| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner Spy.31.232.57, Crypt.XPACK.Gen, ....Gen2, ....Gen3; BDS/Papras.RR >> Quarantäne "voll"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
27.09.2010, 17:50
| #1 |
| |  Trojaner Spy.31.232.57, Crypt.XPACK.Gen, ....Gen2, ....Gen3; BDS/Papras.RR >> Quarantäne "voll" Hallo allerseits, es sieht so aus, daß ich als DAU zu sorglos auf das Antivirenprogramm mich verlassen habe. Habe heute in die Quarantäne geschaut und dort etliche Einträge gesehen; die im Thread genannten sind nicht alle, die angezeigt werden. Nachdem ich zwar einige der Kandidaten im Netz ergoogelt habe, ist das Procedere der Bereinigung mehr oder weniger immer unterschiedlich, je nach dem, um welchen Schädling es sich handelt. Da ich keine eigenen Experimente mit Verfahren, die bei anderen genannt wurden, anstellen möchte, wende ich mich mit der Bitte um Hilfe an Euch. Habe load.exe runtergeladen und gestartet und bin der Anleitung bis zum quick-Scan von Malwarebytes gefolgt. mbm-log folgt. Allerdings ist dann beim Durchführen von defogger kein logfile erstellt worden. Weil ich unsicher bin, was das bedeutet, habe ich erst mal nichts weiter gemacht und den Beitrag hier gepostet. mbam: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4704
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
27.09.2010 18:09:52
mbam-log-2010-09-27 (18-09-52).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 156957
Laufzeit: 3 Minute(n), 54 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macromedia\SwUpdate\swupdate.dll.tmp (Trojan.Agent) -> No action taken.
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{003541a1-3bc0-1b1c-aaf3-040114001c01} (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\swupdate (Trojan.Agent) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Packer.Gen) -> Data: c:\windows\system32\userinit.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Packer.Gen) -> Data: system32\userinit.exe -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macromedia\SwUpdate\swupdate.dll.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macromedia\SwUpdate\Local.dtd (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macromedia\SwUpdate\swupdate.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macromedia\SwUpdate\Ui.dtd (Malware.Trace) -> No action taken.
taurus |
|
28.09.2010, 13:47
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Trojaner Spy.31.232.57, Crypt.XPACK.Gen, ....Gen2, ....Gen3; BDS/Papras.RR >> Quarantäne "voll" Hallo und
__________________ Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
|
29.09.2010, 01:39
| #3 |
| | Trojaner Spy.31.232.57, Crypt.XPACK.Gen, ....Gen2, ....Gen3; BDS/Papras.RR >> Quarantäne "voll" Hallo Arne,
__________________erst mal vielen Dank, daß Du Dich meiner annimmst. Hier nun die Logdateien: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4712
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
29.09.2010 02:22:12
mbam-log-2010-09-29 (02-22-12).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|M:\|)
Durchsuchte Objekte: 327950
Laufzeit: 1 Stunde(n), 17 Minute(n), 13 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Packer.Gen) -> Data: c:\windows\system32\userinit.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Packer.Gen) -> Data: system32\userinit.exe -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Musik\Archivieren\MediaMonkey.Gold.v3.0.5.1186.Multilingual.Keymaker.Only-CORE\keygen.exe (Trojan.Dropper.PGen) -> No action taken.
C:\Dokumente und Einstellungen\Uli\Lokale Einstellungen\temp\ie1B.tmp (Malware.Trace) -> No action taken.
OTL Logfile: Code:
ATTFilter OTL logfile created on: 29.09.2010 02:25:11 - Run 1 OTL by OldTimer - Version 3.2.14.1 Folder = C:\Dokumente und Einstellungen\Uli\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 82,00% Paging File free Paging file location(s): [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 298,08 Gb Total Space | 171,43 Gb Free Space | 57,51% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Drive M: | 1279,63 Gb Total Space | 1018,02 Gb Free Space | 79,56% Space Free | Partition Type: NTFS Computer Name: PC-ULI Current User Name: Uli Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Uli\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\PSIService.exe () PRC - C:\Programme\Canon\IJPLM\ijplmsvc.exe () PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\Uli\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (LightScribeService) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company) SRV - (TuneUp.Defrag) -- C:\WINDOWS\system32\TuneUpDefragService.exe (TuneUp Software GmbH) SRV - (UxTuneUp) -- C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software GmbH) SRV - (ProtexisLicensing) -- C:\WINDOWS\system32\PSIService.exe () SRV - (IJPLMSVC) -- C:\Programme\Canon\IJPLM\ijplmsvc.exe () SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (PCANDIS5) -- C:\PROGRA~1\GEMEIN~1\T-Com\DSLCheck\PCANDIS5.SYS File not found DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG) DRV - (AnyDVD) -- C:\WINDOWS\system32\drivers\AnyDVD.sys (SlySoft, Inc.) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys () DRV - (ACEDRV08) -- C:\WINDOWS\system32\drivers\ACEDRV08.sys (Protect Software GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (AVEO) -- C:\WINDOWS\system32\drivers\aveodcnt.sys (AVEO Corp) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys () DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (AtcL001) -- C:\WINDOWS\system32\drivers\l151x86.sys (Atheros Communications, Inc.) DRV - (Cdralw2k) -- C:\WINDOWS\System32\drivers\cdralw2k.sys (Sonic Solutions) DRV - (Cdr4_xp) -- C:\WINDOWS\System32\drivers\cdr4_xp.sys (Sonic Solutions) DRV - (tbhsd) -- C:\WINDOWS\system32\drivers\tbhsd.sys (RapidSolution Software AG) DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys () DRV - (dmxfire) -- C:\WINDOWS\system32\drivers\dmx6fire.sys (Terratec Electronic GmbH) DRV - (MMRTKRNL) -- C:\WINDOWS\system32\drivers\mmrtkrnl.sys (ALCATech GmbH) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.6.4 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..network.proxy.backup.ftp: "64.73.68.98" FF - prefs.js..network.proxy.backup.ftp_port: 80 FF - prefs.js..network.proxy.backup.gopher: "64.73.68.98" FF - prefs.js..network.proxy.backup.gopher_port: 80 FF - prefs.js..network.proxy.backup.socks: "64.73.68.98" FF - prefs.js..network.proxy.backup.socks_port: 80 FF - prefs.js..network.proxy.backup.ssl: "64.73.68.98" FF - prefs.js..network.proxy.backup.ssl_port: 80 FF - prefs.js..network.proxy.ftp: "63.135.92.172" FF - prefs.js..network.proxy.ftp_port: 80 FF - prefs.js..network.proxy.gopher: "63.135.92.172" FF - prefs.js..network.proxy.gopher_port: 80 FF - prefs.js..network.proxy.http: "63.135.92.172" FF - prefs.js..network.proxy.http_port: 80 FF - prefs.js..network.proxy.share_proxy_settings: true FF - prefs.js..network.proxy.socks: "63.135.92.172" FF - prefs.js..network.proxy.socks_port: 80 FF - prefs.js..network.proxy.ssl: "63.135.92.172" FF - prefs.js..network.proxy.ssl_port: 80 FF - HKLM\software\mozilla\Mozilla Firefox 3.0.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.08.21 00:46:59 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.0.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.29 16:00:24 | 000,000,000 | ---D | M] [2008.08.13 19:47:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Uli\Anwendungsdaten\Mozilla\Extensions [2009.11.15 19:54:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Uli\Anwendungsdaten\Mozilla\Firefox\Profiles\7e5jv7gc.default\extensions [2009.06.24 01:06:43 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Uli\Anwendungsdaten\Mozilla\Firefox\Profiles\7e5jv7gc.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2009.11.15 19:54:34 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Uli\Anwendungsdaten\Mozilla\Firefox\Profiles\7e5jv7gc.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2009.11.15 19:54:35 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.07.20 17:21:40 | 000,106,192 | ---- | M] ( ) -- C:\Programme\Mozilla Firefox\plugins\npstrlnk.dll [2008.03.15 15:56:14 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2008.10.13 20:34:40 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2008.02.19 16:40:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2006.12.03 17:59:22 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2006.11.17 13:19:24 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.04.13 00:52:35 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe () O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe () O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} hxxp://ax.emsisoft.com/asquared.cab (a-squared Scanner) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8064.0206.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\Windows Live\Messenger\msgrapp.14.0.8064.0206.dll (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe () O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.08.04 07:50:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.09.29 02:24:11 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Uli\Desktop\OTL.exe [2010.09.28 00:33:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Uli\Desktop\Einzelne Dateien [2010.09.28 00:33:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Uli\Desktop\Spiele [2010.09.28 00:32:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Uli\Desktop\Bilder [2010.09.28 00:32:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Uli\Desktop\Musik [2010.09.27 18:01:45 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT [2010.09.27 17:54:20 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.09.27 17:54:18 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.09.27 17:54:18 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.09.27 17:53:06 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip [2010.09.27 17:51:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Uli\Desktop\MFTools [2010.09.27 12:36:12 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Uli\Recent [2010.09.26 12:10:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Uli\Lokale Einstellungen\Anwendungsdaten\FullTiltPoker [2010.09.25 08:24:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macromedia [2010.09.19 07:38:31 | 003,387,040 | ---- | C] (Piriform Ltd) -- C:\Dokumente und Einstellungen\Uli\Eigene Dateien\ccsetup232.exe [2010.09.19 07:38:08 | 009,056,752 | ---- | C] (Stardock Corporation ) -- C:\Dokumente und Einstellungen\Uli\Eigene Dateien\fences_public.exe [2010.09.17 20:51:09 | 000,026,624 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\stu2.exe [2010.09.16 14:09:44 | 000,027,432 | ---- | C] (Elaborate Bytes AG) -- C:\WINDOWS\System32\drivers\ElbyCDIO.sys [2010.09.15 23:19:55 | 000,089,256 | ---- | C] (Elaborate Bytes AG) -- C:\WINDOWS\System32\ElbyCDIO.dll [2010.09.14 15:16:06 | 000,108,480 | ---- | C] (SlySoft, Inc.) -- C:\WINDOWS\System32\drivers\AnyDVD.sys [2010.09.09 20:29:36 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData ========== Files - Modified Within 30 Days ========== [2010.09.29 02:24:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Uli\Desktop\OTL.exe [2010.09.28 22:05:58 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.09.28 22:05:50 | 000,203,684 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2010.09.28 22:05:47 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.09.28 22:05:46 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.09.28 17:04:46 | 009,961,472 | ---- | M] () -- C:\Dokumente und Einstellungen\Uli\NTUSER.DAT [2010.09.27 18:15:52 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Uli\defogger_reenable [2010.09.27 18:01:45 | 000,000,591 | ---- | M] () -- C:\Dokumente und Einstellungen\Uli\Desktop\NTREGOPT.lnk [2010.09.27 18:01:45 | 000,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\Uli\Desktop\ERUNT.lnk [2010.09.27 17:54:22 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.09.27 17:52:22 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Uli\Desktop\defogger.exe [2010.09.27 17:52:13 | 000,284,915 | ---- | M] () -- C:\Dokumente und Einstellungen\Uli\Desktop\Gmer.zip [2010.09.27 17:43:30 | 000,388,659 | ---- | M] () -- C:\Dokumente und Einstellungen\Uli\Desktop\Load.exe [2010.09.26 20:56:11 | 000,030,208 | ---- | M] () -- C:\WINDOWS\System32\userinit.exe [2010.09.26 17:24:46 | 000,051,563 | ---- | M] () -- C:\Dokumente und Einstellungen\Uli\Eigene Dateien\05-12-15-Bayern München feuerherdt-lackstiefelclub.pdf [2010.09.26 14:44:58 | 000,001,934 | ---- | M] () -- C:\Dokumente und Einstellungen\Uli\Eigene Dateien\cc_20100926_144455.reg [2010.09.26 10:58:32 | 000,000,709 | ---- | M] () -- C:\WINDOWS\win.ini [2010.09.26 10:58:32 | 000,000,281 | RHS- | M] () -- C:\boot.ini [2010.09.26 10:58:32 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini [2010.09.22 20:29:07 | 000,000,125 | -HS- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib [2010.09.19 07:29:25 | 000,000,726 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\AnyDVD.lnk [2010.09.16 14:09:44 | 000,027,432 | ---- | M] (Elaborate Bytes AG) -- C:\WINDOWS\System32\drivers\ElbyCDIO.sys [2010.09.16 00:23:52 | 000,001,310 | ---- | M] () -- C:\Dokumente und Einstellungen\Uli\Eigene Dateien\cc_20100916_002348.reg [2010.09.15 23:19:55 | 000,089,256 | ---- | M] (Elaborate Bytes AG) -- C:\WINDOWS\System32\ElbyCDIO.dll [2010.09.14 15:16:06 | 000,108,480 | ---- | M] (SlySoft, Inc.) -- C:\WINDOWS\System32\drivers\AnyDVD.sys [2010.09.05 16:55:16 | 000,005,382 | ---- | M] () -- C:\Dokumente und Einstellungen\Uli\Eigene Dateien\cc_20100905_165513.reg [2010.09.04 20:21:32 | 000,002,516 | -HS- | M] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2010.09.04 20:21:25 | 000,000,088 | RHS- | M] () -- C:\WINDOWS\System32\6579E6531D.sys ========== Files Created - No Company Name ========== [2010.09.27 18:15:52 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Uli\defogger_reenable [2010.09.27 18:01:45 | 000,000,591 | ---- | C] () -- C:\Dokumente und Einstellungen\Uli\Desktop\NTREGOPT.lnk [2010.09.27 18:01:45 | 000,000,572 | ---- | C] () -- C:\Dokumente und Einstellungen\Uli\Desktop\ERUNT.lnk [2010.09.27 17:54:22 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.09.27 17:52:22 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Uli\Desktop\defogger.exe [2010.09.27 17:52:11 | 000,284,915 | ---- | C] () -- C:\Dokumente und Einstellungen\Uli\Desktop\Gmer.zip [2010.09.27 17:43:29 | 000,388,659 | ---- | C] () -- C:\Dokumente und Einstellungen\Uli\Desktop\Load.exe [2010.09.26 17:24:46 | 000,051,563 | ---- | C] () -- C:\Dokumente und Einstellungen\Uli\Eigene Dateien\05-12-15-Bayern München feuerherdt-lackstiefelclub.pdf [2010.09.26 14:44:56 | 000,001,934 | ---- | C] () -- C:\Dokumente und Einstellungen\Uli\Eigene Dateien\cc_20100926_144455.reg [2010.09.16 00:23:50 | 000,001,310 | ---- | C] () -- C:\Dokumente und Einstellungen\Uli\Eigene Dateien\cc_20100916_002348.reg [2010.09.05 16:55:14 | 000,005,382 | ---- | C] () -- C:\Dokumente und Einstellungen\Uli\Eigene Dateien\cc_20100905_165513.reg [2010.09.04 20:21:25 | 000,002,516 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2010.09.04 20:21:25 | 000,000,088 | RHS- | C] () -- C:\WINDOWS\System32\6579E6531D.sys [2010.01.31 14:56:09 | 000,000,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Uli\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2009.11.30 02:02:00 | 000,034,308 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mazuki.dll [2009.08.05 20:44:50 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\MFC_InstDrvDLL.dll [2009.06.28 20:49:30 | 000,000,359 | ---- | C] () -- C:\WINDOWS\CDPlayer.ini [2009.05.06 21:40:24 | 000,000,084 | ---- | C] () -- C:\WINDOWS\MSGCB.INI [2009.03.28 16:20:56 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Ulead32.INI [2009.03.28 16:14:35 | 000,000,039 | ---- | C] () -- C:\WINDOWS\System32\mscandc.ini [2009.03.28 15:57:36 | 000,044,491 | ---- | C] () -- C:\WINDOWS\System32\MiiIniFile13.ini [2009.03.28 15:57:34 | 000,285,216 | ---- | C] () -- C:\WINDOWS\System32\drivers\Onsio.sys [2009.03.28 15:57:34 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\drivers\Onsreged.sys [2009.01.11 15:13:18 | 000,000,040 | ---- | C] () -- C:\WINDOWS\ChssBase.ini [2009.01.10 20:00:13 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008.12.29 19:02:04 | 000,003,120 | ---- | C] () -- C:\WINDOWS\tm.ini [2008.12.17 21:00:51 | 000,278,728 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys [2008.12.17 21:00:51 | 000,018,048 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys [2008.11.09 13:03:27 | 000,018,432 | ---- | C] () -- C:\Dokumente und Einstellungen\Uli\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.09.22 21:11:46 | 000,008,864 | ---- | C] () -- C:\WINDOWS\System32\drivers\MARXDEV3.SYS [2008.09.22 21:11:46 | 000,008,864 | ---- | C] () -- C:\WINDOWS\System32\drivers\MARXDEV2.SYS [2008.09.22 21:11:46 | 000,008,864 | ---- | C] () -- C:\WINDOWS\System32\drivers\MARXDEV1.SYS [2008.09.22 21:11:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI [2008.08.23 16:30:22 | 000,000,391 | ---- | C] () -- C:\Dokumente und Einstellungen\Uli\Anwendungsdaten\burnaware.ini [2008.08.22 12:07:35 | 000,655,360 | ---- | C] () -- C:\WINDOWS\System32\pcwDirSize.DLL [2008.08.19 14:06:40 | 000,000,194 | ---- | C] () -- C:\WINDOWS\DiaShowPlayer.INI [2008.08.13 22:48:17 | 000,000,125 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib [2008.08.13 19:44:26 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2008.08.13 19:27:25 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll [2008.08.13 19:14:51 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\CoInst.dll [2008.08.04 08:40:13 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2008.08.04 08:40:13 | 001,503,232 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2008.08.04 08:40:13 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2008.08.04 08:40:13 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2008.08.04 08:40:13 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2008.08.04 08:40:13 | 000,002,480 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2008.08.04 08:39:36 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2008.08.04 08:34:10 | 000,005,810 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys [2008.08.04 07:58:42 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini ========== Alternate Data Streams ========== @Alternate Data Stream - 24 bytes -> C:\WINDOWS:D9AAEBBE7472FE11 < End of report > sowie OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 29.09.2010 02:25:11 - Run 1
OTL by OldTimer - Version 3.2.14.1 Folder = C:\Dokumente und Einstellungen\Uli\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 82,00% Paging File free
Paging file location(s): [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298,08 Gb Total Space | 171,43 Gb Free Space | 57,51% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive M: | 1279,63 Gb Total Space | 1018,02 Gb Free Space | 79,56% Space Free | Partition Type: NTFS
Computer Name: PC-ULI
Current User Name: Uli
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [MediaMonkey.1Play] -- "C:\Musik\Archivieren\MediaMonkey\MediaMonkey.exe" "%1" (Ventis Media Inc.)
Directory [MediaMonkey.2PlayNext] -- "C:\Musik\Archivieren\MediaMonkey\MediaMonkey.exe" /NEXT "%1" (Ventis Media Inc.)
Directory [MediaMonkey.3Enqueue] -- "C:\Musik\Archivieren\MediaMonkey\MediaMonkey.exe" /ADD "%1" (Ventis Media Inc.)
Directory [PlayWithVLC] -- "C:\Programme\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 1
"FirewallDisableNotify" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"1240:UDP" = 1240:UDP:*:Enabled:Windows Media Format SDK (napster.exe)
"1241:UDP" = 1241:UDP:*:Enabled:Windows Media Format SDK (napster.exe)
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call -- (Microsoft Corporation)
"C:\Dokumente und Einstellungen\Uli\Lokale Einstellungen\temp\alg.exe" = C:\Dokumente und Einstellungen\Uli\Lokale Einstellungen\temp\alg.exe:*:Enabled:Application Layer Gateway Service -- File not found
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\Programme\Windows Live\Messenger\wlcsdk.exe" = C:\Programme\Windows Live\Messenger\wlcsdk.exe:*:Disabled:Windows Live Call -- (Microsoft Corporation)
"C:\Spiele\MahJonggs\Kyoday\Kyodai Mahjongg 2006\kmj.exe" = C:\Spiele\MahJonggs\Kyoday\Kyodai Mahjongg 2006\kmj.exe:*:Disabled:Kyodai Mahjongg -- (Rene-Gilles Deberdt)
"C:\Programme\FlashGet Network\FlashGet universal\LiveUpdate.exe" = C:\Programme\FlashGet Network\FlashGet universal\LiveUpdate.exe:*:Disabled:FGLiveUpdate -- File not found
"C:\Programme\FlashGet Network\FlashGet universal\LiveUpdateEx.exe" = C:\Programme\FlashGet Network\FlashGet universal\LiveUpdateEx.exe:*:Disabled:FGLiveUpdateEx -- File not found
"C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe" = C:\Programme\FlashGet Network\FlashGet universal\FlashGet.exe:*:Disabled:Flashget2 -- File not found
"C:\Programme\TerraNAS\TerraNAS Setup Wizard v1.2.0\SetupWizard.exe" = C:\Programme\TerraNAS\TerraNAS Setup Wizard v1.2.0\SetupWizard.exe:*:Enabled: -- ( )
"C:\Dokumente und Einstellungen\Uli\temp\TeamViewer\Version5\TeamViewer.exe" = C:\Dokumente und Einstellungen\Uli\temp\TeamViewer\Version5\TeamViewer.exe:*:Enabled:TeamViewer -- (TeamViewer GmbH)
"C:\Dokumente und Einstellungen\Uli\Lokale Einstellungen\temp\alg.exe" = C:\Dokumente und Einstellungen\Uli\Lokale Einstellungen\temp\alg.exe:*:Enabled:Application Layer Gateway Service -- File not found
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"_{ADDBE07D-95B8-4789-9C76-187FFF9624B4}" = CorelDRAW Essential Edition 3
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0AAA9C97-74D4-47CE-B089-0B147EF3553C}" = Windows Live Messenger
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_iP4500_series" = Canon iP4500 series
"{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}" = QuickTime
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live Upload Tool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 13
"{2EC502F7-CBB0-44F8-8F5D-C9A6FC1E5A2A}" = LightScribe System Software
"{345C90FB-FA10-11D5-9C2A-0080C85A0C2D}" = Microtek FineReader OCR Engine
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{3A33D692-8679-4142-94C7-0BB784B9B3A3}" = DMX 6fire 24/96 ControlPanel
"{3A9FE5C3-799E-4E41-AF4E-943F9BC4C4BD}_is1" = All My Books 1.9 FREE for PC Welt
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{45338B07-A236-4270-9A77-EBB4115517B5}" = Windows Live Sign-in Assistant
"{518FAB61-275A-4977-95B0-4EB92B8FEC70}" = Atlantis Evolution
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5888428E-699C-4E71-BF71-94EE06B497DA}" = TuneUp Utilities 2008
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"{6E19F210-3813-4002-B561-94D66AA182B6}" = Atheros Communications Inc.(R) L1 Gigabit Ethernet Driver
"{7235252A-39A3-4889-AF58-18B82040310E}" = AVEO USB2.0 PC Camera
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{757AD3D4-036B-42FA-B0A4-96BD6F4605A0}" = Ulead VideoStudio 7 SE VCD
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7FD71A9E-C4D3-42ED-A998-CDA8290C39A3}" = LightScribe Template Labeler
"{8DCE550C-CA43-4E82-92DF-FFC4A48F5BE1}" = Napster Burn Engine
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A062A15F-9CAC-4B88-98DF-87628A0BD721}" = Corel MediaOne
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A334F1BA-0A1D-4ED6-B4F9-4066157CA15D}" = DE
"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3.4
"{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint
"{ADDBE07D-95B8-4789-9C76-187FFF9624B4}" = CorelDRAW Essential Edition 3
"{B08D262E-D902-11D5-9C28-0080C85A0C2D}" = ScanWizard 5
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BBBCAE4B-B416-4182-A6F2-438180894A81}" = Napster
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C5089197-5B15-44AD-B0FC-2E94EE9ECB63}" = WinSysClean 2007
"{C6CA8874-5F22-4AF0-9BE3-016BF299C536}" = Windows Live Essentials
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D52A721B-E44C-4AD7-AD4F-29D83144384B}" = Microsoft Tool Web Package : EXTRACT.EXE
"{E07B7A31-E160-466D-A003-3BB7B8989D52}" = Full Tilt Poker.Net
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{EEEAD51B-C8DD-4BDA-AC92-71572FA4EA1B}" = TerraNAS Setup Wizard v1.2.0
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}" = Update Manager
"{F6BD194C-4190-4D73-B1B1-C48C99921BFE}" = Windows Live Call
"{FD9A4527-5FAD-466A-9A93-6011298E48FD}" = Alida
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"AnyDVD" = AnyDVD
"Audacity_is1" = Audacity 1.2.6
"Aura 2: Die Heiligen Ringe_is1" = Aura 2: Die Heiligen Ringe
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Belief & Betrayal_is1" = Belief & Betrayal
"BPM-Studio 4 Profi" = BPM-Studio 4 Profi
"BurnAware Free Edition_is1" = BurnAware Free Edition 1.2.9
"Canon iP4500 series Benutzerregistrierung" = Canon iP4500 series Benutzerregistrierung
"CANONIJPLM100" = PIXMA Extended Survey Program
"CanonMyPrinter" = Canon My Printer
"CanonSolutionMenu" = Canon Utilities Solution Menu
"CCleaner" = CCleaner
"Chronicles of Mystery/DE-German_is1" = Das Vermächtnis: Testament of Sin
"CloneDVD2" = CloneDVD2
"Easy-PhotoPrint EX" = Canon Utilities Easy-PhotoPrint EX
"ERUNT_is1" = ERUNT 1.1j
"filehippo.com" = filehippo.com Update Checker
"FLV Player" = FLV Player 2.0 (build 25)
"Hardcopy(C__Programme_Hardcopy)" = Hardcopy (C:\Programme\Hardcopy)
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie8" = Windows Internet Explorer 8
"InstallShield_{518FAB61-275A-4977-95B0-4EB92B8FEC70}" = Atlantis Evolution
"InstallShield_{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"IrfanView" = IrfanView (remove only)
"IsoBuster_is1" = IsoBuster 2.5
"Jardinains 2!_is1" = Jardinains 2!
"Jardinains!" = Jardinains!
"Kyodai Mahjongg 2006_is1" = Kyodai Mahjongg 2006 v1.42
"LBreakout2_is1" = LBreakout2 2.4.1
"LinCity-NG_is1" = LinCity-NG 1.1.2
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"MediaMonkey_is1" = MediaMonkey 3.2
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.0.8)" = Mozilla Firefox (3.0.8)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Drivers" = NVIDIA Drivers
"OpenAL" = OpenAL
"PartyPoker" = PartyPoker
"Perry Rhodan_is1" = Perry Rhodan
"PowerDVD" = PowerDVD
"Rheinbahn Bushaltestelle_is1" = Rheinbahn Bushaltestelle
"Safrosoft RoX_is1" = Safrosoft RoX 1.4
"Simple Sudoku_is1" = Simple Sudoku 4.2
"Totalcmd" = Total Commander (Remove or Repair)
"Tunebite_is1" = Tunebite 4.1.0.22
"TweakRAM" = TweakRAM
"VLC media player" = VLC media player 1.0.1
"Winamp" = Winamp
"Windows Media Encoder 9" = Windows Media Encoder 9-Reihe
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"WinSysClean 2007" = WinSysClean 2007
"Wise Registry Cleaner_is1" = Wise Registry Cleaner 3 Free 3.82
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 27.07.2010 20:06:27 | Computer Name = PC-ULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.0.3372, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 27.07.2010 20:07:33 | Computer Name = PC-ULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.0.3372, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 06.08.2010 12:11:15 | Computer Name = PC-ULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung notepad.exe, Version 5.1.2600.5512, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 20.08.2010 19:42:04 | Computer Name = PC-ULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung napster.exe, Version 4.6.4.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 20.08.2010 19:50:22 | Computer Name = PC-ULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung napster.exe, Version 4.6.4.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 11.09.2010 08:50:10 | Computer Name = PC-ULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung MediaMonkey (non-skinned).exe, Version 3.2.0.1294,
Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 14.09.2010 18:27:50 | Computer Name = PC-ULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung napster.exe, Version 4.6.4.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 23.09.2010 19:43:13 | Computer Name = PC-ULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung napster.exe, Version 4.6.4.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 23.09.2010 19:58:35 | Computer Name = PC-ULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung napster.exe, Version 4.6.4.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
Error - 23.09.2010 20:08:48 | Computer Name = PC-ULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung napster.exe, Version 4.6.4.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
[ System Events ]
Error - 12.08.2010 17:28:52 | Computer Name = PC-ULI | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
"Automatische Updates" hergestellt werden, daher können Updates nicht nach dem
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
eine Verbindung herzustellen.
Error - 15.08.2010 05:41:50 | Computer Name = PC-ULI | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
"Automatische Updates" hergestellt werden, daher können Updates nicht nach dem
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
eine Verbindung herzustellen.
Error - 19.09.2010 04:09:52 | Computer Name = PC-ULI | Source = Print | ID = 6161
Description = Das Dokument Neu hier? Bitte abarbeiten..., im Besitz von Uli, konnte
nicht auf dem Drucker Canon iP4500 series gedruckt werden. Datentyp: NT EMF 1.008.
Größe der Warteschlangendatei in Bytes: 2044864. Anzahl der gedruckten Bytes: 844784.
Gesamtanzahl der Seiten des Dokuments: 2. Anzahl der gedruckten Seiten: 0. Clientcomputer:
\\PC-ULI. Vom Druckprozessor zurückgelieferter Win32-Fehlercode: 13 (0xd).
Error - 27.09.2010 11:58:07 | Computer Name = PC-ULI | Source = Service Control Manager | ID = 7034
Description = Dienst "PIXMA Extended Survey Program" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 27.09.2010 11:58:07 | Computer Name = PC-ULI | Source = Service Control Manager | ID = 7034
Description = Dienst "LightScribeService Direct Disc Labeling Service" wurde unerwartet
beendet. Dies ist bereits 1 Mal passiert.
Error - 27.09.2010 11:58:07 | Computer Name = PC-ULI | Source = Service Control Manager | ID = 7034
Description = Dienst "Machine Debug Manager" wurde unerwartet beendet. Dies ist
bereits 1 Mal passiert.
Error - 27.09.2010 11:58:07 | Computer Name = PC-ULI | Source = Service Control Manager | ID = 7034
Description = Dienst "NVIDIA Display Driver Service" wurde unerwartet beendet. Dies
ist bereits 1 Mal passiert.
Error - 27.09.2010 11:58:07 | Computer Name = PC-ULI | Source = Service Control Manager | ID = 7034
Description = Dienst "ProtexisLicensing" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
Error - 27.09.2010 11:58:07 | Computer Name = PC-ULI | Source = Service Control Manager | ID = 7034
Description = Dienst "Java Quick Starter" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
Error - 27.09.2010 12:13:11 | Computer Name = PC-ULI | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.
< End of report >
MfG taurus |
|
29.09.2010, 10:09
| #4 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner Spy.31.232.57, Crypt.XPACK.Gen, ....Gen2, ....Gen3; BDS/Papras.RR >> Quarantäne "voll"Zitat:
 Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr. Für Dich geht es hier weiter => Neuaufsetzen des Systems Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken. Danach nie wieder sowas anrühren!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
| Themen zu Trojaner Spy.31.232.57, Crypt.XPACK.Gen, ....Gen2, ....Gen3; BDS/Papras.RR >> Quarantäne "voll" |
| anleitung, anti-malware, antivirenprogramm, bitte um hilfe, c:\windows, code, crypt.xpack.gen, dateien, defogger, einstellungen, explorer, load.exe, logfile, macromedia, malwarebytes, microsoft, programm, quarantäne, schädling, software, system, system32, trojan.agent, trojaner, unterschiedlich, userinit, voll, winlogon |
Linear-Darstellung
