| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: spottyface.exe / WinInstall.exe ziehen 100% cpu leistungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
30.09.2010, 12:15
| #1 |
| |  spottyface.exe / WinInstall.exe ziehen 100% cpu leistung Also... ich hab den USB stick von nem kumpel gekriegt und mir direkt einige viren eingefangen. ich hab mit dem Microsoft removal tool festgestellt dass ich folgende probleme hab: Conficker.c und Alueron.h laut dem programm sollte dies nach dem reboot gefixt sein. so sah es jedenfalls auch aus. aber plötzlich startet nach jedem reboot ein commandfenster indem steht: C  okumente und Einstellungen\***\"C:\DOCUME~1\***\LOKALE~1\spottyface.exeim nächsten moment startet sich ein downloader für FLVTube der aber nur in der taskleiste erscheint. wenn ich die beiden prozesse schließe öffnet sich mein Internet Explorer und verbindet zu einer leeren seite. während all diesen aktionen läuft im hintergrund der prozess WinInstall.exe der 99% meiner CPU leistung saugt. habe mein System mit SpyBot, Prevx3.0, und mit TDSSKiller von Kaspersky gecheckt. letzteres fand auch eine infizierte datei, löschte sie aber problem noch immer da. programme wie HijackThis etc. starten bei mir auch nicht der fehlercode "50003" erscheint.  kann mir jemand helfen?  |
|
30.09.2010, 12:19
| #2 |
| /// Malware-holic   | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung ootl:
__________________Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt poste beide. |
|
30.09.2010, 12:32
| #3 |
| | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung vielen dank für die schnelle antwort, habs direkt gemacht:
__________________OTL.txt:OTL Logfile: Code:
ATTFilter OTL logfile created on: 30.09.2010 13:23:43 - Run 1 OTL by OldTimer - Version 3.2.14.1 Folder = C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\Downloads Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 511,00 Mb Total Physical Memory | 121,00 Mb Available Physical Memory | 24,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 51,00% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 76,68 Gb Total Space | 60,97 Gb Free Space | 79,52% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: GENITAL Current User Name: ShaDi- Logged in as Administrator. Current Boot Mode: Normal Scan Mode: All users Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Minimal ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) PRC - C:\Programme\Prevx\prevx.exe (Prevx) PRC - C:\Programme\Mozilla Firefox\plugin-container.exe (Mozilla Corporation) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe () PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Programme\Pidgin\pidgin.exe (The Pidgin developer community) PRC - C:\Programme\DAEMON Tools Net\DTAgent.exe (DT Soft Ltd) PRC - C:\Programme\DAEMON Tools Net\DTNetSrv.exe (DT Soft Ltd) PRC - C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.) PRC - C:\Programme\Hotspot Shield\bin\hsswd.exe () PRC - C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe (AnchorFree Inc.) PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org) PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\ICQ Away Reader\ICQ Away Reader.exe (murb.com) PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (CSIScanner) -- C:\Programme\Prevx\prevx.exe (Prevx) SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (DTNetService) -- C:\Programme\DAEMON Tools Net\DTNetSrv.exe (DT Soft Ltd) SRV - (HssWd) -- C:\Programme\Hotspot Shield\bin\hsswd.exe () SRV - (HssSrv) -- C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe (AnchorFree Inc.) ========== Driver Services (SafeList) ========== DRV - (ropopqas) -- C:\WINDOWS\System32\drivers\ropopqas.sys File not found DRV - (nyooggji) -- C:\WINDOWS\System32\drivers\nyooggji.sys File not found DRV - (TermDD) -- C:\WINDOWS\system32\drivers\termdd.sys () DRV - (pxrts) -- C:\WINDOWS\system32\drivers\pxrts.sys (Prevx) DRV - (pxscan) -- C:\WINDOWS\System32\drivers\pxscan.sys (Prevx) DRV - (pxkbf) -- C:\WINDOWS\system32\drivers\pxkbf.sys (Prevx) DRV - (dtcdrom) -- C:\WINDOWS\system32\drivers\dtcdrom.sys (Disc-Soft) DRV - (HssDrv) -- C:\WINDOWS\system32\drivers\HssDrv.sys (AnchorFree Inc.) DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation) DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation ) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\alcxwdm.sys (Realtek Semiconductor Corp.) DRV - (EverestDriver) -- C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt () DRV - (nvatabus) -- C:\WINDOWS\system32\DRIVERS\nvatabus.sys (NVIDIA Corporation) DRV - (nv_agp) -- C:\WINDOWS\system32\DRIVERS\nv_agp.sys (NVIDIA Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1454471165-1960408961-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/ IE - HKU\S-1-5-21-1454471165-1960408961-725345543-1003\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1454471165-1960408961-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1454471165-1960408961-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.selectedEngine: "Wikipedia (de)" FF - prefs.js..browser.startup.homepage: "google.de" FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:2.0.0.4 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: foxyproxy@eric.h.jung:2.22.1 FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2 FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q=" FF - prefs.js..network.proxy.http_port: 1477 FF - prefs.js..network.proxy.socks: "96.245.253.236 " FF - prefs.js..network.proxy.socks_port: 1477 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.18 16:16:44 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.18 16:16:44 | 000,000,000 | ---D | M] [2010.08.19 16:38:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Mozilla\Extensions [2010.09.29 17:08:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Mozilla\Firefox\Profiles\3v4spije.default\extensions [2010.08.19 16:15:22 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Mozilla\Firefox\Profiles\3v4spije.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2010.09.19 22:48:48 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Mozilla\Firefox\Profiles\3v4spije.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.09.06 16:42:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Mozilla\Firefox\Profiles\3v4spije.default\extensions\foxyproxy@eric.h.jung [2010.09.23 19:15:07 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Mozilla\Firefox\Profiles\3v4spije.default\searchplugins\icqplugin-1.xml [2010.09.18 16:17:02 | 000,000,950 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Mozilla\Firefox\Profiles\3v4spije.default\searchplugins\icqplugin-2.xml [2010.08.19 16:15:22 | 000,000,168 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Mozilla\Firefox\Profiles\3v4spije.default\searchplugins\icqplugin.gif [2010.08.19 16:15:22 | 000,000,618 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Mozilla\Firefox\Profiles\3v4spije.default\searchplugins\icqplugin.src [2010.09.02 20:43:00 | 000,001,056 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Mozilla\Firefox\Profiles\3v4spije.default\searchplugins\icqplugin.xml [2010.09.29 17:08:50 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.08.26 15:40:23 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.08.26 19:52:29 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.07.12 18:33:56 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npwachk.dll [2010.09.18 16:16:39 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.09.18 16:16:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.09.18 16:16:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.09.18 16:16:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.09.18 16:16:39 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.09.29 14:27:58 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (SafeOnline BHO) - {69D72956-317C-44bd-B369-8E44D4EF9801} - C:\WINDOWS\system32\PxSecure.dll (Prevx) O2 - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\HssIE\HssIE.dll (AnchorFree Inc.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.) O4 - HKU\S-1-5-21-1454471165-1960408961-725345543-1003..\Run: [DAEMON Tools Net Agent] C:\Programme\DAEMON Tools Net\DTAgent.exe (DT Soft Ltd) O4 - HKU\S-1-5-21-1454471165-1960408961-725345543-1003..\Run: [Infium] C:\Programme\QIP Infium\infium.exe File not found O4 - HKU\S-1-5-21-1454471165-1960408961-725345543-1003..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ICQ Away Reader.lnk = C:\Programme\ICQ Away Reader\ICQ Away Reader.exe (murb.com) O4 - Startup: C:\Dokumente und Einstellungen\ShaDi-\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O4 - Startup: C:\Dokumente und Einstellungen\ShaDi-\Startmenü\Programme\Autostart\setup-2.11-eng.exe () O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1454471165-1960408961-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.08.18 20:18:39 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{2137ffc3-c19c-11df-963a-0013d3a280a2}\Shell - "" = AutoRun O33 - MountPoints2\{2137ffc3-c19c-11df-963a-0013d3a280a2}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{3ab133c9-ab9c-11df-95f1-0013d3a280a2}\Shell - "" = AutoRun O33 - MountPoints2\{3ab133c9-ab9c-11df-95f1-0013d3a280a2}\Shell\AutoRun - "" = Auto&Play O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: klmdb.sys - Driver SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: SCSI Class - Driver Group SafeBootMin: sermouse.sys - Driver SafeBootMin: System Bus Extender - Driver Group SafeBootMin: vga.sys - Driver SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: klmdb.sys - Driver SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: SCSI Class - Driver Group SafeBootNet: sermouse.sys - Driver SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: vga.sys - Driver SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE ActiveX: Microsoft Base Smart Card Crypto Provider Package - Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.) Unable to start service SrService! ========== Files/Folders - Created Within 30 Days ========== [2010.09.30 13:09:12 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.09.30 13:09:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.09.30 13:09:11 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.09.30 13:09:11 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.09.30 13:05:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\MFTools [2010.09.30 12:44:16 | 001,316,440 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\TDSSKiller.exe [2010.09.30 12:29:33 | 004,368,952 | ---- | C] (Prevx) -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\prevx 3.0.exe [2010.09.30 12:21:57 | 000,074,624 | ---- | C] (Prevx) -- C:\WINDOWS\System32\drivers\pxrts.sys [2010.09.30 12:21:57 | 000,070,192 | ---- | C] (Prevx) -- C:\WINDOWS\System32\PxSecure.dll [2010.09.30 12:21:57 | 000,030,320 | ---- | C] (Prevx) -- C:\WINDOWS\System32\drivers\pxscan.sys [2010.09.30 12:21:56 | 000,024,400 | ---- | C] (Prevx) -- C:\WINDOWS\System32\drivers\pxkbf.sys [2010.09.30 12:21:56 | 000,000,000 | ---D | C] -- C:\Programme\Prevx [2010.09.30 12:21:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI [2010.09.29 17:41:41 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy [2010.09.29 17:41:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy [2010.09.29 17:39:02 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security [2010.09.29 16:10:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\MpEngineStore [2010.09.29 16:03:20 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro [2010.09.29 14:33:41 | 000,000,000 | ---D | C] -- C:\Programme\Guitar Pro 5 [2010.09.29 14:32:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\GU_pro_5.2_byDRS [2010.09.29 12:29:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia [2010.09.29 12:27:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2010.09.29 12:03:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Guitar Pro 6 [2010.09.29 12:03:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Guitar Pro 6 [2010.09.29 11:58:01 | 000,000,000 | ---D | C] -- C:\Programme\Guitar Pro 6 [2010.09.20 18:27:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\Neuer Ordner [2010.09.18 12:41:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ShaDi-\.thumbnails [2010.09.16 18:01:33 | 000,201,280 | ---- | C] (Disc-Soft) -- C:\WINDOWS\System32\drivers\dtcdrom.sys [2010.09.16 18:01:19 | 000,000,000 | ---D | C] -- C:\Programme\DAEMON Tools Net [2010.09.16 18:01:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Net [2010.09.16 18:01:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\DAEMON Tools Net [2010.09.11 15:23:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple [2010.09.09 22:30:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\gtk-2.0 [2010.09.09 22:26:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\.purple [2010.09.09 22:26:14 | 000,000,000 | ---D | C] -- C:\Programme\Pidgin [2010.09.06 19:57:23 | 000,000,000 | ---D | C] -- C:\Programme\Veetle [2010.09.06 16:58:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\Schule [2010.09.06 16:36:36 | 000,000,000 | ---D | C] -- C:\Hotspot Shield [2010.09.06 16:36:16 | 000,000,000 | ---D | C] -- C:\Programme\Hotspot Shield [2010.09.05 20:12:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\QIP [2010.09.05 17:40:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Apple Computer [2010.09.05 17:40:23 | 000,107,368 | ---- | C] (GEAR Software Inc.) -- C:\WINDOWS\System32\GEARAspi.dll [2010.09.05 17:39:44 | 000,000,000 | ---D | C] -- C:\Programme\iPod [2010.09.05 17:39:35 | 000,000,000 | ---D | C] -- C:\Programme\iTunes [2010.09.05 17:39:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2010.09.05 17:39:09 | 000,000,000 | ---D | C] -- C:\Programme\Apple Software Update [2010.09.05 17:38:46 | 003,062,048 | ---- | C] (Apple, Inc.) -- C:\WINDOWS\System32\usbaaplrc.dll [2010.09.05 17:38:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DRVSTORE [2010.09.05 17:38:24 | 000,000,000 | ---D | C] -- C:\Programme\Bonjour [2010.09.05 17:31:12 | 000,000,000 | R-SD | C] -- C:\WINDOWS\assembly [2010.09.05 17:29:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\Microsoft.NET [2010.09.05 17:26:23 | 005,470,720 | ---- | C] (Jeffrey Harris) -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\SharePod.exe [2010.09.05 17:18:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2010.09.05 17:16:02 | 000,159,232 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ptpusd.dll [2010.09.05 17:16:02 | 000,005,632 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\ptpusb.dll [2010.09.03 15:42:00 | 000,000,000 | ---D | C] -- C:\WINDOWS\Sun [2010.08.20 16:26:10 | 814,143,398 | ---- | C] (GOA ) -- C:\Programme\loleusetup.exe [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.09.30 13:09:15 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.09.30 13:06:00 | 000,284,915 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\Gmer.zip [2010.09.30 13:06:00 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\defogger.exe [2010.09.30 12:47:12 | 000,182,038 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2010.09.30 12:47:10 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT [2010.09.30 12:47:08 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.09.30 12:47:05 | 536,399,872 | -HS- | M] () -- C:\hiberfil.sys [2010.09.30 12:46:53 | 000,040,840 | ---- | M] () -- C:\WINDOWS\System32\drivers\termdd.sys [2010.09.30 12:46:06 | 003,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\NTUSER.DAT [2010.09.30 12:46:06 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\ntuser.ini [2010.09.30 12:21:57 | 000,074,624 | ---- | M] (Prevx) -- C:\WINDOWS\System32\drivers\pxrts.sys [2010.09.30 12:21:57 | 000,070,192 | ---- | M] (Prevx) -- C:\WINDOWS\System32\PxSecure.dll [2010.09.30 12:21:57 | 000,030,320 | ---- | M] (Prevx) -- C:\WINDOWS\System32\drivers\pxscan.sys [2010.09.30 12:21:56 | 000,024,400 | ---- | M] (Prevx) -- C:\WINDOWS\System32\drivers\pxkbf.sys [2010.09.30 12:21:46 | 000,000,049 | ---- | M] () -- C:\WINDOWS\wininit.ini [2010.09.29 17:41:49 | 000,000,905 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\Spybot - Search & Destroy.lnk [2010.09.29 17:32:33 | 000,001,698 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\HijackThis.lnk [2010.09.29 17:27:03 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\CCleaner.lnk [2010.09.29 15:55:27 | 000,181,832 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.09.29 14:37:45 | 000,040,024 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT [2010.09.29 14:34:15 | 000,000,599 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\Guitar Pro 5.lnk [2010.09.29 14:12:44 | 000,149,773 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Startmenü\Programme\Autostart\setup-2.11-eng.exe [2010.09.27 15:30:32 | 001,316,440 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\TDSSKiller.exe [2010.09.26 17:37:06 | 000,008,898 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\bild 2.JPG [2010.09.26 17:32:56 | 000,019,511 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\bild 4.JPG [2010.09.26 17:26:42 | 000,074,013 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\bild 3.gif [2010.09.26 17:23:02 | 000,039,790 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\bild1.JPG [2010.09.26 16:12:08 | 000,001,513 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\.recently-used.xbel [2010.09.26 15:56:11 | 000,039,986 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\gal_2_IMG_3672.JPG [2010.09.26 13:17:20 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.09.25 12:37:03 | 000,573,613 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\imageshack-beaker001.jpg [2010.09.20 19:25:55 | 000,058,689 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\bigglasses.jpg [2010.09.19 18:13:03 | 000,049,955 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\Unbenannt.JPG [2010.09.19 16:08:45 | 000,001,487 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\DivX Movies.lnk [2010.09.18 15:23:04 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2010.09.18 12:36:03 | 000,030,105 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\roterTeppich_000.jpg [2010.09.17 15:41:09 | 001,058,080 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\war3.mpq [2010.09.16 18:01:33 | 000,201,280 | ---- | M] (Disc-Soft) -- C:\WINDOWS\System32\drivers\dtcdrom.sys [2010.09.16 18:01:33 | 000,001,559 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DAEMON Tools Net.lnk [2010.09.16 17:06:10 | 000,005,632 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.09.15 22:36:58 | 000,015,539 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\mathilde von zahnd.docx [2010.09.12 23:23:03 | 005,860,676 | -H-- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Lokale Einstellungen\Anwendungsdaten\IconCache.db [2010.09.06 13:31:03 | 000,000,600 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\Verknüpfung mit infium.lnk [2010.09.05 20:04:41 | 000,037,704 | -H-- | M] () -- C:\WINDOWS\System32\mlfcache.dat [2010.09.05 18:05:13 | 000,007,406 | ---- | M] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\SharePodSettings.xml [2010.09.05 17:40:26 | 000,001,804 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk [2010.09.05 17:34:27 | 000,827,488 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI [2010.09.05 17:34:27 | 000,405,118 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.09.05 17:34:27 | 000,392,296 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.09.05 17:34:27 | 000,070,580 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.09.05 17:34:27 | 000,058,596 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.09.30 13:09:15 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.09.30 13:05:44 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\defogger.exe [2010.09.30 13:05:37 | 000,284,915 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\Gmer.zip [2010.09.30 12:21:46 | 000,000,049 | ---- | C] () -- C:\WINDOWS\wininit.ini [2010.09.30 12:12:47 | 536,399,872 | -HS- | C] () -- C:\hiberfil.sys [2010.09.29 17:41:49 | 000,000,905 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\Spybot - Search & Destroy.lnk [2010.09.29 16:03:21 | 000,001,698 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\HijackThis.lnk [2010.09.29 14:34:15 | 000,000,599 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\Guitar Pro 5.lnk [2010.09.29 14:12:42 | 000,149,773 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Startmenü\Programme\Autostart\setup-2.11-eng.exe [2010.09.26 17:37:06 | 000,008,898 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\bild 2.JPG [2010.09.26 17:32:56 | 000,019,511 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\bild 4.JPG [2010.09.26 17:26:40 | 000,074,013 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\bild 3.gif [2010.09.26 17:20:44 | 000,039,790 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\bild1.JPG [2010.09.26 16:12:08 | 000,001,513 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\.recently-used.xbel [2010.09.26 15:56:09 | 000,039,986 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\gal_2_IMG_3672.JPG [2010.09.25 12:36:59 | 000,573,613 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\imageshack-beaker001.jpg [2010.09.20 19:25:55 | 000,058,689 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\bigglasses.jpg [2010.09.19 18:13:03 | 000,049,955 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\Unbenannt.JPG [2010.09.18 12:36:01 | 000,030,105 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\roterTeppich_000.jpg [2010.09.17 15:41:01 | 001,058,080 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\war3.mpq [2010.09.16 18:01:32 | 000,001,559 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DAEMON Tools Net.lnk [2010.09.16 17:03:54 | 001,737,529 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\CIMG1421.JPG [2010.09.16 16:58:12 | 000,005,632 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.09.16 16:51:28 | 002,285,611 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\pimp.JPG [2010.09.15 22:36:57 | 000,015,539 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\mathilde von zahnd.docx [2010.09.06 13:31:02 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\Verknüpfung mit infium.lnk [2010.09.05 20:04:41 | 000,037,704 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat [2010.09.05 17:40:26 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk [2010.09.05 17:39:10 | 000,000,276 | ---- | C] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2010.09.05 17:35:50 | 000,007,406 | ---- | C] () -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\SharePodSettings.xml [2010.08.19 13:21:26 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2010.08.19 13:21:21 | 000,000,164 | R--- | C] () -- C:\WINDOWS\avrack.ini [2010.08.18 20:13:10 | 000,040,840 | ---- | C] () -- C:\WINDOWS\System32\drivers\termdd.sys [2008.05.03 03:16:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2008.05.03 03:16:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2008.05.03 03:16:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2008.05.03 03:16:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2008.05.03 03:16:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll ========== LOP Check ========== [2010.09.16 18:01:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Net [2010.09.29 12:03:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Guitar Pro 6 [2010.08.19 16:15:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2010.08.20 16:26:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files [2010.09.30 12:25:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI [2010.09.05 17:25:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2010.09.05 17:40:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2010.09.30 13:26:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\.purple [2010.09.16 18:01:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\DAEMON Tools Net [2010.09.26 15:56:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\gtk-2.0 [2010.09.29 14:17:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Guitar Pro 6 [2010.09.05 20:10:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\ICQ [2010.08.20 18:04:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\LolClient [2010.08.22 15:51:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\OpenOffice.org [2010.09.05 20:12:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\QIP [2010.08.22 20:49:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\TS3Client ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2010.09.30 13:26:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\.purple [2010.08.22 19:33:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Adobe [2010.09.05 19:06:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Apple Computer [2010.09.16 18:01:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\DAEMON Tools Net [2010.08.19 18:48:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\DivX [2010.09.26 15:56:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\gtk-2.0 [2010.09.29 14:17:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Guitar Pro 6 [2010.09.05 20:10:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\ICQ [2010.08.18 20:21:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Identities [2010.08.20 18:04:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\LolClient [2010.08.19 16:38:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Macromedia [2010.08.22 15:50:30 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Microsoft [2010.08.19 16:38:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Mozilla [2010.08.22 15:51:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\OpenOffice.org [2010.09.05 20:12:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\QIP [2010.09.30 13:23:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Skype [2010.09.30 10:02:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\skypePM [2010.08.26 15:39:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Sun [2010.08.22 20:49:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\TS3Client [2010.09.29 17:28:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Winamp [2010.08.19 13:14:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\WinRAR < %APPDATA%\*.exe /s > [2010.08.20 16:48:54 | 000,053,632 | ---- | M] (Adobe Systems Inc.) -- C:\Dokumente und Einstellungen\ShaDi-\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2007.10.09 16:15:40 | 016,734,399 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys < MD5 for: ATAPI.SYS > [2007.10.09 16:15:40 | 016,734,399 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2004.08.03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\drivers\atapi.sys [2004.08.03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys [2004.08.03 23:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0002\DriverFiles\i386\atapi.sys < MD5 for: EVENTLOG.DLL > [2004.08.03 20:57:20 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\eventlog.dll < MD5 for: EXPLORER.EXE > [2008.01.24 14:18:38 | 001,554,944 | ---- | M] (Microsoft Corporation) MD5=2606D612E58558E9F8E18D9A1FF1E754 -- C:\WINDOWS\explorer.exe < MD5 for: IASTOR.SYS > [2008.01.24 14:27:02 | 000,277,784 | ---- | M] (Intel Corporation) MD5=FD7F9D74C2B35DBDA400804A3F5ED5D8 -- C:\WINDOWS\NLDRV\001\iastor.sys [2008.01.24 14:27:03 | 000,277,784 | ---- | M] (Intel Corporation) MD5=FD7F9D74C2B35DBDA400804A3F5ED5D8 -- C:\WINDOWS\NLDRV\002\iastor.sys < MD5 for: NETLOGON.DLL > [2004.08.03 20:57:32 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\system32\netlogon.dll < MD5 for: NVATABUS.SYS > [2004.06.03 08:10:46 | 000,079,360 | ---- | M] (NVIDIA Corporation) MD5=46DEED4C6C5FA765F9A2C723BE60348D -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\NF3_CK8S\Win2K-XP\IDE\Win2K\NvAtaBus.sys [2004.06.03 08:10:46 | 000,079,360 | ---- | M] (NVIDIA Corporation) MD5=46DEED4C6C5FA765F9A2C723BE60348D -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\NF3_CK8S\Win2K-XP\IDE\WinXP\NvAtaBus.sys [2004.06.03 08:10:46 | 000,079,360 | ---- | M] (NVIDIA Corporation) MD5=46DEED4C6C5FA765F9A2C723BE60348D -- C:\WINDOWS\system32\drivers\nvatabus.sys [2004.01.28 10:41:00 | 000,063,744 | ---- | M] (NVIDIA Corporation) MD5=4B7A1230820ED27834050CB32A0E3B64 -- C:\Dokumente und Einstellungen\ShaDi-\Desktop\NVSA020\NvAtaBus.sys < MD5 for: SCECLI.DLL > [2004.08.03 20:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\scecli.dll < MD5 for: USER32.DLL > [2007.10.09 16:06:46 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\system32\user32.dll < MD5 for: USERINIT.EXE > [2004.08.03 20:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2008.01.24 14:19:50 | 000,546,816 | ---- | M] (Microsoft Corporation) MD5=CAEF653D55CC8D7A173E4E63BC58D7F2 -- C:\WINDOWS\system32\winlogon.exe < MD5 for: WS2IFSL.SYS > [2001.08.23 10:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > [2010.09.30 12:21:56 | 000,024,400 | ---- | M] (Prevx) Unable to obtain MD5 -- C:\WINDOWS\system32\drivers\pxkbf.sys [2010.09.30 12:21:57 | 000,074,624 | ---- | M] (Prevx) Unable to obtain MD5 -- C:\WINDOWS\system32\drivers\pxrts.sys [2010.09.30 12:21:57 | 000,030,320 | ---- | M] (Prevx) Unable to obtain MD5 -- C:\WINDOWS\system32\drivers\pxscan.sys < %systemroot%\System32\config\*.sav > [2010.08.18 22:02:51 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2010.08.18 22:02:51 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2010.08.18 22:02:51 | 000,442,368 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [2004.02.23 07:00:00 | 001,386,496 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\msvbvm60.dll [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] ========== Alternate Data Streams ========== @Alternate Data Stream - 107 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A2947BEA < End of report > Extras.txt:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 30.09.2010 13:23:43 - Run 1
OTL by OldTimer - Version 3.2.14.1 Folder = C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
511,00 Mb Total Physical Memory | 121,00 Mb Available Physical Memory | 24,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 51,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 76,68 Gb Total Space | 60,97 Gb Free Space | 79,52% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Computer Name: GENITAL
Current User Name: ShaDi-
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"58339:TCP" = 58339:TCP:*:Enabled:Pando Media Booster
"58339:UDP" = 58339:UDP:*:Enabled:Pando Media Booster
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"4957:TCP" = 4957:TCP:*:Enabled:zklsv
"58339:TCP" = 58339:TCP:*:Enabled:Pando Media Booster
"58339:UDP" = 58339:UDP:*:Enabled:Pando Media Booster
"8394:TCP" = 8394:TCP:*:Enabled:League of Legends Launcher
"8394:UDP" = 8394:UDP:*:Enabled:League of Legends Launcher
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
"C:\Programme\League of Legends\Air\LolClient.exe" = C:\Programme\League of Legends\Air\LolClient.exe:*:Enabled:League of Legends Lobby -- File not found
"C:\Programme\League of Legends\Game\League of Legends.exe" = C:\Programme\League of Legends\Game\League of Legends.exe:*:Enabled:League of Legends Game Client -- File not found
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\Programme\QIP Infium\infium.exe" = C:\Programme\QIP Infium\infium.exe:*:Enabled:QIP Infium -- File not found
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\Programme\Pidgin\pidgin.exe" = C:\Programme\Pidgin\pidgin.exe:*:Enabled:Pidgin -- (The Pidgin developer community)
"C:\Programme\DAEMON Tools Net\DTNetSrv.exe" = C:\Programme\DAEMON Tools Net\DTNetSrv.exe:LocalSubNet:Enabled:DAEMON Tools Net Service -- (DT Soft Ltd)
"C:\Programme\Warcraft III\Warcraft III.exe" = C:\Programme\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III -- File not found
"C:\Dokumente und Einstellungen\ShaDi-\Desktop\Neuer Ordner\rcon_utility.exe" = C:\Dokumente und Einstellungen\ShaDi-\Desktop\Neuer Ordner\rcon_utility.exe:*:Enabled:Skulltag RCON utility -- ()
"C:\Dokumente und Einstellungen\ShaDi-\Desktop\Neuer Ordner\skulltag.exe" = C:\Dokumente und Einstellungen\ShaDi-\Desktop\Neuer Ordner\skulltag.exe:*:Enabled:Skulltag -- ( )
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 21
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{350FB27C-CF62-4EF3-AF9D-70FF313FE221}" = iTunes
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch
"{B194272D-1F92-46DF-99EB-8D5CE91CB4EC}" = Adobe AIR
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update
"{CCA1EEA3-555E-4D05-AC46-4B49C6C5D887}" = Apple Mobile Device Support
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}" = Apple Application Support
"{EB900AF8-CC61-4E15-871B-98D1EA3E8025}" = QuickTime
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FF1C31AE-0CDC-40CE-AB85-406F8B70D643}" = Bonjour
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"CCleaner" = CCleaner
"DAEMON Tools Net" = DAEMON Tools Net
"DivX Setup.divx.com" = DivX-Setup
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"Guitar Pro 5_is1" = Guitar Pro 5.2
"HotspotShield" = Hotspot Shield 1.49
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)
"NVIDIA Drivers" = NVIDIA Drivers
"PCSI" = Prevx
"Pidgin" = Pidgin
"Veetle TV" = Veetle TV 0.9.17
"Winamp" = Winamp
"WinGimp-2.0_is1" = GIMP 2.6.10
"WinRAR archiver" = WinRAR
========== HKEY_USERS Uninstall List ==========
[HKEY_USERS\S-1-5-21-1454471165-1960408961-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"Winamp Detect" = Winamp Erkennungs-Plug-in
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 30.09.2010 07:11:57 | Computer Name = GENITAL | Source = EventSystem | ID = 4611
Description = Das COM+-Ereignissystem hat während der internen Verarbeitung einen
unerwarteten NULL-Zeiger erkannt, in Zeile 561 von d:\qxp_slp\com\com1x\src\events\tier2\notify.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 30.09.2010 07:13:57 | Computer Name = GENITAL | Source = EventSystem | ID = 4611
Description = Das COM+-Ereignissystem hat während der internen Verarbeitung einen
unerwarteten NULL-Zeiger erkannt, in Zeile 561 von d:\qxp_slp\com\com1x\src\events\tier2\notify.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 30.09.2010 07:15:57 | Computer Name = GENITAL | Source = EventSystem | ID = 4611
Description = Das COM+-Ereignissystem hat während der internen Verarbeitung einen
unerwarteten NULL-Zeiger erkannt, in Zeile 561 von d:\qxp_slp\com\com1x\src\events\tier2\notify.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 30.09.2010 07:17:57 | Computer Name = GENITAL | Source = EventSystem | ID = 4611
Description = Das COM+-Ereignissystem hat während der internen Verarbeitung einen
unerwarteten NULL-Zeiger erkannt, in Zeile 561 von d:\qxp_slp\com\com1x\src\events\tier2\notify.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 30.09.2010 07:19:57 | Computer Name = GENITAL | Source = EventSystem | ID = 4611
Description = Das COM+-Ereignissystem hat während der internen Verarbeitung einen
unerwarteten NULL-Zeiger erkannt, in Zeile 561 von d:\qxp_slp\com\com1x\src\events\tier2\notify.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 30.09.2010 07:21:57 | Computer Name = GENITAL | Source = EventSystem | ID = 4611
Description = Das COM+-Ereignissystem hat während der internen Verarbeitung einen
unerwarteten NULL-Zeiger erkannt, in Zeile 561 von d:\qxp_slp\com\com1x\src\events\tier2\notify.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 30.09.2010 07:23:57 | Computer Name = GENITAL | Source = EventSystem | ID = 4611
Description = Das COM+-Ereignissystem hat während der internen Verarbeitung einen
unerwarteten NULL-Zeiger erkannt, in Zeile 561 von d:\qxp_slp\com\com1x\src\events\tier2\notify.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 30.09.2010 07:25:57 | Computer Name = GENITAL | Source = EventSystem | ID = 4611
Description = Das COM+-Ereignissystem hat während der internen Verarbeitung einen
unerwarteten NULL-Zeiger erkannt, in Zeile 561 von d:\qxp_slp\com\com1x\src\events\tier2\notify.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 30.09.2010 07:27:57 | Computer Name = GENITAL | Source = EventSystem | ID = 4611
Description = Das COM+-Ereignissystem hat während der internen Verarbeitung einen
unerwarteten NULL-Zeiger erkannt, in Zeile 561 von d:\qxp_slp\com\com1x\src\events\tier2\notify.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 30.09.2010 07:29:57 | Computer Name = GENITAL | Source = EventSystem | ID = 4611
Description = Das COM+-Ereignissystem hat während der internen Verarbeitung einen
unerwarteten NULL-Zeiger erkannt, in Zeile 561 von d:\qxp_slp\com\com1x\src\events\tier2\notify.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
[ System Events ]
Error - 16.09.2010 08:07:21 | Computer Name = GENITAL | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Manager Network" wurde mit folgendem Fehler beendet: %%1114
Error - 16.09.2010 10:46:20 | Computer Name = GENITAL | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "wuauserv"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {E60687F7-01A1-40AA-86AC-DB1CBF673334}
Error - 16.09.2010 11:28:10 | Computer Name = GENITAL | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "BITS"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {4991D34B-80A1-4291-83B6-3328366B9097}
Error - 16.09.2010 11:49:26 | Computer Name = GENITAL | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Manager Network" wurde mit folgendem Fehler beendet: %%1114
Error - 16.09.2010 14:40:23 | Computer Name = GENITAL | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Manager Network" wurde mit folgendem Fehler beendet: %%1114
Error - 17.09.2010 07:34:37 | Computer Name = GENITAL | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Manager Network" wurde mit folgendem Fehler beendet: %%1114
Error - 17.09.2010 13:42:01 | Computer Name = GENITAL | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Manager Network" wurde mit folgendem Fehler beendet: %%1114
Error - 17.09.2010 18:14:28 | Computer Name = GENITAL | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "BITS"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {4991D34B-80A1-4291-83B6-3328366B9097}
Error - 17.09.2010 18:14:41 | Computer Name = GENITAL | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Manager Network" wurde mit folgendem Fehler beendet: %%1114
Error - 18.09.2010 06:24:16 | Computer Name = GENITAL | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Manager Network" wurde mit folgendem Fehler beendet: %%1114
< End of report >
|
|
30.09.2010, 12:41
| #4 |
| /// Malware-holic | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung nutzt du prevx in der vollversion? sehe kein anderes antivirus programm auf dem pc. deinstaliere spybot, das stört die reinigung, starte neu. • Starte bitte die OTL.exe. • Kopiere nun das Folgende in die Textbox. :OTL DRV - (ropopqas) -- C:\WINDOWS\System32\drivers\ropopqas.sys File not found DRV - (nyooggji) -- C:\WINDOWS\System32\drivers\nyooggji.sys File not found IE - HKU\S-1-5-21-1454471165-1960408961-725345543-1003\..\URLSearchHook: - Reg Error: Key error. File not found O4 - HKU\S-1-5-21-1454471165-1960408961-725345543-1003..\Run: [Infium] C:\Programme\QIP Infium\infium.exe File not found :FILES :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument dieses posten bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
|
30.09.2010, 13:21
| #5 |
| | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung ich hab mit prevx nur systemscan durchgeführt, habs nicht als vollversion. hier ist der log: All processes killed ========== OTL ========== Service ropopqas stopped successfully! Service ropopqas deleted successfully! File C:\WINDOWS\System32\drivers\ropopqas.sys File not found not found. Service nyooggji stopped successfully! Service nyooggji deleted successfully! File C:\WINDOWS\System32\drivers\nyooggji.sys File not found not found. Registry value HKEY_USERS\S-1-5-21-1454471165-1960408961-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully. Registry value HKEY_USERS\S-1-5-21-1454471165-1960408961-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\Infium deleted successfully. ========== FILES ========== ========== COMMANDS ========== [EMPTYFLASH] User: Administrator ->Flash cache emptied: 56504 bytes User: All Users User: Default User ->Flash cache emptied: 56504 bytes User: LocalService User: NetworkService ->Flash cache emptied: 3144 bytes User: ShaDi- ->Flash cache emptied: 57642 bytes Total Flash Files Cleaned = 0,00 mb [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 134 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 2475892 bytes ->Flash cache emptied: 0 bytes User: ShaDi- ->Temp folder emptied: 9363483 bytes ->Temporary Internet Files folder emptied: 9824756 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 96655241 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2114764 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 711824 bytes RecycleBin emptied: 159313 bytes Total Files Cleaned = 116,00 mb OTL by OldTimer - Version 3.2.14.1 log created on 09302010_140615 ich erstell dann eben noch den combofix log, kommt dann im edit: Combofix Logfile: Code:
ATTFilter ComboFix 10-09-29.04 - ShaDi- 30.09.2010 14:38:35.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.264 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\ShaDi-\Eigene Dateien\Downloads\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\DRIVERS\termdd.sys . . . ist infiziert!! . . . Failed to find a valid replacement.
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-28 bis 2010-09-30 ))))))))))))))))))))))))))))))
.
2010-09-30 12:06 . 2010-09-30 12:06 -------- d-----w- C:\_OTL
2010-09-30 11:09 . 2010-09-30 11:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-30 11:09 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-30 11:09 . 2010-09-30 11:09 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-30 11:09 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-30 10:52 . 2010-09-30 10:52 1791 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\.purple\certificates\x509\tls_peers\bos.oscar.aol.com
2010-09-30 10:52 . 2010-09-30 10:52 1779 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\.purple\certificates\x509\tls_peers\api.oscar.aol.com
2010-09-30 10:52 . 2010-09-30 10:52 1691 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\.purple\certificates\x509\tls_peers\api.screenname.aol.com
2010-09-30 10:21 . 2010-09-30 10:21 74624 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-09-30 10:21 . 2010-09-30 10:21 70192 ----a-w- c:\windows\system32\PxSecure.dll
2010-09-30 10:21 . 2010-09-30 10:21 30320 ----a-w- c:\windows\system32\drivers\pxscan.sys
2010-09-30 10:21 . 2010-09-30 10:21 24400 ----a-w- c:\windows\system32\drivers\pxkbf.sys
2010-09-30 10:21 . 2010-09-30 10:21 -------- d-----w- c:\programme\Prevx
2010-09-30 10:21 . 2010-09-30 10:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2010-09-29 15:41 . 2010-09-30 11:59 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-09-29 15:41 . 2010-09-30 11:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-29 15:39 . 2010-09-29 15:39 -------- d-----w- c:\programme\Panda Security
2010-09-29 15:13 . 2010-09-29 15:13 162816 ----a-w- c:\windows\system32\drivers\NETBT.SYS
2010-09-29 14:10 . 2010-09-29 15:20 -------- d-----w- c:\windows\system32\MpEngineStore
2010-09-29 14:03 . 2010-09-29 14:03 -------- d-----w- c:\programme\Trend Micro
2010-09-29 12:33 . 2010-09-29 12:33 -------- d-----w- c:\programme\Guitar Pro 5
2010-09-29 10:03 . 2010-09-29 12:17 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Guitar Pro 6
2010-09-29 10:03 . 2010-09-29 10:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Guitar Pro 6
2010-09-29 09:58 . 2010-09-29 12:17 -------- d-----w- c:\programme\Guitar Pro 6
2010-09-19 14:08 . 2010-09-19 14:08 56765 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-09-19 14:08 . 2010-09-19 14:08 53600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-09-18 10:41 . 2010-09-18 11:02 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\.thumbnails
2010-09-16 16:01 . 2010-09-16 16:01 201280 ----a-w- c:\windows\system32\drivers\dtcdrom.sys
2010-09-16 16:01 . 2010-09-16 16:01 -------- d-----w- c:\programme\DAEMON Tools Net
2010-09-16 16:01 . 2010-09-16 16:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Net
2010-09-16 16:01 . 2010-09-16 16:01 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\DAEMON Tools Net
2010-09-11 13:23 . 2010-09-11 13:23 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2010-09-09 20:30 . 2010-09-26 13:56 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\gtk-2.0
2010-09-09 20:26 . 2010-09-30 11:45 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\.purple
2010-09-09 20:26 . 2010-09-09 20:26 -------- d-----w- c:\programme\Pidgin
2010-09-06 18:33 . 2004-08-03 18:57 25600 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-09-06 17:57 . 2010-09-06 17:57 -------- d-----w- c:\programme\Veetle
2010-09-06 14:36 . 2010-09-06 14:36 -------- d-----w- C:\Hotspot Shield
2010-09-06 14:36 . 2010-09-20 17:06 -------- d-----w- c:\programme\Hotspot Shield
2010-09-05 18:12 . 2010-09-05 18:12 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\QIP
2010-09-05 18:04 . 2010-09-05 18:04 37704 ---ha-w- c:\windows\system32\mlfcache.dat
2010-09-05 15:40 . 2010-09-05 17:06 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Apple Computer
2010-09-05 15:40 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2010-09-05 15:40 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2010-09-05 15:39 . 2010-09-05 15:39 -------- d-----w- c:\programme\iPod
2010-09-05 15:39 . 2010-09-05 15:40 -------- d-----w- c:\programme\iTunes
2010-09-05 15:39 . 2010-09-05 15:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-09-05 15:39 . 2010-09-05 15:39 -------- d-----w- c:\programme\Apple Software Update
2010-09-05 15:38 . 2010-09-05 15:40 -------- dc----w- c:\windows\system32\DRVSTORE
2010-09-05 15:38 . 2010-04-19 18:47 3062048 ----a-w- c:\windows\system32\usbaaplrc.dll
2010-09-05 15:38 . 2010-04-19 18:47 41984 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2010-09-05 15:38 . 2010-09-05 15:38 -------- d-----w- c:\programme\Bonjour
2010-09-05 15:18 . 2010-09-05 15:25 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-09-05 15:16 . 2004-08-03 22:57 159232 ----a-w- c:\windows\system32\ptpusd.dll
2010-09-05 15:16 . 2004-08-03 20:58 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-09-05 15:16 . 2001-08-18 02:54 5632 ----a-w- c:\windows\system32\ptpusb.dll
2010-09-03 13:42 . 2010-09-03 13:42 -------- d-----w- c:\windows\Sun
2010-09-01 07:12 . 2010-09-01 07:12 73000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 10.0.0.68\SetupAdmin.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-30 12:23 . 2010-08-19 17:07 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Skype
2010-09-30 12:23 . 2010-08-19 15:05 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2010-09-30 10:46 . 2010-08-18 18:13 40840 ----a-w- c:\windows\system32\drivers\termdd.sys
2010-09-30 08:02 . 2010-08-19 17:08 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\skypePM
2010-09-29 15:28 . 2010-08-19 14:58 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Winamp
2010-09-29 15:26 . 2010-08-25 09:44 -------- d-----w- c:\programme\CCleaner
2010-09-29 12:37 . 2010-08-23 21:11 40024 ----a-w- c:\dokumente und einstellungen\ShaDi-\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-19 14:08 . 2010-08-19 16:51 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-09-19 14:08 . 2010-08-19 16:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-09-19 14:08 . 2010-08-19 16:47 -------- d-----w- c:\programme\DivX
2010-09-19 14:08 . 2010-08-28 14:34 185640 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\finishPlugin.dll
2010-09-19 14:08 . 2010-08-28 14:32 144696 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-09-19 14:08 . 2010-08-19 16:49 1062184 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-09-19 14:08 . 2010-08-19 16:49 850200 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-09-15 20:42 . 2010-08-22 13:51 1 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-05 18:10 . 2010-08-27 15:36 -------- d-----w- c:\programme\IDoser v4
2010-09-05 18:10 . 2010-08-19 14:15 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\ICQ
2010-09-05 18:10 . 2010-08-28 13:40 -------- d-----w- c:\programme\ICQ Away Reader
2010-09-05 15:39 . 2010-08-24 13:42 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-09-05 15:39 . 2010-08-24 13:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-09-05 15:38 . 2010-08-24 13:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-09-05 15:34 . 2001-08-23 08:00 70580 ----a-w- c:\windows\system32\perfc007.dat
2010-09-05 15:34 . 2001-08-23 08:00 405118 ----a-w- c:\windows\system32\perfh007.dat
2010-08-28 14:34 . 2010-08-28 14:34 56997 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-08-28 14:34 . 2010-08-28 14:34 57691 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-08-28 14:33 . 2010-08-28 14:33 84063 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-08-28 14:33 . 2010-08-28 14:33 54153 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-08-26 17:52 . 2010-08-26 17:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-08-26 17:52 . 2010-08-26 13:39 -------- d-----w- c:\programme\Java
2010-08-26 13:41 . 2010-08-26 13:41 503808 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-25bedb8e-n\msvcp71.dll
2010-08-26 13:41 . 2010-08-26 13:41 499712 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-25bedb8e-n\jmc.dll
2010-08-26 13:41 . 2010-08-26 13:41 12800 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5d851b5a-n\decora-d3d.dll
2010-08-26 13:41 . 2010-08-26 13:41 348160 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-25bedb8e-n\msvcr71.dll
2010-08-26 13:41 . 2010-08-26 13:41 61440 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5d851b5a-n\decora-sse.dll
2010-08-24 13:43 . 2010-08-24 13:43 -------- d-----w- c:\programme\QuickTime
2010-08-23 20:20 . 2010-08-23 20:20 -------- d-----w- c:\programme\GIMP-2.0
2010-08-22 18:49 . 2010-08-22 18:49 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\TS3Client
2010-08-22 13:51 . 2010-08-22 13:51 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\OpenOffice.org
2010-08-22 13:49 . 2010-08-22 13:49 -------- d-----w- c:\programme\OpenOffice.org 3
2010-08-22 13:44 . 2010-08-19 17:07 -------- d-----r- c:\programme\Skype
2010-08-22 13:43 . 2010-08-20 14:42 -------- d-----w- c:\programme\League of Legends
2010-08-20 16:04 . 2010-08-20 16:04 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\LolClient
2010-08-20 14:49 . 2010-08-20 14:47 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR
2010-08-20 14:42 . 2010-08-20 14:26 814143398 ----a-w- c:\programme\loleusetup.exe
2010-08-20 14:26 . 2010-08-20 14:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PMB Files
2010-08-20 14:24 . 2010-08-20 14:24 -------- d-----w- c:\programme\Pando Networks
2010-08-19 17:08 . 2010-08-19 17:08 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-08-19 17:07 . 2010-08-19 17:07 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2010-08-19 17:07 . 2010-08-19 17:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-08-19 15:00 . 2010-08-19 14:58 -------- d-----w- c:\programme\Winamp
2010-08-19 14:58 . 2010-08-19 14:58 -------- d-----w- c:\programme\Winamp Detect
2010-08-19 14:15 . 2010-08-19 14:15 -------- d-----w- c:\programme\ICQ6Toolbar
2010-08-19 14:15 . 2010-08-19 14:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2010-08-19 14:15 . 2010-08-19 11:21 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-08-19 14:09 . 2010-08-19 14:08 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-08-19 11:21 . 2010-08-19 11:21 -------- d-----w- c:\programme\Realtek Sound Manager
2010-08-19 11:21 . 2010-08-19 11:21 -------- d-----w- c:\programme\AvRack
2010-08-19 11:21 . 2010-08-19 11:21 -------- d-----w- c:\programme\Realtek AC97
2010-08-19 11:03 . 2010-08-19 11:03 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2010-08-19 10:34 . 2010-08-19 10:34 -------- d-----w- c:\programme\Lavalys
2010-08-18 18:22 . 2010-08-18 18:22 0 ----a-w- c:\windows\nsreg.dat
2010-08-18 18:17 . 2010-08-18 18:17 -------- d-----w- c:\programme\Online-Dienste
2010-08-18 18:16 . 2010-08-18 18:16 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2010-08-18 18:14 . 2010-08-18 18:14 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2010-08-18 18:14 . 2010-08-18 18:14 -------- d-----w- c:\programme\Windows Media Connect 2
2010-08-18 15:10 . 2010-08-18 18:17 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-07-27 16:44 . 2010-07-27 16:44 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-07-27 16:44 . 2010-07-27 16:44 75040 ----a-w- c:\windows\system32\jdns_sd.dll
2010-07-27 16:44 . 2010-07-27 16:44 197920 ----a-w- c:\windows\system32\dnssdX.dll
2010-07-27 16:44 . 2010-07-27 16:44 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-07-17 03:00 . 2010-08-26 13:40 423656 ----a-w- c:\windows\system32\deployJava1.dll
.
------- Sigcheck -------
[-] 2008-01-24 . CAEF653D55CC8D7A173E4E63BC58D7F2 . 546816 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
[-] 2008-01-24 . 0161E310BDB68AA4A1A463616FF8D625 . 111616 . . [5.4.3790.2180] . . c:\windows\system32\wuauclt.exe
[-] 2008-01-24 . 6E68CF99BBDADB763A7CDC712F835A5E . 724992 . . [5.82] . . c:\windows\system32\comctl32.dll
[7] 2006-08-25 . F64451D07B9368B46AB31172D56D1804 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
[7] 2001-08-23 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
[-] 2008-01-24 . 42A43194EB1B06F8801B70E0FE7ADEBF . 3817984 . . [7.00.6000.20710] . . c:\windows\system32\mshtml.dll
[-] 2008-01-24 . 31C9607D1F9C6A67FEFC96D7FC93B67C . 926720 . . [7.00.6000.20696] . . c:\windows\system32\wininet.dll
[-] 2008-01-24 . 2606D612E58558E9F8E18D9A1FF1E754 . 1554944 . . [6.00.2900.3156] . . c:\windows\explorer.exe
[-] 2007-10-09 . 6D60483EBCF29203C9B3B453471D3706 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
[-] 2008-01-24 . 99203E789DA6E756EA34A8F836F4E99E . 25088 . . [5.1.2600.2180] . . c:\windows\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\\Phone\Skype.exe" [2010-09-02 13351304]
"DAEMON Tools Net Agent"="c:\programme\DAEMON Tools Net\DTAgent.exe" [2010-07-29 431424]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2010-07-12 74752]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-08-10 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-09-01 421160]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-01-24 25088]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2007-12-11 124928]
c:\dokumente und einstellungen\ShaDi-\Startmen\Programme\Autostart\
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
setup-2.11-eng.exe [2010-9-29 149773]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ICQ Away Reader.lnk - c:\programme\ICQ Away Reader\ICQ Away Reader.exe [2010-8-28 548864]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Pidgin\\pidgin.exe"=
"c:\\Dokumente und Einstellungen\\ShaDi-\\Desktop\\Neuer Ordner\\rcon_utility.exe"=
"c:\\Dokumente und Einstellungen\\ShaDi-\\Desktop\\Neuer Ordner\\skulltag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4957:TCP"= 4957:TCP:zklsv
"58339:TCP"= 58339:TCP:Pando Media Booster
"58339:UDP"= 58339:UDP:Pando Media Booster
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [30.09.2010 12:21 30320]
R1 dtcdrom;dtcdrom;c:\windows\system32\drivers\dtcdrom.sys [16.09.2010 18:01 201280]
R1 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [30.09.2010 12:21 74624]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [30.09.2010 12:21 6407216]
R2 DTNetService;DTNetService;c:\programme\DAEMON Tools Net\DTNetSrv.exe [29.07.2010 13:19 394560]
R2 HssWd;Hotspot Shield Monitoring Service;c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS --> c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS [?]
R3 pxkbf;pxkbf;c:\windows\system32\drivers\pxkbf.sys [30.09.2010 12:21 24400]
S2 leitvhjd;Manager Network;c:\windows\system32\svchost.exe -k netsvcs [03.08.2004 20:58 14336]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [17.08.2005 21:30 7168]
.
Inhalt des "geplante Tasks" Ordners
2010-09-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Mozilla\Firefox\Profiles\3v4spije.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q=
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\programme\Veetle\VLCBroadcast\npvbp.dll
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
SafeBoot-klmdb.sys
AddRemove-HotspotShield - c:\programme\Hotspot Shield\Uninstall.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-30 14:46
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x820CAEC5]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf86a9fc3
\Driver\ACPI -> ACPI.sys @ 0xf853bcb8
\Driver\atapi -> atapi.sys @ 0xf84cd7b4
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80578262
ParseProcedure -> ntkrnlpa.exe @ 0x80576ec4
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80578262
ParseProcedure -> ntkrnlpa.exe @ 0x80576ec4
NDIS: Realtek RTL8169/8110 Family Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf83c5ba0
PacketIndicateHandler -> NDIS.sys @ 0xf83d2b21
SendHandler -> NDIS.sys @ 0xf83b087b
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(964)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\cscui.dll
- - - - - - - > 'lsass.exe'(1040)
c:\windows\system32\setupapi.dll
.
Zeit der Fertigstellung: 2010-09-30 14:55:21
ComboFix-quarantined-files.txt 2010-09-30 12:55
Vor Suchlauf: 8 Verzeichnis(se), 65.529.446.400 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 65.504.702.464 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - D6EA0617AAC8B336C1B6E59CF24D027D
Geändert von shadi- (30.09.2010 um 13:57 Uhr) Grund: logfile |
|
30.09.2010, 14:04
| #6 |
| /// Malware-holic | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung bleibt die frage, nutzt du denn kein antivirus programm? ich sehe keins. Lade http://filepony.de/download-defogger/ herunter und speichere es auf Deinem Desktop. Doppelklicke DeFogger, um das Tool zu starten. • Es öffnet sich das Programm-Fenster des Tools. • Klick auf den Button Disable, um die CD- Emulation-Treiber zu deaktivieren. • Klicke Ja, um fortzufahren. • Wenn die Nachricht 'Finished!' erscheint, • klicke OK. • DeFogger wird nun einen Reboot erfragen - klicke OK • Poste mir das defogger_disable.log hier in den Thread. Keinesfalls die Treiber reaktivieren, bevor es angewiesen wird. start programme zubehör editor, kopiere rein: Killall:: Mia:: c:\windows\system32\DRIVERS\termdd.sys c:\windows\system32\midimap.dll datei speichern unter, typ alle, ort dort wo sich combofix.exe befindet. name cfscript.txt ziehe cfscript auf combofix, programm startet, log posten. |
|
30.09.2010, 15:12
| #7 |
| | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung ne hab keins. :$ hier die logs: defogger_disable by jpshortstuff (23.02.10.1) Log created at 15:37 on 30/09/2010 (ShaDi-) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- Combofix Logfile: Code:
ATTFilter ComboFix 10-09-29.04 - ShaDi- 30.09.2010 15:52:17.2.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.248 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\ShaDi-\Eigene Dateien\Downloads\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\ShaDi-\Eigene Dateien\Downloads\cfscript.txt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
Infizierte Kopie von c:\windows\system32\DRIVERS\termdd.sys wurde gefunden und desinfiziert
Kopie von - Kitty had a snack :p wurde wiederhergestellt
c:\windows\system32\midimap.dll . . . ist infiziert!!
.
((((((((((((((((((((((( Dateien erstellt von 2010-08-28 bis 2010-09-30 ))))))))))))))))))))))))))))))
.
2010-09-30 13:32 . 2010-09-30 13:32 -------- d-----w- c:\windows\system32\wbem\snmp
2010-09-30 13:32 . 2010-09-30 13:32 -------- d-----w- c:\windows\system32\xircom
2010-09-30 13:32 . 2010-09-30 13:32 -------- d-----w- c:\programme\microsoft frontpage
2010-09-30 12:58 . 2010-09-30 12:58 1791 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\.purple\certificates\x509\tls_peers\bos.oscar.aol.com
2010-09-30 12:58 . 2010-09-30 12:58 1779 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\.purple\certificates\x509\tls_peers\api.oscar.aol.com
2010-09-30 12:58 . 2010-09-30 12:58 1691 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\.purple\certificates\x509\tls_peers\api.screenname.aol.com
2010-09-30 12:06 . 2010-09-30 12:06 -------- d-----w- C:\_OTL
2010-09-30 11:09 . 2010-09-30 11:09 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-09-30 11:09 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-30 11:09 . 2010-09-30 11:09 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-09-30 11:09 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-30 10:21 . 2010-09-30 10:21 74624 ----a-w- c:\windows\system32\drivers\pxrts.sys
2010-09-30 10:21 . 2010-09-30 10:21 70192 ----a-w- c:\windows\system32\PxSecure.dll
2010-09-30 10:21 . 2010-09-30 10:21 30320 ----a-w- c:\windows\system32\drivers\pxscan.sys
2010-09-30 10:21 . 2010-09-30 10:21 24400 ----a-w- c:\windows\system32\drivers\pxkbf.sys
2010-09-30 10:21 . 2010-09-30 10:21 -------- d-----w- c:\programme\Prevx
2010-09-30 10:21 . 2010-09-30 10:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2010-09-29 15:41 . 2010-09-30 11:59 -------- d-----w- c:\programme\Spybot - Search & Destroy
2010-09-29 15:41 . 2010-09-30 11:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-09-29 15:39 . 2010-09-29 15:39 -------- d-----w- c:\programme\Panda Security
2010-09-29 15:13 . 2010-09-29 15:13 162816 ----a-w- c:\windows\system32\drivers\NETBT.SYS
2010-09-29 14:10 . 2010-09-29 15:20 -------- d-----w- c:\windows\system32\MpEngineStore
2010-09-29 14:03 . 2010-09-29 14:03 -------- d-----w- c:\programme\Trend Micro
2010-09-29 12:33 . 2010-09-29 12:33 -------- d-----w- c:\programme\Guitar Pro 5
2010-09-29 10:03 . 2010-09-29 12:17 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Guitar Pro 6
2010-09-29 10:03 . 2010-09-29 10:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Guitar Pro 6
2010-09-29 09:58 . 2010-09-29 12:17 -------- d-----w- c:\programme\Guitar Pro 6
2010-09-19 14:08 . 2010-09-19 14:08 56765 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DivXPlusShortcuts\Uninstaller.exe
2010-09-19 14:08 . 2010-09-19 14:08 53600 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Update\Uninstaller.exe
2010-09-18 10:41 . 2010-09-18 11:02 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\.thumbnails
2010-09-16 16:01 . 2010-09-16 16:01 201280 ----a-w- c:\windows\system32\drivers\dtcdrom.sys
2010-09-16 16:01 . 2010-09-16 16:01 -------- d-----w- c:\programme\DAEMON Tools Net
2010-09-16 16:01 . 2010-09-16 16:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Net
2010-09-16 16:01 . 2010-09-16 16:01 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\DAEMON Tools Net
2010-09-11 13:23 . 2010-09-11 13:23 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Apple
2010-09-09 20:30 . 2010-09-26 13:56 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\gtk-2.0
2010-09-09 20:26 . 2010-09-30 13:31 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\.purple
2010-09-09 20:26 . 2010-09-09 20:26 -------- d-----w- c:\programme\Pidgin
2010-09-06 18:33 . 2004-08-03 18:57 25600 ----a-w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-09-06 17:57 . 2010-09-06 17:57 -------- d-----w- c:\programme\Veetle
2010-09-06 14:36 . 2010-09-06 14:36 -------- d-----w- C:\Hotspot Shield
2010-09-06 14:36 . 2010-09-20 17:06 -------- d-----w- c:\programme\Hotspot Shield
2010-09-05 18:12 . 2010-09-05 18:12 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\QIP
2010-09-05 18:04 . 2010-09-05 18:04 37704 ---ha-w- c:\windows\system32\mlfcache.dat
2010-09-05 15:40 . 2010-09-05 17:06 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Apple Computer
2010-09-05 15:40 . 2009-05-18 11:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2010-09-05 15:40 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll
2010-09-05 15:39 . 2010-09-05 15:39 -------- d-----w- c:\programme\iPod
2010-09-05 15:39 . 2010-09-05 15:40 -------- d-----w- c:\programme\iTunes
2010-09-05 15:39 . 2010-09-05 15:40 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-09-05 15:39 . 2010-09-05 15:39 -------- d-----w- c:\programme\Apple Software Update
2010-09-05 15:38 . 2010-09-05 15:40 -------- dc----w- c:\windows\system32\DRVSTORE
2010-09-05 15:38 . 2010-04-19 18:47 3062048 ----a-w- c:\windows\system32\usbaaplrc.dll
2010-09-05 15:38 . 2010-04-19 18:47 41984 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2010-09-05 15:38 . 2010-09-05 15:38 -------- d-----w- c:\programme\Bonjour
2010-09-05 15:18 . 2010-09-05 15:25 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-09-05 15:16 . 2004-08-03 22:57 159232 ----a-w- c:\windows\system32\ptpusd.dll
2010-09-05 15:16 . 2004-08-03 20:58 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-09-05 15:16 . 2001-08-18 02:54 5632 ----a-w- c:\windows\system32\ptpusb.dll
2010-09-03 13:42 . 2010-09-03 13:42 -------- d-----w- c:\windows\Sun
2010-09-01 07:12 . 2010-09-01 07:12 73000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 10.0.0.68\SetupAdmin.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-30 14:05 . 2010-08-19 17:07 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Skype
2010-09-30 13:25 . 2010-08-19 15:05 1324 ----a-w- c:\windows\system32\d3d9caps.dat
2010-09-30 10:46 . 2010-08-18 18:13 40840 ----a-w- c:\windows\system32\drivers\termdd.sys
2010-09-30 08:02 . 2010-08-19 17:08 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\skypePM
2010-09-29 15:28 . 2010-08-19 14:58 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Winamp
2010-09-29 15:26 . 2010-08-25 09:44 -------- d-----w- c:\programme\CCleaner
2010-09-29 12:37 . 2010-08-23 21:11 40024 ----a-w- c:\dokumente und einstellungen\ShaDi-\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-09-19 14:08 . 2010-08-19 16:51 57344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.dll
2010-09-19 14:08 . 2010-08-19 16:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
2010-09-19 14:08 . 2010-08-19 16:47 -------- d-----w- c:\programme\DivX
2010-09-19 14:08 . 2010-08-28 14:34 185640 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\finishPlugin.dll
2010-09-19 14:08 . 2010-08-28 14:32 144696 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\RunAsUser\RUNASUSERPROCESS.exe
2010-09-19 14:08 . 2010-08-19 16:49 1062184 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\Resource.dll
2010-09-19 14:08 . 2010-08-19 16:49 850200 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Setup\DivXSetup.exe
2010-09-15 20:42 . 2010-08-22 13:51 1 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-09-05 18:10 . 2010-08-27 15:36 -------- d-----w- c:\programme\IDoser v4
2010-09-05 18:10 . 2010-08-19 14:15 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\ICQ
2010-09-05 18:10 . 2010-08-28 13:40 -------- d-----w- c:\programme\ICQ Away Reader
2010-09-05 15:39 . 2010-08-24 13:42 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2010-09-05 15:39 . 2010-08-24 13:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-09-05 15:38 . 2010-08-24 13:42 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-09-05 15:34 . 2001-08-23 08:00 70580 ----a-w- c:\windows\system32\perfc007.dat
2010-09-05 15:34 . 2001-08-23 08:00 405118 ----a-w- c:\windows\system32\perfh007.dat
2010-08-28 14:34 . 2010-08-28 14:34 56997 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\WebPlayer\Uninstaller.exe
2010-08-28 14:34 . 2010-08-28 14:34 57691 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\Player\Uninstaller.exe
2010-08-28 14:33 . 2010-08-28 14:33 84063 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\TransferWizard\Uninstaller.exe
2010-08-28 14:33 . 2010-08-28 14:33 54153 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX\DFXPlugin\Uninstaller.exe
2010-08-26 17:52 . 2010-08-26 17:52 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-08-26 17:52 . 2010-08-26 13:39 -------- d-----w- c:\programme\Java
2010-08-26 13:41 . 2010-08-26 13:41 503808 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-25bedb8e-n\msvcp71.dll
2010-08-26 13:41 . 2010-08-26 13:41 499712 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-25bedb8e-n\jmc.dll
2010-08-26 13:41 . 2010-08-26 13:41 12800 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5d851b5a-n\decora-d3d.dll
2010-08-26 13:41 . 2010-08-26 13:41 348160 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-25bedb8e-n\msvcr71.dll
2010-08-26 13:41 . 2010-08-26 13:41 61440 ----a-w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5d851b5a-n\decora-sse.dll
2010-08-24 13:43 . 2010-08-24 13:43 -------- d-----w- c:\programme\QuickTime
2010-08-23 20:20 . 2010-08-23 20:20 -------- d-----w- c:\programme\GIMP-2.0
2010-08-22 18:49 . 2010-08-22 18:49 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\TS3Client
2010-08-22 13:51 . 2010-08-22 13:51 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\OpenOffice.org
2010-08-22 13:49 . 2010-08-22 13:49 -------- d-----w- c:\programme\OpenOffice.org 3
2010-08-22 13:44 . 2010-08-19 17:07 -------- d-----r- c:\programme\Skype
2010-08-22 13:43 . 2010-08-20 14:42 -------- d-----w- c:\programme\League of Legends
2010-08-20 16:04 . 2010-08-20 16:04 -------- d-----w- c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\LolClient
2010-08-20 14:49 . 2010-08-20 14:47 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR
2010-08-20 14:42 . 2010-08-20 14:26 814143398 ----a-w- c:\programme\loleusetup.exe
2010-08-20 14:26 . 2010-08-20 14:25 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PMB Files
2010-08-20 14:24 . 2010-08-20 14:24 -------- d-----w- c:\programme\Pando Networks
2010-08-19 17:08 . 2010-08-19 17:08 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-08-19 17:07 . 2010-08-19 17:07 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2010-08-19 17:07 . 2010-08-19 17:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-08-19 15:00 . 2010-08-19 14:58 -------- d-----w- c:\programme\Winamp
2010-08-19 14:58 . 2010-08-19 14:58 -------- d-----w- c:\programme\Winamp Detect
2010-08-19 14:15 . 2010-08-19 14:15 -------- d-----w- c:\programme\ICQ6Toolbar
2010-08-19 14:15 . 2010-08-19 14:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2010-08-19 14:15 . 2010-08-19 11:21 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-08-19 14:09 . 2010-08-19 14:08 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2010-08-19 11:21 . 2010-08-19 11:21 -------- d-----w- c:\programme\Realtek Sound Manager
2010-08-19 11:21 . 2010-08-19 11:21 -------- d-----w- c:\programme\AvRack
2010-08-19 11:21 . 2010-08-19 11:21 -------- d-----w- c:\programme\Realtek AC97
2010-08-19 11:03 . 2010-08-19 11:03 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2010-08-19 10:34 . 2010-08-19 10:34 -------- d-----w- c:\programme\Lavalys
2010-08-18 18:22 . 2010-08-18 18:22 0 ----a-w- c:\windows\nsreg.dat
2010-08-18 18:17 . 2010-08-18 18:17 -------- d-----w- c:\programme\Online-Dienste
2010-08-18 18:16 . 2010-08-18 18:16 -------- d-----w- c:\programme\Gemeinsame Dateien\Dienste
2010-08-18 18:14 . 2010-08-18 18:14 21740 ----a-w- c:\windows\system32\emptyregdb.dat
2010-08-18 18:14 . 2010-08-18 18:14 -------- d-----w- c:\programme\Windows Media Connect 2
2010-08-18 15:10 . 2010-08-18 18:17 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-07-27 16:44 . 2010-07-27 16:44 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-07-27 16:44 . 2010-07-27 16:44 75040 ----a-w- c:\windows\system32\jdns_sd.dll
2010-07-27 16:44 . 2010-07-27 16:44 197920 ----a-w- c:\windows\system32\dnssdX.dll
2010-07-27 16:44 . 2010-07-27 16:44 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-07-17 03:00 . 2010-08-26 13:40 423656 ----a-w- c:\windows\system32\deployJava1.dll
.
------- Sigcheck -------
[-] 2008-01-24 . CAEF653D55CC8D7A173E4E63BC58D7F2 . 546816 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
[-] 2008-01-24 . 0161E310BDB68AA4A1A463616FF8D625 . 111616 . . [5.4.3790.2180] . . c:\windows\system32\wuauclt.exe
[-] 2008-01-24 . 6E68CF99BBDADB763A7CDC712F835A5E . 724992 . . [5.82] . . c:\windows\system32\comctl32.dll
[7] 2006-08-25 . F64451D07B9368B46AB31172D56D1804 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll
[7] 2001-08-23 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
[-] 2008-01-24 . 42A43194EB1B06F8801B70E0FE7ADEBF . 3817984 . . [7.00.6000.20710] . . c:\windows\system32\mshtml.dll
[-] 2008-01-24 . 31C9607D1F9C6A67FEFC96D7FC93B67C . 926720 . . [7.00.6000.20696] . . c:\windows\system32\wininet.dll
[-] 2008-01-24 . 2606D612E58558E9F8E18D9A1FF1E754 . 1554944 . . [6.00.2900.3156] . . c:\windows\explorer.exe
[-] 2007-10-09 . 6D60483EBCF29203C9B3B453471D3706 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
[-] 2008-01-24 . 99203E789DA6E756EA34A8F836F4E99E . 25088 . . [5.1.2600.2180] . . c:\windows\system32\ctfmon.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-09-30_12.47.11 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-30 13:51 . 2010-09-30 13:51 16384 c:\windows\Temp\Perflib_Perfdata_e54.dat
+ 2010-09-30 14:03 . 2010-09-30 14:03 16384 c:\windows\Temp\Perflib_Perfdata_134.dat
- 2010-08-18 18:20 . 2010-09-30 12:08 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2010-08-18 18:20 . 2010-09-30 14:03 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2010-08-18 18:20 . 2010-09-30 12:08 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2010-08-18 18:20 . 2010-09-30 14:03 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2010-08-18 18:20 . 2010-09-30 12:08 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2010-09-30 13:32 . 2010-09-30 14:03 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2010-09-30 13:33 . 2010-09-30 13:33 2420 c:\windows\SoftwareDistribution\EventCache\{1E6E26F7-F4CA-49EC-BB5F-C11E2E6B414C}.bin
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\programme\Skype\\Phone\Skype.exe" [2010-09-02 13351304]
"DAEMON Tools Net Agent"="c:\programme\DAEMON Tools Net\DTAgent.exe" [2010-07-29 431424]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-01-24 25088]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-03 455168]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2010-07-12 74752]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-08-10 421888]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-09-01 421160]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-01 1164584]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-01-24 25088]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2007-12-11 124928]
c:\dokumente und einstellungen\ShaDi-\Startmen\Programme\Autostart\
OpenOffice.org 3.2.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
setup-2.11-eng.exe [2010-9-29 149773]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ICQ Away Reader.lnk - c:\programme\ICQ Away Reader\ICQ Away Reader.exe [2010-8-28 548864]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Pidgin\\pidgin.exe"=
"c:\\Dokumente und Einstellungen\\ShaDi-\\Desktop\\Neuer Ordner\\rcon_utility.exe"=
"c:\\Dokumente und Einstellungen\\ShaDi-\\Desktop\\Neuer Ordner\\skulltag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4957:TCP"= 4957:TCP:zklsv
"58339:TCP"= 58339:TCP:Pando Media Booster
"58339:UDP"= 58339:UDP:Pando Media Booster
"8394:TCP"= 8394:TCP:League of Legends Launcher
"8394:UDP"= 8394:UDP:League of Legends Launcher
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [30.09.2010 12:21 30320]
R1 dtcdrom;dtcdrom;c:\windows\system32\drivers\dtcdrom.sys [16.09.2010 18:01 201280]
R1 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [30.09.2010 12:21 74624]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [30.09.2010 12:21 6407216]
R2 DTNetService;DTNetService;c:\programme\DAEMON Tools Net\DTNetSrv.exe [29.07.2010 13:19 394560]
R2 HssWd;Hotspot Shield Monitoring Service;c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS --> c:\programme\Hotspot Shield\bin\hsswd.exe -product HSS [?]
R3 pxkbf;pxkbf;c:\windows\system32\drivers\pxkbf.sys [30.09.2010 12:21 24400]
S2 leitvhjd;Manager Network;c:\windows\system32\svchost.exe -k netsvcs [03.08.2004 20:58 14336]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt [17.08.2005 21:30 7168]
.
Inhalt des "geplante Tasks" Ordners
2010-09-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\ShaDi-\Anwendungsdaten\Mozilla\Firefox\Profiles\3v4spije.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - google.de
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.4&q=
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\programme\Veetle\VLCBroadcast\npvbp.dll
---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-09-30 16:04
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x820C1EC5]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf86a9fc3
\Driver\ACPI -> ACPI.sys @ 0xf853bcb8
\Driver\atapi -> atapi.sys @ 0xf84cd7b4
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80578262
ParseProcedure -> ntkrnlpa.exe @ 0x80576ec4
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80578262
ParseProcedure -> ntkrnlpa.exe @ 0x80576ec4
NDIS: Realtek RTL8169/8110 Family Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf83c5ba0
PacketIndicateHandler -> NDIS.sys @ 0xf83d2b21
SendHandler -> NDIS.sys @ 0xf83b087b
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(964)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\cscui.dll
- - - - - - - > 'lsass.exe'(1040)
c:\windows\system32\SETUPAPI.dll
- - - - - - - > 'explorer.exe'(2416)
c:\windows\system32\CRYPT32.dll
c:\windows\system32\MSASN1.dll
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\LINKINFO.dll
c:\windows\system32\ntshrui.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\stobject.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Hotspot Shield\HssWPR\hsssrv.exe
c:\programme\Hotspot Shield\bin\hsswd.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\SOUNDMAN.EXE
c:\windows\system32\RUNDLL32.EXE
c:\programme\Skype\Phone\Skype.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
c:\dokume~1\ShaDi-\LOKALE~1\Temp\WinInstall.exe
c:\programme\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-09-30 16:10:12 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-09-30 14:10
ComboFix2.txt 2010-09-30 12:55
Vor Suchlauf: 8 Verzeichnis(se), 65.461.678.080 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 65.487.081.472 Bytes frei
- - End Of File - - 09F03B5F44C44FF77046F9BD1F1D79F8
|
|
30.09.2010, 15:17
| #8 |
| /// Malware-holic | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung VirusTotal - Free Online Virus, Malware and URL Scanner prüfe: c:\windows\system32\midimap.dll falls datei bereits analysiert, klicke erneut prüfen, ergebniss link posten. |
|
30.09.2010, 15:23
| #9 |
| | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung edit: neuer versuch. der müsste es sein. xx=tt hxxp://www.virustotal.com/file-scan/report.html?id=f50d2eb3b1e12f9b05c0c83d5973f0a4d7937e370b144cb5c74bebf65ad9e94a-1285856514 Geändert von shadi- (30.09.2010 um 15:31 Uhr) |
|
30.09.2010, 15:24
| #10 |
| /// Malware-holic | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung das ist nicht der link. der der oben in der adress zeile steht, den brauche ich :-) |
|
30.09.2010, 15:29
| #11 |
| | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung genau das ist in der adressleiste drin, wenn ich ihn kopier komm ich auch auf die seite o.O glaub nicht dass ich bei c&p was falsch mache :O ht tp://www.virustotal.com/file-scan/report.html?id=f50d2eb3b1e12f9b05c0c83d5973f0a4d7937e370b144cb5c74bebf65ad9e94a-1285856514 |
|
30.09.2010, 15:51
| #12 |
| /// Malware-holic | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung aber ich hatte das ja vor dem edit geschrieben :-) avira http://www.trojaner-board.de/54192-a...tellungen.html avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm. klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten. |
|
30.09.2010, 17:00
| #13 |
| | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung so habs jetz endlich durch, das ist der log: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 30. September 2010 17:26 Es wird nach 2891260 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : ShaDi- Computername : GENITAL Versionsinformationen: BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00 AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 14:59:19 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 14:59:22 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 14:59:29 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 14:59:34 VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 14:59:34 VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 14:59:35 VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 14:59:35 VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 14:59:35 VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 14:59:35 VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 14:59:36 VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 14:59:36 VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 14:59:36 VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 14:59:37 VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 14:59:37 VBASE019.VDF : 7.10.12.65 2048 Bytes 29.09.2010 14:59:37 VBASE020.VDF : 7.10.12.66 2048 Bytes 29.09.2010 14:59:37 VBASE021.VDF : 7.10.12.67 2048 Bytes 29.09.2010 14:59:37 VBASE022.VDF : 7.10.12.68 2048 Bytes 29.09.2010 14:59:37 VBASE023.VDF : 7.10.12.69 2048 Bytes 29.09.2010 14:59:37 VBASE024.VDF : 7.10.12.70 2048 Bytes 29.09.2010 14:59:37 VBASE025.VDF : 7.10.12.71 2048 Bytes 29.09.2010 14:59:38 VBASE026.VDF : 7.10.12.72 2048 Bytes 29.09.2010 14:59:38 VBASE027.VDF : 7.10.12.73 2048 Bytes 29.09.2010 14:59:38 VBASE028.VDF : 7.10.12.74 2048 Bytes 29.09.2010 14:59:38 VBASE029.VDF : 7.10.12.75 2048 Bytes 29.09.2010 14:59:38 VBASE030.VDF : 7.10.12.76 2048 Bytes 29.09.2010 14:59:38 VBASE031.VDF : 7.10.12.91 81408 Bytes 30.09.2010 14:59:38 Engineversion : 8.2.4.66 AEVDF.DLL : 8.1.2.1 106868 Bytes 30.09.2010 14:59:47 AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 30.09.2010 14:59:47 AESCN.DLL : 8.1.6.1 127347 Bytes 30.09.2010 14:59:46 AESBX.DLL : 8.1.3.1 254324 Bytes 30.09.2010 14:59:47 AERDL.DLL : 8.1.9.2 635252 Bytes 30.09.2010 14:59:45 AEPACK.DLL : 8.2.3.7 471413 Bytes 30.09.2010 14:59:44 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 30.09.2010 14:59:43 AEHEUR.DLL : 8.1.2.27 2933110 Bytes 30.09.2010 14:59:43 AEHELP.DLL : 8.1.13.4 242038 Bytes 30.09.2010 14:59:41 AEGEN.DLL : 8.1.3.22 401780 Bytes 30.09.2010 14:59:41 AEEMU.DLL : 8.1.2.0 393588 Bytes 30.09.2010 14:59:40 AECORE.DLL : 8.1.17.0 196982 Bytes 30.09.2010 14:59:40 AEBB.DLL : 8.1.1.0 53618 Bytes 30.09.2010 14:59:40 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44 AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49 AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Lokale Laufwerke Konfigurationsdatei...................: c:\programme\avira\antivir desktop\alldrives.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, A:, D:, F:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 10 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +PCK,+PFS, Beginn des Suchlaufs: Donnerstag, 30. September 2010 17:26 Der Suchlauf nach versteckten Objekten wird begonnen. c:\windows\system32\wuauclt.exe c:\WINDOWS\system32\wuauclt.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\programme\mozilla firefox\firefox.exe c:\Programme\Mozilla Firefox\firefox.exe [HINWEIS] Der Prozess ist nicht sichtbar. c:\programme\mozilla firefox\firefox.exe c:\windows\explorer.exe c:\WINDOWS\explorer.exe [HINWEIS] Der Prozess ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pidgin.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WinInstall.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ Away Reader.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DTAgent.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hsswd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hsssrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DTNetSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'A:\' [INFO] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1007' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\Downloads\Guitar.Pro.6.0.1.Full.Version.rar [0] Archivtyp: RAR [FUND] Ist das Trojanische Pferd TR/Gendal.45954 --> Guitar Pro 6.0.1\GuitarPro601.exe [1] Archivtyp: NSIS --> [TempDir]/multilang.exe [FUND] Ist das Trojanische Pferd TR/Gendal.45954 C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\Downloads\Guitar_Pro_6.0.1_Full.rar [0] Archivtyp: RAR [FUND] Ist das Trojanische Pferd TR/Dldr.Adload.BL --> Guitar Pro 6.0.1\GuitarPro601.exe [1] Archivtyp: NSIS --> [TempDir]/xysolution.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Adload.BL Beginne mit der Suche in 'A:\' Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'D:\' Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Suche in 'F:\' Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden! Systemfehler [21]: Das Gerät ist nicht bereit. Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\Downloads\Guitar_Pro_6.0.1_Full.rar [FUND] Ist das Trojanische Pferd TR/Dldr.Adload.BL [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497017df.qua' verschoben! C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\Downloads\Guitar.Pro.6.0.1.Full.Version.rar [FUND] Ist das Trojanische Pferd TR/Gendal.45954 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51e7387e.qua' verschoben! Ende des Suchlaufs: Donnerstag, 30. September 2010 17:55 Benötigte Zeit: 27:31 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 6061 Verzeichnisse wurden überprüft 247949 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 247947 Dateien ohne Befall 2012 Archive wurden durchsucht 0 Warnungen 2 Hinweise 7037 Objekte wurden beim Rootkitscan durchsucht 4 Versteckte Objekte wurden gefunden |
|
30.09.2010, 17:50
| #14 |
| /// Malware-holic | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung gecrackte version? C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\Downloads\Guitar_Pro_6.0.1_Full.rar [FUND] Ist das Trojanische Pferd TR/Dldr.Adload.BL [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '497017df.qua' verschoben! C:\Dokumente und Einstellungen\ShaDi-\Eigene Dateien\Downloads\Guitar.Pro.6.0.1.Full.Version.rar [FUND] Ist das Trojanische Pferd TR/Gendal.45954 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51e7387e.qua' verschoben! |
|
30.09.2010, 19:52
| #15 |
| | spottyface.exe / WinInstall.exe ziehen 100% cpu leistung ja shame on me ~ das mit dem spottyface is jetz weg aber wininstall ist nachwievor da... |
|
| Themen zu spottyface.exe / WinInstall.exe ziehen 100% cpu leistung |
| 100%, 100% cpu, cpu, downloader, einstellungen, explorer, festgestellt, hijack, hijackthis, hintergrund, infizierte, infizierte datei, install.exe, internet, internet explorer, kaspersky, microsoft, probleme, programm, prozesse, spottyface.exe, starten, stick, system, taskleiste, usb, usb stick, viren, wininstall.exe, öffnet |
Linear-Darstellung
