMULAR - Anlage 2.doc [2010.08.31 15:00:44 | 000,044,544 | ---- | M] () -- C:\Users\Michael\Desktop\FORMULAR - Anlage 1.doc [2010.08.23 23:05:51 | 000,001,984 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk [1 C:\Users\Michael\Desktop\*.tmp files -> C:\Users\Michael\Desktop\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.09.17 21:04:42 | 000,051,712 | ---- | C] () -- C:\Users\Michael\Desktop\Bescheinigung Anlage 1.doc [2010.09.16 18:13:17 | 253,173,335 | ---- | C] () -- C:\Windows\MEMORY.DMP [2010.09.12 19:43:34 | 000,001,075 | ---- | C] () -- C:\Users\Michael\Desktop\StreamTorrent 1.0.lnk [2010.09.10 11:26:50 | 000,011,206 | ---- | C] () -- C:\Users\Michael\Desktop\Sehr geehrte Frau Stange.docx [2010.09.03 16:18:52 | 006,410,240 | ---- | C] () -- C:\Programme\ABBYY FineReader 10 Professional Edition.msi [2010.09.03 16:18:52 | 000,238,080 | ---- | C] () -- C:\Programme\1049.mst [2010.09.03 16:18:52 | 000,138,752 | ---- | C] () -- C:\Programme\1045.mst [2010.09.03 16:18:52 | 000,130,560 | ---- | C] () -- C:\Programme\1031.mst [2010.09.03 16:18:52 | 000,128,000 | ---- | C] () -- C:\Programme\1036.mst [2010.09.03 16:18:52 | 000,125,952 | ---- | C] () -- C:\Programme\1043.mst [2010.09.03 16:18:52 | 000,012,800 | ---- | C] () -- C:\Programme\1033.mst [2010.09.03 16:18:52 | 000,000,200 | ---- | C] () -- C:\Programme\setup.ini [2010.08.31 15:00:57 | 000,047,104 | ---- | C] () -- C:\Users\Michael\Desktop\FORMULAR - Anlage 3.doc [2010.08.31 15:00:50 | 000,074,752 | ---- | C] () -- C:\Users\Michael\Desktop\FORMULAR - Anlage 2.doc [2010.08.31 15:00:43 | 000,044,544 | ---- | C] () -- C:\Users\Michael\Desktop\FORMULAR - Anlage 1.doc [2010.07.26 18:22:26 | 000,085,504 | ---- | C] () -- C:\Windows\System32\ff_vfw.dll [2010.06.01 17:37:39 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll [2010.05.30 13:30:14 | 000,007,625 | ---- | C] () -- C:\Users\Michael\AppData\Local\Resmon.ResmonCfg [2010.02.04 01:40:15 | 000,000,262 | ---- | C] () -- C:\Windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini [2009.12.07 15:22:52 | 000,139,152 | ---- | C] () -- C:\Users\Michael\AppData\Roaming\PnkBstrK.sys [2009.12.07 15:22:52 | 000,138,608 | ---- | C] () -- C:\Windows\System32\drivers\PnkBstrK.sys [2009.12.04 16:26:47 | 000,276,359 | ---- | C] () -- C:\Users\Michael\AppData\Roaming\nvModes.001 [2009.12.04 16:26:46 | 000,276,359 | ---- | C] () -- C:\Users\Michael\AppData\Roaming\nvModes.dat [2009.12.04 16:17:30 | 000,000,135 | R--- | C] () -- C:\Windows\System32\lngEng.ini [2009.12.04 16:17:30 | 000,000,117 | ---- | C] () -- C:\Windows\System32\lngKor.ini [2009.12.04 16:15:39 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll [2009.12.04 15:15:52 | 000,000,830 | ---- | C] () -- C:\Windows\Rtcw.INI [2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll [2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll [2009.01.13 12:29:00 | 000,197,408 | ---- | C] () -- C:\Windows\System32\vpnapi.dll [2008.09.08 10:19:48 | 000,022,723 | ---- | C] () -- C:\Windows\System32\cl31cl3.dll [2006.12.20 13:00:12 | 000,389,120 | ---- | C] () -- C:\Windows\System32\btwhidcs.dll [2005.05.06 20:06:00 | 000,016,480 | ---- | C] () -- C:\Windows\System32\rixdicon.dll [2001.11.14 13:56:00 | 001,802,240 | ---- | C] () -- C:\Windows\System32\lcppn21.dll < End of report > Code:
ATTFilter OTL Extras logfile created on: 19.09.2010 19:25:13 - Run 1
OTL by OldTimer - Version 3.2.14.0 Folder = C:\Users\Michael\Desktop
An unknown product (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 54,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 71,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 88,31 Gb Total Space | 26,83 Gb Free Space | 30,38% Space Free | Partition Type: NTFS
Drive D: | 88,00 Gb Total Space | 80,67 Gb Free Space | 91,68% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: MEGATRON
Current User Name: ***
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~1\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
========== Authorized Applications List ==========
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution II
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{24508D50-EB8F-4FE6-B69D-B4935D8745EF}_is1" = Warsow 0.5
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 21
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{6F730513-8688-4C3C-90A3-6B9792CE2EF3}" = Easy Battery Manager
"{789289CA-F73A-4A16-A331-54D498CE069F}" = Ventrilo Client
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{804F1285-8CBF-408D-8CDC-D4D40003B2E4}" = PlayCamera
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A0F925BF-5C55-44C2-A4E7-5A4C59791C29}" = mDriver
"{A13E07E1-A423-44FB-9DEE-B24C75C1BAF2}" = WIDCOMM Bluetooth Software
"{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5}" = iTunes
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{DA703982C580418795BF4001AA9D7061}" = DivX Plus Media Foundation Components
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{E30D6E28-3570-47B1-BEFD-E36EB60D493E}" = Wie man's spricht Demoversion
"{F1000000-0001-0000-0000-074957833700}" = ABBYY FineReader 10 Professional Edition
"{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}" = Cisco Systems VPN Client 5.0.05.0290
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Advanced PDF Repair v2.0" = Advanced PDF Repair v2.0
"Agere Systems Soft Modem" = Agere Systems HDA Modem
"Akamai" = Akamai NetSession Interface
"Ant Renamer 2_is1" = Ant Renamer
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"CCleaner" = CCleaner
"Citavi" = Citavi 2.5
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"ENTERPRISE" = Microsoft Office Enterprise 2007
"ffdshow_is1" = ffdshow [rev 3291] [2010-02-26]
"Google Chrome" = Google Chrome
"HLSW_is1" = HLSW v1.3.2.1
"JDownloader" = JDownloader
"Juniper_Setup_Client Activex Control" = Juniper Networks Setup Client Activex Control
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"mIRC" = mIRC
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"NVIDIA Drivers" = NVIDIA Drivers
"ProInst" = Intel(R) PROSet/Wireless Software
"PunkBusterSvc" = PunkBuster Services
"Q3E Minimizer_is1" = Q3E Minimizer v1.51
"Return to Castle Wolfenstein" = Return to Castle Wolfenstein
"Seismovision 3" = Seismovision 3 (remove only)
"SopCast" = SopCast 3.2.4
"StreamTorrent 1.0" = StreamTorrent 1.0
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"SystemRequirementsLab" = System Requirements Lab
"TVUPlayer" = TVUPlayer 2.5.0.1
"Veetle TV" = Veetle TV 0.9.16
"VLC media player" = VLC media player 1.0.3
"WinRAR archiver" = WinRAR
"Wolfenstein - Enemy Territory" = Wolfenstein - Enemy Territory
"YAWn!" = YAWn!.NET (remove only)
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Juniper_Setup_Client" = Juniper Networks Setup Client
"Neoteris_Host_Checker" = Juniper Networks Host Checker
"Octoshape Streaming Services" = Octoshape Streaming Services
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 13.09.2010 16:29:38 | Computer Name = Megatron | Source = VSS | ID = 8194
Description =
Error - 14.09.2010 15:26:31 | Computer Name = Megatron | Source = Application Hang | ID = 1002
Description = Programm iexplore.exe, Version 8.0.7600.16385 kann nicht mehr unter
Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf
in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
zu suchen. Prozess-ID: 250 Startzeit: 01cb544173a0bd94 Endzeit: 20 Anwendungspfad:
C:\Program Files\Internet Explorer\iexplore.exe Berichts-ID:
Error - 15.09.2010 13:30:13 | Computer Name = Megatron | Source = Application Hang | ID = 1002
Description = Programm ET.exe, Version 0.0.0.0 kann nicht mehr unter Windows ausgeführt
werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: d3c Startzeit:
01cb54f58eb51f94 Endzeit: 461 Anwendungspfad: D:\Program Files\Wolfenstein - Enemy
Territory\ET.exe Berichts-ID:
Error - 15.09.2010 14:11:22 | Computer Name = Megatron | Source = Application Hang | ID = 1002
Description = Programm ET.exe, Version 0.0.0.0 kann nicht mehr unter Windows ausgeführt
werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: d84 Startzeit:
01cb54fbab80c371 Endzeit: 595 Anwendungspfad: D:\Program Files\Wolfenstein - Enemy
Territory\ET.exe Berichts-ID:
Error - 15.09.2010 17:16:21 | Computer Name = Megatron | Source = Windows Search Service | ID = 3007
Description =
Error - 16.09.2010 11:09:03 | Computer Name = Megatron | Source = Application Hang | ID = 1002
Description = Programm ET.exe, Version 0.0.0.0 kann nicht mehr unter Windows ausgeführt
werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
um nach weiteren Informationen zum Problem zu suchen. Prozess-ID: 11fc Startzeit:
01cb559d09f31c9f Endzeit: 630 Anwendungspfad: D:\Program Files\Wolfenstein - Enemy
Territory\ET.exe Berichts-ID:
Error - 17.09.2010 08:35:45 | Computer Name = Megatron | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: firefox.exe, Version: 1.9.2.3888,
Zeitstempel: 0x4c745229 Name des fehlerhaften Moduls: CoolType.dll, Version: 5.5.72.1,
Zeitstempel: 0x4c65839a Ausnahmecode: 0xc0000409 Fehleroffset: 0x00184a72 ID des fehlerhaften
Prozesses: 0x914 Startzeit der fehlerhaften Anwendung: 0x01cb56633cfffd32 Pfad der
fehlerhaften Anwendung: C:\Program Files\Mozilla Firefox\firefox.exe Pfad des fehlerhaften
Moduls: C:\Program Files\Adobe\Reader 9.0\Reader\CoolType.dll Berichtskennung: 17111795-c258-11df-b60f-9aefbad38c92
Error - 17.09.2010 08:36:04 | Computer Name = Megatron | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: firefox.exe, Version: 1.9.2.3888,
Zeitstempel: 0x4c745229 Name des fehlerhaften Moduls: CoolType.dll, Version: 5.5.72.1,
Zeitstempel: 0x4c65839a Ausnahmecode: 0xc0000409 Fehleroffset: 0x00184a72 ID des fehlerhaften
Prozesses: 0x9f8 Startzeit der fehlerhaften Anwendung: 0x01cb5664de914efd Pfad der
fehlerhaften Anwendung: C:\Program Files\Mozilla Firefox\firefox.exe Pfad des fehlerhaften
Moduls: C:\Program Files\Adobe\Reader 9.0\Reader\CoolType.dll Berichtskennung: 2263571d-c258-11df-b60f-9aefbad38c92
Error - 17.09.2010 13:25:06 | Computer Name = Megatron | Source = Google Update | ID = 20
Description =
Error - 17.09.2010 14:56:57 | Computer Name = Megatron | Source = Google Update | ID = 20
Description =
[ OSession Events ]
Error - 08.06.2010 13:32:42 | Computer Name = Megatron | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 3, Application Name: Microsoft Office PowerPoint, Application
Version: 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session
lasted 53 seconds with 0 seconds of active time. This session ended with a crash.
[ System Events ]
Error - 23.06.2010 18:08:38 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR14
gefunden.
Error - 23.06.2010 18:08:38 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR14
gefunden.
Error - 24.06.2010 00:46:49 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR15
gefunden.
Error - 24.06.2010 00:46:50 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR15
gefunden.
Error - 24.06.2010 00:46:51 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR15
gefunden.
Error - 24.06.2010 00:53:59 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.
Error - 24.06.2010 00:54:00 | Computer Name = Megatron | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.
Error - 25.06.2010 13:07:43 | Computer Name = Megatron | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am ?24.?06.?2010 um 08:12:45 unerwartet heruntergefahren.
Error - 25.06.2010 19:06:10 | Computer Name = Megatron | Source = Service Control Manager | ID = 7043
Description = Der Dienst Windows Update konnte nach dem Empfang eines Preshutdown-Steuerelements
nicht richtig heruntergefahren werden.
Error - 02.07.2010 16:37:28 | Computer Name = Megatron | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
von Dienst Netman erreicht.
< End of report >
Vielen Dank schonmal, Gruß premier! Geändert von premier (19.09.2010 um 21:34 Uhr) |
|
20.09.2010, 09:41
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32__________________
__________________ |
|
20.09.2010, 11:48
| #3 |
| | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 Hi Arne,
__________________vielen Dank, dass du dich meines Problems annimmst. Hab grad nen Malwarebytes Scan gemacht. Hat dabei nen rogue installer entdeckt und gelöscht. Vielleicht bei einem der gestarteten Datei downloads (der angeblichen Malware Beseitigung) eingefangen. Das wird jedoch leider nciht der Trojaner gewesen sein, oder? Hier das logfile: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4655
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
20.09.2010 12:36:53
mbam-log-2010-09-20 (12-36-53).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 227435
Laufzeit: 47 Minute(n), 8 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Users\*****\AppData\Local\Mozilla\Firefox\Profiles\gyu6ap5n.default\Cache\7C9C2FA7d01 (Rogue.Installer) -> Quarantined and deleted successfully.
|
|
20.09.2010, 11:54
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
O33 - MountPoints2\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\Shell - "" = AutoRun
O33 - MountPoints2\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\Shell\AutoRun\command - "" = F:\WD SmartWare.exe -- File not found
O33 - MountPoints2\{884729dc-2529-11df-9cbe-00197efa9d6c}\Shell - "" = AutoRun
O33 - MountPoints2\{884729dc-2529-11df-9cbe-00197efa9d6c}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
[2010.09.13 22:18:56 | 000,000,000 | -H-D | C] -- C:\Users\Public\Documents\Server
:Commands
[purity]
[resethosts]
[emptytemp]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
20.09.2010, 12:46
| #5 |
| | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 Moin. Hier das aktuelle OTL Logfile. Der Rechner ist bei dem Neustart nicht normal hochgefahren sondern konnte nur mit der Windows Starthilfe starten. Ist das normal? Code:
ATTFilter All processes killed
========== OTL ==========
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3d70ae09-e0c9-11de-b12d-00197efa9d6c}\ not found.
File F:\WD SmartWare.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{884729dc-2529-11df-9cbe-00197efa9d6c}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{884729dc-2529-11df-9cbe-00197efa9d6c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{884729dc-2529-11df-9cbe-00197efa9d6c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{884729dc-2529-11df-9cbe-00197efa9d6c}\ not found.
File F:\LaunchU3.exe not found.
C:\Users\Public\Documents\Server folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Michael
->Temp folder emptied: 622700596 bytes
->Temporary Internet Files folder emptied: 215893909 bytes
->Java cache emptied: 62057082 bytes
->FireFox cache emptied: 79926861 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 113601 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 7475817 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 942,00 mb
OTL by OldTimer - Version 3.2.14.0 log created on 09202010_130154
Files\Folders moved on Reboot...
Registry entries deleted on Reboot...
|
|
20.09.2010, 13:30
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 |
|
20.09.2010, 14:41
| #7 |
| | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 Hi! Hier das Combofix Logfile: Code:
ATTFilter ComboFix 10-09-19.03 - **** 20.09.2010 15:21:06.1.2 - x86 Microsoft Windows 7 Professional 6.1.7600.0.1252.49.1031.18.2046.1321 [GMT 2:00] ausgeführt von:: c:\users\****\Desktop\Cofi.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\program files\\setup.exe c:\program files\Setup.exe D:\install.exe . ((((((((((((((((((((((( Dateien erstellt von 2010-08-20 bis 2010-09-20 )))))))))))))))))))))))))))))) . 2010-09-20 13:27 . 2010-09-20 13:27 -------- d-----w- c:\users\Default\AppData\Local\temp 2010-09-20 11:01 . 2010-09-20 11:01 -------- d-----w- C:\_OTL 2010-09-15 11:01 . 2010-08-21 05:32 316928 ----a-w- c:\windows\system32\spoolsv.exe 2010-09-13 21:22 . 2010-09-13 21:22 -------- d-----w- c:\program files\Common Files\Java 2010-09-13 21:22 . 2010-07-17 03:00 423656 ----a-w- c:\windows\system32\deployJava1.dll 2010-09-03 15:03 . 2010-09-03 15:03 -------- d-----w- c:\users\*****\AppData\Roaming\ABBYY 2010-09-03 14:30 . 2010-09-03 14:30 -------- d-----w- c:\program files\Common Files\ABBYY 2010-09-03 14:28 . 2010-09-03 14:28 -------- d-----w- c:\users\*****\AppData\Local\ABBYY 2010-09-03 14:28 . 2010-09-03 14:28 -------- d-----w- c:\programdata\ABBYY 2010-09-03 14:20 . 2010-09-03 14:20 -------- d---a-w- c:\program files\Common 2010-09-03 14:18 . 2010-09-03 14:56 -------- d---a-w- c:\program files\ABBYY FineReader 10 2010-09-03 14:18 . 2009-07-07 16:12 245408 ----a-w- c:\program files\unicows.dll 2010-09-03 14:18 . 2010-09-03 14:18 -------- d---a-w- c:\program files\ReadMe 2010-09-03 14:18 . 2010-09-03 14:18 -------- d---a-w- c:\program files\Licences 2010-09-03 14:18 . 2009-10-07 13:21 6410240 ----a-w- c:\program files\ABBYY FineReader 10 Professional Edition.msi 2010-09-03 14:18 . 2009-07-07 16:12 1822520 ----a-w- c:\program files\instmsiw.exe 2010-09-03 14:18 . 2010-09-03 14:18 -------- d---a-w- c:\program files\Guide 2010-09-03 14:01 . 2008-09-08 08:19 19968 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\cl31cpc.dll 2010-08-25 10:18 . 2010-04-07 07:10 571904 ----a-w- c:\windows\system32\oleaut32.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-09-20 13:27 . 2010-01-31 16:10 -------- d-----w- c:\program files\Common Files\Akamai 2010-09-20 13:10 . 2009-12-04 12:32 -------- d-----w- c:\program files\CCleaner 2010-09-20 13:03 . 2009-12-04 14:26 276383 ----a-w- c:\users\Michael\AppData\Roaming\nvModes.dat 2010-09-20 12:25 . 2009-12-07 13:22 234576 ----a-w- c:\windows\system32\PnkBstrB.exe 2010-09-20 12:24 . 2009-12-07 13:22 138608 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2010-09-19 21:52 . 2009-07-14 08:47 648704 ----a-w- c:\windows\system32\perfh007.dat 2010-09-19 21:52 . 2009-07-14 08:47 128930 ----a-w- c:\windows\system32\perfc007.dat 2010-09-17 17:50 . 2009-12-24 14:23 -------- d-----w- c:\users\Michael\AppData\Roaming\vlc 2010-09-16 16:24 . 2009-12-04 16:44 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-09-15 21:18 . 2009-12-12 13:26 -------- d-----w- c:\programdata\Microsoft Help 2010-09-13 21:22 . 2009-12-10 16:55 -------- d-----w- c:\program files\Java 2010-08-08 20:26 . 2010-08-08 20:24 -------- d-----w- c:\program files\JDownloader 2010-07-31 17:16 . 2009-12-22 16:49 -------- d-----w- c:\users\*****\AppData\Roaming\mIRC 2010-07-29 06:30 . 2010-08-11 13:21 197632 ----a-w- c:\windows\system32\ir32_32.dll 2010-07-29 06:30 . 2010-08-11 13:21 82944 ----a-w- c:\windows\system32\iccvid.dll 2010-07-26 16:28 . 2010-07-26 16:22 -------- d-----w- c:\program files\ffdshow 2010-07-26 16:21 . 2010-07-26 16:21 4563946 ----a-w- c:\users\*****\ffdshow_rev3402_20100504_clsid.exe 2010-07-26 16:13 . 2010-07-21 18:30 -------- d-----w- c:\users\*****\AppData\Roaming\dvdcss 2010-07-22 14:06 . 2009-12-07 13:22 139152 ----a-w- c:\users\Michael\AppData\Roaming\PnkBstrK.sys 2010-07-22 14:06 . 2009-12-07 13:22 139152 ----a-w- c:\users\Michael\AppData\Roaming\PnkBstrK.sys 2010-07-22 14:05 . 2009-12-07 13:22 794408 ----a-w- c:\windows\system32\pbsvc.exe 2010-07-18 22:31 . 2009-12-04 11:57 110000 ----a-w- c:\users\Michael\AppData\Local\GDIPFONTCACHEV1.DAT 2010-07-16 09:38 . 2010-08-18 14:12 836096 ----a-w- c:\users\Michael\AppData\Roaming\Octoshape\Octoshape Streaming Services\pmv307a-1007160-0-libOctoshapeClient.dll 2010-06-30 06:25 . 2010-08-11 13:20 978432 ----a-w- c:\windows\system32\wininet.dll 2009-10-07 09:19 . 2010-09-03 14:18 238080 ----a-w- c:\program files\1049.mst 2009-10-07 09:19 . 2010-09-03 14:18 138752 ----a-w- c:\program files\1045.mst 2009-10-07 09:19 . 2010-09-03 14:18 128000 ----a-w- c:\program files\1036.mst 2009-10-07 09:19 . 2010-09-03 14:18 125952 ----a-w- c:\program files\1043.mst 2009-10-07 09:19 . 2010-09-03 14:18 130560 ----a-w- c:\program files\1031.mst 2009-10-07 09:19 . 2010-09-03 14:18 12800 ----a-w- c:\program files\1033.mst 2009-07-31 18:14 . 2010-09-03 14:18 200 ----a-w- c:\program files\setup.ini 2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat 2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "NvSvc"="c:\windows\system32\nvsvc.dll" [2007-05-22 86016] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-22 8433664] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-22 81920] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-02-06 839680] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552] "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832] "Bonus.SSR.FR10"="c:\program files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" [2009-10-07 939272] " Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952] c:\users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-12-20 719664] VPN Client.lnk - c:\windows\Installer\{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}\Icon3E5562ED7.ico [2010-2-16 6144] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux1"=wdmaud.drv R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 gupdate1ca8b26d84ef62e;Google Update Service (gupdate1ca8b26d84ef62e);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-01 133104] R3 ALSysIO;ALSysIO;c:\users\Michael\AppData\Local\Temp\ALSysIO.sys [x] R3 KMWDFILTERx86;HIDServiceDesc;c:\windows\system32\DRIVERS\KMWDFILTER.sys [2009-04-29 25088] S2 ABBYY.Licensing.FineReader.Professional.10.0;ABBYY FineReader 10 PE Licensing Service;c:\program files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe [2009-09-29 809736] S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2009-07-14 20992] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289] S2 KMDFMEMIO;SAMSUNG Kernel Driver;c:\windows\system32\DRIVERS\kmdfmemio.sys [2006-11-14 13312] S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168] S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] getPlusHelper REG_MULTI_SZ getPlusHelper Akamai REG_MULTI_SZ Akamai . Inhalt des "geplante Tasks" Ordners 2010-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-01 21:10] 2010-09-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-01-01 21:10] . . ------- Zusätzlicher Suchlauf ------- . uInternet Settings,ProxyOverride = *.local IE: &Citavi Picker... - file://c:\program files\Internet Explorer\PLUGINS\Citavi Picker\ShowContextMenu.html IE: Bild an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000 IE: Seite an &Bluetooth-Gerät senden... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} - hxxps://juniper.net/dana-cached/sc/JuniperSetupClient.cab FF - ProfilePath - c:\users\Michael\AppData\Roaming\Mozilla\Firefox\Profiles\gyu6ap5n.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\program files\Veetle\Player\npvlc.dll FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll FF - plugin: c:\program files\Veetle\VLCBroadcast\npvbp.dll FF - plugin: c:\users\Michael\AppData\Roaming\Mozilla\Firefox\Profiles\gyu6ap5n.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll FF - plugin: c:\users\Michael\AppData\Roaming\Mozilla\plugins\npoctoshape.dll ---- FIREFOX Richtlinien ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 "MSCurrentCountry"=dword:000000b5 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 "MSCurrentCountry"=dword:000000b5 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Zeit der Fertigstellung: 2010-09-20 15:29:50 ComboFix-quarantined-files.txt 2010-09-20 13:29 Vor Suchlauf: 7 Verzeichnis(se), 31.226.089.472 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 30.991.052.800 Bytes frei - - End Of File - - 7AA2C1C1402B03E8C61A58769FEFA335 |
|
20.09.2010, 17:27
| #8 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus Anschließend den bootkit_remover herunterladen. Entpacke das Tool in einen eigenen Ordner auf dem Desktop und führe in diesem Ordner die Datei remove.exe aus. Wenn Du Windows Vista oder Windows 7 verwendest, musst Du die remover.exe über ein Rechtsklick => als Administrator ausführen Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. Poste dann bitte, ob es Veränderungen gibt und wenn ja in welchem device. Am besten alles posten was die remover.exe ausgibt.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.09.2010, 18:26
| #9 |
| | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 Hallo Arne. GMER hat leider mein Notebook zwei Mal zum abstürzen gebracht. Hier das Osam logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 19:17:58 on 20.09.2010 OS: Windows 7 (Build 7600), 32-bit Default Browser: Mozilla Corporation Firefox 3.6.10 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\MLCFG32.CPL "QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "ALSysIO" (ALSysIO) - ? - C:\Users\Michael\AppData\Local\Temp\ALSysIO.sys (File not found) "avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\Users\Michael\AppData\Local\Temp\catchme.sys (File not found) "Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\Windows\system32\Drivers\CVPNDRVA.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys [Explorer] -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll {88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? - (File not found | COM-object registry key not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {731E006D-0C55-4C6F-ABF0-C98F268FD077} "APDFRCtxMenu Class" - ? - C:\Program Files\APDFR\APDFRSHL.dll {D8D1CE8C-B1EB-4E95-B63B-1531BA60E992} "DivX Property Handler" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXPropertyHandler.dll {83238FAE-D346-4E12-8734-D42F7554B3E6} "DivX Thumbnail Provider" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXThumbnailProvider.dll {bc5e1455-02ca-4b30-8eed-91d52a38da75} "FineReader10.FRContextMenu.1" - "ABBYY." - C:\Program Files\ABBYY FineReader 10\FRIntegration.dll {99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Program Files\iTunes\iTunesMiniPlayer.dll {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll {5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\ONFILTER.DLL {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll {7842554E-6BED-11D2-8CDB-B05550C10000} "Monitor Class" - "Broadcom Corporation." - C:\Windows\system32\btncopy.dll {0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\OLKFSTUB.DLL {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll [Internet Explorer] -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_21" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_21.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab {F27237D7-93C8-44C2-AC6E-D6057B9A918F} "JuniperSetupClientControl Class" - "Juniper Networks" - C:\Windows\Downloaded Program Files\JuniperSetupClient.ocx / https://juniper.net/dana-cached/sc/JuniperSetupClient.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "@btrez.dll,-4015" - ? - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm {48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll "ICQ6" - "ICQ, LLC." - C:\Program Files\ICQ6.5\ICQ.exe {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll [Logon] -----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )----- "OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Shortcut exists | File exists) "desktop.ini" - ? - C:\Users\Michael\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini "BTTray.lnk" - "Broadcom Corporation." - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe (Shortcut exists | File exists) "VPN Client.lnk" - "Cisco Systems, Inc." - C:\Program Files\Cisco Systems\VPN Client\vpngui.exe (Shortcut exists | File exists) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min "Bonus.SSR.FR10" - "ABBYY." - "C:\Program Files\ABBYY FineReader 10\Bonus.ScreenshotReader.exe" /autorun "GrooveMonitor" - "Microsoft Corporation" - "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" "iTunesHelper" - "Apple Inc." - "C:\Program Files\iTunes\iTunesHelper.exe" " Malwarebytes Anti-Malware (reboot)" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript "QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "PDFCreator" - ? - C:\Windows\system32\pdfcmnnt.dll (File found, but it contains no detailed information) "Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "@C:\Program Files\NOS\bin\getPlus_Helper.dll,-101" (getPlusHelper) - "NOS Microsystems Ltd." - C:\Program Files\NOS\bin\getPlus_Helper.dll "ABBYY FineReader 10 PE Licensing Service" (ABBYY.Licensing.FineReader.Professional.10.0) - "ABBYY" - C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\PE\NetworkLicenseServer.exe "Akamai NetSession Interface" (Akamai) - ? - c:\program files\common files\akamai\rswin_3746.dll (File found, but it contains no detailed information) "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe "Bonjour-Dienst" (Bonjour Service) - "Apple Inc." - C:\Program Files\Bonjour\mDNSResponder.exe "Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe "Google Update Service (gupdate1ca8b26d84ef62e)" (gupdate1ca8b26d84ef62e) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe "Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE "Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE "PnkBstrA" (PnkBstrA) - ? - C:\Windows\system32\PnkBstrA.exe (File found, but it contains no detailed information) [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru Code:
ATTFilter Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
OS Version: Microsoft Windows 7 (build 7600), 32-bit
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000002`80100000
Boot sector MD5 is: bb4f1627d8b9beda49ac0d010229f3ff
Size Device Name MBR Status
--------------------------------------------
186 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
Done;
Press any key to quit...
|
|
20.09.2010, 18:27
| #10 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32Zitat:
Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.09.2010, 20:49
| #11 |
| | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 Servus! Hier die Scans von malwarebyte: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4657
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
20.09.2010 20:19:37
mbam-log-2010-09-20 (20-19-37).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 230100
Laufzeit: 46 Minute(n), 57 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com
Generated 09/20/2010 at 09:35 PM
Application Version : 4.43.1000
Core Rules Database Version : 5541
Trace Rules Database Version: 3353
Scan type : Complete Scan
Total Scan Time : 00:56:07
Memory items scanned : 759
Memory threats detected : 0
Registry items scanned : 9825
Registry threats detected : 0
File items scanned : 93589
File threats detected : 2
Adware.Tracking Cookie
s0.2mdn.net [ C:\Users\Michael\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\P6HAHMW9 ]
www.naiadsystems.com [ C:\Users\Michael\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\P6HAHMW9 ]
Gruß premier! |
|
20.09.2010, 21:23
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
20.09.2010, 21:30
| #13 |
| | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 Ne, die google Suche funktioniert wieder ganz normal. Denkst du, ich kann so wieder beruhigt mit dem Notebook arbeiten? Vielen Dank schonmal für deine Mühen! Wirklich klasse!  Gruß premier! |
|
21.09.2010, 10:25
| #14 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 Wir sind dann durch! Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
22.09.2010, 17:48
| #15 |
| | Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 Sauber! Alles upgedated. Vielen, vielen Dank! Das ging ja wirklich flott! Viele Grüße premier!  |
|
| Themen zu Google Suche manipuliert. System verseucht mit JAVA/C-2009-3867.EH und TR/spy.96256.32 |
| 0 bytes, agere systems, akamai, anlage, antivir, audiodg.exe, autorun, avgntflt.sys, bho, bonjour, browser, components, corp./icp, desktop, dwm.exe, error, eudora, excel.exe, fehlalarm, firefox.exe, flash player, fontcache, google, google chrome, iexplore.exe, install.exe, jar_cache, java virus, java-virus, jdownloader, jusched.exe, langs, local\temp, location, malware, malware gefunden, microsoft office word, nt.dll, nvlddmkm.sys, nvstor.sys, office 2007, oldtimer, otl logfile, otl scan, otl.exe, plug-in, programdata, registry, saver, sched.exe, searchplugins, security, security update, sekunden, shell32.dll, software, start menu, starten, svchost.exe, system, taskhost.exe, tr/spy., trojaner, usb, versteckte objekte, verweise, viren, virus gefunden, vlc media player, warnung, webcheck, windows |
Linear-Darstellung
