|
Log-Analyse und Auswertung: Tr/dropper.gen bin ich noch sicher/ richtig gehandelt?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.11.2010, 17:03 | #1 |
| Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Hallo zusammen, ich habe im Board schon gesucht aber beim vorliegenden Tr/dropper.gen Trojaner wurden immer individuelle Anweisungen zum bereinigen gegeben. Deswegen hoffe ihr könnt mir auch helfen. Als Virenscanner benutze ich antivir 10, load und olt habe ich schon aus geführt Logs hänge ich an. Was mich wundert ist das der Trojaner in der ABB software auch gefunden wurde und die ist von der Herstellerseite und sollte doch eigentlich Viren/Trojaner frei sein. Vielen Dank im Voraus. Sira ps. was macht der tr/dropper.gen eigentlich? Ich poste die Logs nochmal ungezippt OLT:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 09.11.2010 13:55:27 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Users\XXX\Desktop An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 66,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 82,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 170,54 Gb Total Space | 80,27 Gb Free Space | 47,07% Space Free | Partition Type: NTFS Drive D: | 31,25 Gb Total Space | 6,70 Gb Free Space | 21,45% Space Free | Partition Type: NTFS Drive E: | 30,00 Gb Total Space | 20,33 Gb Free Space | 67,78% Space Free | Partition Type: NTFS Drive G: | 298,09 Gb Total Space | 255,08 Gb Free Space | 85,57% Space Free | Partition Type: NTFS Computer Name: XXX-PC | User Name: XXX | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation) .hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation) [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation) inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [Browse with &IrfanView] -- "C:\Program Files\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan) Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "VistaSp1" = Reg Error: Unknown registry data type -- File not found "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol] ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 ========== Authorized Applications List ========== ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator "{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition "{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch) "{0A5825FD-0FB7-4e45-9037-858D463F2943}" = BPDSoftware "{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer "{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour "{0F367CA3-3B2F-43F9-A44A-25A8EE69E45D}" = Scan "{175F0111-2968-4935-8F70-33108C6A4DE3}" = MarketResearch "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions "{20ACB2F8-3BCA-45A8-80A2-9D3CB5C25F43}" = Safari "{21A2F5EE-1DC5-488A-BE7E-E526F8C61488}" = DeviceDiscovery "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 20 "{2951A232-69BA-4925-BB9A-CEEB72B18B4F}" = BPDSoftware_Ini "{2A8E4833-F483-4074-B4DB-F295F7901A8D}" = MobileMe Control Panel "{2EEA7AA4-C203-4b90-A34F-19FB7EF1C81C}" = BufferChm "{350FB27C-CF62-4EF3-AF9D-70FF313FE221}" = iTunes "{3A4D5E2D-988D-4ee9-8E7F-3AC200A2B8F5}" = 4500G510nz_Software_Min "{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile "{43CDF946-F5D9-4292-B006-BA0D92013021}" = WebReg "{440B915A-0C85-45DB-92AE-75AE14704A64}" = Fax "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{4A70EF07-7F88-4434-BB61-D1DE8AE93DD4}" = SolutionCenter "{4cb9f93c-9edc-4be9-ae61-af128ddbecfa}" = Business Contact Manager für Outlook 2007 SP2 "{4CBABDFD-49F8-47FD-BE7D-ECDE7270525A}" = Windows Live PIMT Platform "{50120000-1105-0000-0000-0000000FF1CE}" = Microsoft Office 2007 Primary Interop Assemblies "{51C7AD07-C3F6-4635-8E8A-231306D810FE}" = Cisco LEAP Module "{572F2A62-70CD-4429-8758-6D4D6DC696E1}" = 4500_Help "{5A627DFB-EA4C-4FFA-B711-69E849FB40D8}" = Hotkey "{5B05FF91-F20C-4832-A8DE-E1912639C17C}" = 4500G510nz "{5BB4D7C1-52F2-4BFD-9E40-0D419E2E3021}" = bpd_scan "{61AD15B2-50DB-4686-A739-14FE180D4429}" = Windows Live ID Sign-in Assistant "{63FF21C9-A810-464F-B60A-3111747B1A6D}" = GPBaseService2 "{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}" = Cisco EAP-FAST Module "{6697D99E-E550-4498-B793-4A8DD8A1821F}" = ProductContext "{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE "{690879A5-18EF-447B-98D6-B699D51008AB}" = 4500_G510nz_Help "{6A05FEDF-662E-46BF-8A25-010E3F1C9C69}" = Windows Live UX Platform Language Pack "{6B2FFB21-AC88-45C3-9A7D-4BB3E744EC91}" = HPSSupply "{6BBA26E9-AB03-4FE7-831A-3535584CA002}" = Toolbox "{7059BDA7-E1DB-442C-B7A1-6144596720A4}" = HP Update "{765559F4-6C2C-4CC6-B6FE-5367CDB021F4}" = VEGA-DTM 1.61.0 "{7A2A376E-7C3F-4658-B503-37DDA9E2CF7F}" = HART Communication FDT 1.2 DTM (V1.0.25) "{7CFAEC66-BA0E-4076-AAA5-2BE29153E6DF}" = Microsoft XML Parser "{7E0E61CC-1C99-429D-BEA7-C4DD5B898D2A}" = HP Officejet 4500 G510n-z "{7FB12670-0F93-4E1E-B2F5-4F339199A03A}" = Microsoft SQL Server Native Client "{849A32C3-E75A-4791-9B11-E568BA3525A4}" = Microsoft SQL Server VSS Writer "{86501894-E722-4385-A792-B7C2F28FAE7B}" = NetSpeedMonitor 2.5.4.0 x86 "{88EB38EF-4D2C-436D-ABD3-56B232674062}" = ICQ7 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT "{8FF6F5CA-4E30-4E3B-B951-204CAAA2716A}" = SmartWebPrinting "{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007 "{90120000-0015-0407-0000-0000000FF1CE}_ULTIMATER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007 "{90120000-0016-0407-0000-0000000FF1CE}_ULTIMATER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007 "{90120000-0018-0407-0000-0000000FF1CE}_ULTIMATER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007 "{90120000-0019-0407-0000-0000000FF1CE}_ULTIMATER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007 "{90120000-001A-0407-0000-0000000FF1CE}_ULTIMATER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007 "{90120000-001B-0407-0000-0000000FF1CE}_ULTIMATER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}_ULTIMATER_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-0409-0000-0000000FF1CE}_ULTIMATER_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-040C-0000-0000000FF1CE}_ULTIMATER_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-001F-0410-0000-0000000FF1CE}_ULTIMATER_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007 "{90120000-0044-0407-0000-0000000FF1CE}_ULTIMATER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}_ULTIMATER_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007 "{90120000-00A1-0407-0000-0000000FF1CE}_ULTIMATER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007 "{90120000-00BA-0407-0000-0000000FF1CE}_ULTIMATER_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{903FAF0B-3E2B-4AB3-B52C-039AAAB868E7}" = PACTware 3.6 "{90A40407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office 2003 Web Components "{91120000-002E-0000-0000-0000000FF1CE}" = Microsoft Office Ultimate 2007 "{91120000-002E-0000-0000-0000000FF1CE}_ULTIMATER_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{91120000-002E-0000-0000-0000000FF1CE}_ULTIMATER_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581) "{92127AF5-FDD8-4ADF-BC40-C356C9EE0B7D}" = 32 Bit HP CIO Components Installer "{92A51949-EE4C-466D-AAF0-99E74A49A63F}" = DocMgr "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9B362566-EC1B-4700-BB9C-EC661BDE2175}" = DocProc "{9D3D8C60-A55F-4fed-B2B9-173F09590E16}" = REALTEK Wireless LAN Driver "{A726AE06-AAA3-43D1-87E3-70F510314F04}" = Windows Live Writer "{A939D341-5A04-4E0A-BB55-3E65B386432D}" = Microsoft Office Small Business Connectivity Components "{AAAFC670-569B-4A2F-82B4-42945E0DE3EF}" = Windows Live Writer "{AAF454FC-82CA-4F29-AB31-6A109485E76E}" = Windows Live Writer "{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.0 - Deutsch "{AE8705FB-E13C-40A9-8A2D-68D6733FBFC2}" = Status "{B2455727-ED8F-4643-8A6E-F4AB8DE3633D}" = Network "{B7BB9EBD-CF95-11D6-99EA-00E02912221D}" = ICS Generic HART Release 4 FDT 1.2 DTM "{BD7204BA-DD64-499E-9B55-6A282CDF4FA4}" = Destinations "{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update "{C43326F5-F135-4551-8270-7F7ABA0462E1}" = HPProductAssistant "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CCA1EEA3-555E-4D05-AC46-4B49C6C5D887}" = Apple Mobile Device Support "{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2 "{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform "{DAEAFD68-BB4A-4507-A241-C8804D2EA66D}" = Apple Application Support "{DC0A5F99-FD66-433F-9D3A-05DCBA64BE42}" = TrayApp "{DDC8BDEE-DCAC-404D-8257-3E8D4B782467}" = Windows Live Writer Resources "{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10 "{E11448F2-0B44-4239-B04E-D88FE743E929}" = HP Officejet J4500 Series "{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime "{ED5776D5-59B4-46B7-AF81-5F2D94D7C640}" = Cisco PEAP Module "{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5 "{FDEC11CC-4BD6-4a8c-A398-3CCD8E43EACA}" = J4500 "{FE044230-9CA5-43F7-9B58-5AC5A28A1F33}" = Windows Live Essentials "755087041320E005CB1E8A67C5C55A260EB81B90" = Windows Driver Package - Broadcom Bluetooth (09/11/2009 6.2.0.9407) "7-Zip" = 7-Zip 4.65 "97CEB8209F0BC014131F0864966F5B9C9345570E" = Windows Driver Package - Broadcom Bluetooth (05/27/2009 6.1.7100.0) "ActiveScan 2.0" = Panda ActiveScan 2.0 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Air Video Server" = Air Video Server 2.2.7-update1 "Audiograbber" = Audiograbber 1.83 SE "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "BF20603967CFDCB2BBF91950E8A56DFBC5C833FE" = Windows Driver Package - Broadcom HIDClass (07/28/2009 6.2.0.9800) "Business Contact Manager" = Business Contact Manager für Outlook 2007 SP2 "Diablo II" = Diablo II "DynDNSUpdater" = DynDNS Updater "FreeCommander_is1" = FreeCommander 2009.02a "Gadwin Web Snapshot" = Gadwin Web Snapshot "HD Tune_is1" = HD Tune 2.55 "HDMI" = Intel(R) Graphics Media Accelerator Driver "HP Document Manager" = HP Document Manager 2.0 "HP Imaging Device Functions" = HP Imaging Device Functions 13.0 "HP Smart Web Printing" = HP Smart Web Printing 4.60 "HP Solution Center & Imaging Support Tools" = HP Solution Center 13.0 "HPExtendedCapabilities" = HP Customer Participation Program 13.0 "HPOCR" = OCR Software by I.R.I.S. 13.0 "InstallShield_{765559F4-6C2C-4CC6-B6FE-5367CDB021F4}" = VEGA-DTM 1.61.0 "InstallShield_{903FAF0B-3E2B-4AB3-B52C-039AAAB868E7}" = PACTware 3.6 "IrfanView" = IrfanView (remove only) "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile "Microsoft SQL Server 2005" = Microsoft SQL Server 2005 "Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12) "OpenVPN" = OpenVPN 2.1.1 "Shop for HP Supplies" = Shop for HP Supplies "ST6UNST #1" = VEGA Visual Operating "TeamSpeak 3 Client" = TeamSpeak 3 Client "ULTIMATER" = Microsoft Office Ultimate 2007 "VLC media player" = VLC media player 1.1.4 "WinGimp-2.0_is1" = GIMP 2.6.8 "Wings Of Fury" = Wings Of Fury "WinLiveSuite" = Windows Live Essentials ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 07.11.2010 16:30:25 | Computer Name = XXX-PC | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledEvent 3416 Error - 07.11.2010 16:30:25 | Computer Name = XXX-PC | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 3416 Error - 07.11.2010 16:30:26 | Computer Name = XXX-PC | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: Continuously busy for more than a second Error - 07.11.2010 16:30:26 | Computer Name = XXX-PC | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledEvent 4415 Error - 07.11.2010 16:30:26 | Computer Name = XXX-PC | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 4415 Error - 08.11.2010 08:31:09 | Computer Name = XXX-PC | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: Continuously busy for more than a second Error - 08.11.2010 08:31:09 | Computer Name = XXX-PC | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledEvent 57647595 Error - 08.11.2010 08:31:09 | Computer Name = XXX-PC | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 57647595 Error - 09.11.2010 08:49:08 | Computer Name = XXX-PC | Source = Application Hang | ID = 1002 Description = The program OTL.exe version 3.2.17.3 stopped interacting with Windows and was closed. To see if more information about the problem is available, check the problem history in the Action Center control panel. Process ID: fd8 Start Time: 01cb800963f0dfef Termination Time: 31 Application Path: C:\Users\XXX\Desktop\OTL.exe Report Id: a44d12b3-ebff-11df-89be-e0cb4e90db22 Error - 09.11.2010 08:53:08 | Computer Name = XXX-PC | Source = Application Hang | ID = 1002 Description = The program OTL.exe version 3.2.17.3 stopped interacting with Windows and was closed. To see if more information about the problem is available, check the problem history in the Action Center control panel. Process ID: e14 Start Time: 01cb800cb3918695 Termination Time: 0 Application Path: C:\Users\XXX\Desktop\OTL.exe Report Id: 45c14c90-ec00-11df-89be-e0cb4e90db22 [ OSession Events ] Error - 29.09.2010 21:19:55 | Computer Name = XXX-PC | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 1, Application Name: Microsoft Office Excel, Application Version: 12.0.6535.5002, Microsoft Office Version: 12.0.6425.1000. This session lasted 790 seconds with 720 seconds of active time. This session ended with a crash. Error - 29.09.2010 21:21:13 | Computer Name = XXX-PC | Source = Microsoft Office 12 Sessions | ID = 7001 Description = ID: 1, Application Name: Microsoft Office Excel, Application Version: 12.0.6535.5002, Microsoft Office Version: 12.0.6425.1000. This session lasted 28 seconds with 0 seconds of active time. This session ended with a crash. [ System Events ] Error - 06.11.2010 05:51:18 | Computer Name = XXX-PC | Source = BugCheck | ID = 1005 Description = Error - 06.11.2010 05:51:18 | Computer Name = XXX-PC | Source = BugCheck | ID = 1001 Description = Error - 06.11.2010 05:51:38 | Computer Name = XXX-PC | Source = Service Control Manager | ID = 7026 Description = The following boot-start or system-start driver(s) failed to load: cdrom Error - 06.11.2010 05:52:29 | Computer Name = XXX-PC | Source = DCOM | ID = 10016 Description = Error - 07.11.2010 15:34:07 | Computer Name = XXX-PC | Source = Service Control Manager | ID = 7026 Description = The following boot-start or system-start driver(s) failed to load: cdrom Error - 07.11.2010 15:35:05 | Computer Name = XXX-PC | Source = DCOM | ID = 10016 Description = Error - 09.11.2010 08:17:40 | Computer Name = XXX-PC | Source = Service Control Manager | ID = 7026 Description = The following boot-start or system-start driver(s) failed to load: cdrom Error - 09.11.2010 08:18:24 | Computer Name = XXX-PC | Source = DCOM | ID = 10016 Description = Error - 09.11.2010 08:54:39 | Computer Name = XXX-PC | Source = Service Control Manager | ID = 7026 Description = The following boot-start or system-start driver(s) failed to load: cdrom Error - 09.11.2010 08:55:27 | Computer Name = XXX-PC | Source = DCOM | ID = 10016 Description = < End of report > OTL Logfile: Code:
ATTFilter OTL logfile created on: 09.11.2010 13:55:27 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Users\XXX\Desktop An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 66,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 82,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 170,54 Gb Total Space | 80,27 Gb Free Space | 47,07% Space Free | Partition Type: NTFS Drive D: | 31,25 Gb Total Space | 6,70 Gb Free Space | 21,45% Space Free | Partition Type: NTFS Drive E: | 30,00 Gb Total Space | 20,33 Gb Free Space | 67,78% Space Free | Partition Type: NTFS Drive G: | 298,09 Gb Total Space | 255,08 Gb Free Space | 85,57% Space Free | Partition Type: NTFS Computer Name: XXX | User Name: XXX | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2010.11.09 13:22:14 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Users\xxx\Desktop\OTL.exe PRC - [2010.11.04 21:25:23 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.11.04 21:25:23 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe PRC - [2010.11.04 21:25:23 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe PRC - [2010.08.13 11:58:56 | 000,144,672 | ---- | M] (Apple Inc.) -- C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe PRC - [2010.04.16 17:19:28 | 000,103,800 | ---- | M] (Dynamic Network Services, Inc.) -- C:\Program Files\DynDNS Updater\DynUpSvc.exe PRC - [2010.01.14 20:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe PRC - [2009.10.31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe PRC - [2009.09.01 14:52:32 | 000,327,680 | ---- | M] (TriGem) -- C:\Program Files\Pegatron\Hotkey\PHControl.exe PRC - [2009.07.14 02:14:42 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe PRC - [2009.07.14 02:14:15 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe PRC - [2009.06.03 13:59:28 | 000,258,048 | ---- | M] () -- C:\Program Files\Pegatron\Hotkey\FastUserSwitching.exe PRC - [2009.02.23 10:48:50 | 000,030,312 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe ========== Modules (SafeList) ========== MOD - [2010.11.09 13:22:14 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Users\xxx\Desktop\OTL.exe MOD - [2010.08.21 06:21:32 | 001,680,896 | ---- | M] (Microsoft Corporation) -- C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll MOD - [2009.07.14 02:16:15 | 000,099,840 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\sspicli.dll MOD - [2009.07.14 02:16:13 | 000,092,160 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\sechost.dll MOD - [2009.07.14 02:16:13 | 000,050,688 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\samcli.dll MOD - [2009.07.14 02:16:12 | 000,031,744 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\profapi.dll MOD - [2009.07.14 02:16:03 | 000,022,016 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\netutils.dll MOD - [2009.07.14 02:15:35 | 000,288,256 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\KernelBase.dll MOD - [2009.07.14 02:15:13 | 000,067,072 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\dwmapi.dll MOD - [2009.07.14 02:15:11 | 000,064,512 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\devobj.dll MOD - [2009.07.14 02:15:07 | 000,036,864 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\cryptbase.dll MOD - [2009.07.14 02:15:02 | 000,145,920 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\cfgmgr32.dll ========== Win32 Services (SafeList) ========== SRV - [2010.11.04 21:25:23 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.11.04 21:25:23 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2010.08.13 11:58:56 | 000,144,672 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2010.04.16 17:19:28 | 000,103,800 | ---- | M] (Dynamic Network Services, Inc.) [Auto | Running] -- C:\Program Files\DynDNS Updater\DynUpSvc.exe -- (DynDNS Updater) SRV - [2010.03.18 12:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32) SRV - [2009.12.12 00:47:44 | 000,036,352 | ---- | M] () [On_Demand | Stopped] -- C:\Program Files\OpenVPN\bin\openvpnserv.exe -- (OpenVPNService) SRV - [2009.07.14 02:16:21 | 000,185,856 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\wwansvc.dll -- (WwanSvc) SRV - [2009.07.14 02:16:17 | 000,151,552 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\wbiosrvc.dll -- (WbioSrvc) SRV - [2009.07.14 02:16:17 | 000,119,808 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\umpo.dll -- (Power) SRV - [2009.07.14 02:16:16 | 000,037,376 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\themeservice.dll -- (Themes) SRV - [2009.07.14 02:16:15 | 000,053,760 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sppuinotify.dll -- (sppuinotify) SRV - [2009.07.14 02:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\StorSvc.dll -- (StorSvc) SRV - [2009.07.14 02:16:13 | 000,043,520 | ---- | M] (Microsoft Corporation) [Unknown | Running] -- C:\Windows\System32\RpcEpMap.dll -- (RpcEptMapper) SRV - [2009.07.14 02:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc) SRV - [2009.07.14 02:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc) SRV - [2009.07.14 02:16:12 | 000,269,824 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\pnrpsvc.dll -- (PNRPsvc) SRV - [2009.07.14 02:16:12 | 000,269,824 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\pnrpsvc.dll -- (p2pimsvc) SRV - [2009.07.14 02:16:12 | 000,165,376 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\provsvc.dll -- (HomeGroupProvider) SRV - [2009.07.14 02:16:12 | 000,020,480 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\pnrpauto.dll -- (PNRPAutoReg) SRV - [2009.07.14 02:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) SRV - [2009.07.14 02:15:36 | 000,194,560 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\ListSvc.dll -- (HomeGroupListener) SRV - [2009.07.14 02:15:36 | 000,038,400 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\lpdsvc.dll -- (LPDSVC) SRV - [2009.07.14 02:15:21 | 000,797,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\FntCache.dll -- (FontCache) SRV - [2009.07.14 02:15:11 | 000,253,440 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\dhcpcore.dll -- (Dhcp) SRV - [2009.07.14 02:15:10 | 000,218,624 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\defragsvc.dll -- (defragsvc) SRV - [2009.07.14 02:14:59 | 000,076,800 | ---- | M] (Microsoft Corporation) [Unknown | Stopped] -- C:\Windows\System32\bdesvc.dll -- (BDESVC) SRV - [2009.07.14 02:14:58 | 000,088,064 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\AxInstSv.dll -- (AxInstSV) ActiveX Installer (AxInstSV) SRV - [2009.07.14 02:14:53 | 000,027,648 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\appidsvc.dll -- (AppIDSvc) SRV - [2009.07.14 02:14:29 | 003,179,520 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\System32\sppsvc.exe -- (sppsvc) SRV - [2009.02.23 10:48:50 | 000,030,312 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe -- (BcmSqlStartupSvc) ========== Driver Services (SafeList) ========== DRV - [2010.11.04 21:25:23 | 000,126,856 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb) DRV - [2010.11.04 21:25:23 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010.04.19 19:29:20 | 000,018,432 | ---- | M] (Apple Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\netaapl.sys -- (Netaapl) DRV - [2010.04.19 15:13:00 | 004,806,144 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\igdkmd32.sys -- (igfx) DRV - [2010.04.01 09:13:38 | 001,009,184 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rtl8192se.sys -- (rtl8192se) DRV - [2009.12.12 00:48:04 | 000,025,984 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\tap0901.sys -- (tap0901) DRV - [2009.12.11 08:44:02 | 000,133,720 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\ksecpkg.sys -- (KSecPkg) DRV - [2009.11.13 08:47:50 | 000,058,368 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\L1C62x86.sys -- (L1C) DRV - [2009.07.14 02:26:21 | 000,015,952 | ---- | M] (CMD Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\cmdide.sys -- (cmdide) DRV - [2009.07.14 02:26:17 | 000,297,552 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adpahci.sys -- (adpahci) DRV - [2009.07.14 02:26:15 | 000,422,976 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adp94xx.sys -- (adp94xx) DRV - [2009.07.14 02:26:15 | 000,159,312 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\amdsbs.sys -- (amdsbs) DRV - [2009.07.14 02:26:15 | 000,146,512 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\adpu320.sys -- (adpu320) DRV - [2009.07.14 02:26:15 | 000,086,608 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\arcsas.sys -- (arcsas) DRV - [2009.07.14 02:26:15 | 000,079,952 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\amdsata.sys -- (amdsata) DRV - [2009.07.14 02:26:15 | 000,076,368 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\arc.sys -- (arc) DRV - [2009.07.14 02:26:15 | 000,023,616 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\amdxata.sys -- (amdxata) DRV - [2009.07.14 02:26:15 | 000,014,400 | ---- | M] (Acer Laboratories Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\aliide.sys -- (aliide) DRV - [2009.07.14 02:20:44 | 000,142,416 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nvstor.sys -- (nvstor) DRV - [2009.07.14 02:20:44 | 000,117,312 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nvraid.sys -- (nvraid) DRV - [2009.07.14 02:20:44 | 000,044,624 | ---- | M] (IBM Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\nfrd960.sys -- (nfrd960) DRV - [2009.07.14 02:20:37 | 000,089,168 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_sas.sys -- (LSI_SAS) DRV - [2009.07.14 02:20:36 | 000,332,352 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\iaStorV.sys -- (iaStorV) DRV - [2009.07.14 02:20:36 | 000,235,584 | ---- | M] (LSI Corporation, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\MegaSR.sys -- (MegaSR) DRV - [2009.07.14 02:20:36 | 000,096,848 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_scsi.sys -- (LSI_SCSI) DRV - [2009.07.14 02:20:36 | 000,095,824 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_fc.sys -- (LSI_FC) DRV - [2009.07.14 02:20:36 | 000,054,864 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\lsi_sas2.sys -- (LSI_SAS2) DRV - [2009.07.14 02:20:36 | 000,041,040 | ---- | M] (Intel Corp./ICP vortex GmbH) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\iirsp.sys -- (iirsp) DRV - [2009.07.14 02:20:36 | 000,030,800 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\megasas.sys -- (megasas) DRV - [2009.07.14 02:20:36 | 000,013,904 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\hwpolicy.sys -- (hwpolicy) DRV - [2009.07.14 02:20:28 | 000,453,712 | ---- | M] (Emulex) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\elxstor.sys -- (elxstor) DRV - [2009.07.14 02:20:28 | 000,070,720 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\djsvs.sys -- (aic78xx) DRV - [2009.07.14 02:20:28 | 000,067,152 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\HpSAMD.sys -- (HpSAMD) DRV - [2009.07.14 02:20:28 | 000,046,160 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\fsdepends.sys -- (FsDepends) DRV - [2009.07.14 02:19:11 | 000,141,904 | ---- | M] (VIA Technologies Inc.,Ltd) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vsmraid.sys -- (vsmraid) DRV - [2009.07.14 02:19:10 | 000,175,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vmbus.sys -- (vmbus) DRV - [2009.07.14 02:19:10 | 000,159,824 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vhdmp.sys -- (vhdmp) DRV - [2009.07.14 02:19:10 | 000,040,896 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\vmstorfl.sys -- (storflt) DRV - [2009.07.14 02:19:10 | 000,032,832 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\vdrvroot.sys -- (vdrvroot) DRV - [2009.07.14 02:19:10 | 000,028,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\storvsc.sys -- (storvsc) DRV - [2009.07.14 02:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\wimmount.sys -- (WIMMount) DRV - [2009.07.14 02:19:10 | 000,016,976 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\viaide.sys -- (viaide) DRV - [2009.07.14 02:19:04 | 001,383,488 | ---- | M] (QLogic Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\ql2300.sys -- (ql2300) DRV - [2009.07.14 02:19:04 | 000,173,648 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\rdyboost.sys -- (rdyboost) DRV - [2009.07.14 02:19:04 | 000,106,064 | ---- | M] (QLogic Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\ql40xx.sys -- (ql40xx) DRV - [2009.07.14 02:19:04 | 000,077,888 | ---- | M] (Silicon Integrated Systems) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\sisraid4.sys -- (SiSRaid4) DRV - [2009.07.14 02:19:04 | 000,043,088 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\pcw.sys -- (pcw) DRV - [2009.07.14 02:19:04 | 000,040,016 | ---- | M] (Silicon Integrated Systems Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\SiSRaid2.sys -- (SiSRaid2) DRV - [2009.07.14 02:19:04 | 000,021,072 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\stexstor.sys -- (stexstor) DRV - [2009.07.14 02:17:54 | 000,369,568 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\cng.sys -- (CNG) DRV - [2009.07.14 01:57:25 | 000,272,128 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\Brserid.sys -- (Brserid) Brother MFC Serial Port Interface Driver (WDM) DRV - [2009.07.14 01:18:07 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\WSDPrint.sys -- (WSDPrintDevice) DRV - [2009.07.14 01:02:41 | 000,018,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\rdpbus.sys -- (rdpbus) DRV - [2009.07.14 01:01:41 | 000,007,168 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\RDPREFMP.sys -- (RDPREFMP) DRV - [2009.07.14 00:55:00 | 000,049,152 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\agilevpn.sys -- (RasAgileVpn) WAN Miniport (IKEv2) DRV - [2009.07.14 00:53:51 | 000,009,728 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\wfplwf.sys -- (WfpLwf) DRV - [2009.07.14 00:52:44 | 000,027,136 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ndiscap.sys -- (NdisCap) DRV - [2009.07.14 00:52:04 | 000,048,128 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\vwififlt.sys -- (vwififlt) DRV - [2009.07.14 00:52:02 | 000,019,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\vwifibus.sys -- (vwifibus) DRV - [2009.07.14 00:52:00 | 000,163,328 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\1394ohci.sys -- (1394ohci) DRV - [2009.07.14 00:51:35 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\umpass.sys -- (UmPass) DRV - [2009.07.14 00:51:11 | 000,034,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb) DRV - [2009.07.14 00:51:08 | 000,004,096 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mshidkmdf.sys -- (mshidkmdf) DRV - [2009.07.14 00:46:55 | 000,012,288 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\MTConfig.sys -- (MTConfig) DRV - [2009.07.14 00:45:26 | 000,031,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\CompositeBus.sys -- (CompositeBus) DRV - [2009.07.14 00:36:52 | 000,050,176 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\appid.sys -- (AppID) DRV - [2009.07.14 00:33:50 | 000,026,624 | ---- | M] (Microsoft Corporation) [Kernel | Unknown | Stopped] -- C:\Windows\System32\drivers\scfilter.sys -- (scfilter) DRV - [2009.07.14 00:28:47 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vms3cap.sys -- (s3cap) DRV - [2009.07.14 00:28:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\VMBusHID.sys -- (VMBusHID) DRV - [2009.07.14 00:24:05 | 000,032,256 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\Windows\System32\drivers\discache.sys -- (discache) DRV - [2009.07.14 00:16:36 | 000,009,728 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\acpipmi.sys -- (AcpiPmi) DRV - [2009.07.14 00:11:04 | 000,052,736 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\amdppm.sys -- (AmdPPM) DRV - [2009.07.13 23:54:14 | 000,026,624 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\hcw85cir.sys -- (hcw85cir) DRV - [2009.07.13 23:53:33 | 000,012,160 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrUsbMdm.sys -- (BrUsbMdm) DRV - [2009.07.13 23:53:33 | 000,011,904 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrUsbSer.sys -- (BrUsbSer) DRV - [2009.07.13 23:53:32 | 000,062,336 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\BrSerWdm.sys -- (BrSerWdm) DRV - [2009.07.13 23:53:28 | 000,013,568 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\BrFiltLo.sys -- (BrFiltLo) DRV - [2009.07.13 23:53:28 | 000,005,248 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\BrFiltUp.sys -- (BrFiltUp) DRV - [2009.07.13 23:02:49 | 000,229,888 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\b57nd60x.sys -- (b57nd60x) DRV - [2009.07.13 23:02:48 | 003,100,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\evbdx.sys -- (ebdrv) DRV - [2009.07.13 23:02:48 | 000,430,080 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\bxvbdx.sys -- (b06bdrv) DRV - [2009.07.01 12:46:20 | 000,043,944 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\btusbflt.sys -- (btusbflt) DRV - [2009.06.30 10:37:16 | 000,028,552 | ---- | M] (Panda Security, S.L.) [File_System | Boot | Running] -- C:\Windows\system32\drivers\pavboot.sys -- (pavboot) DRV - [2009.06.09 20:30:42 | 000,016,456 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\ATKACPI.SYS -- (ACPIService) DRV - [2009.05.11 08:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2008.07.04 12:19:30 | 000,018,776 | ---- | M] (SEGGER MICROCONTROLLER GmbH & Co. KG) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\USBBulk.sys -- (usbbulk) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 61 E8 63 A2 CF 7D CB 01 [binary data] IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "" FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.1 FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.10 FF - prefs.js..extensions.enabledItems: {15e67a59-bd3d-49ae-90dd-b3d3fd14c2ed}:1.0.4 FF - prefs.js..extensions.enabledItems: {e001c731-5e37-4538-a5cb-8168736a2360}:0.9.9.50 FF - prefs.js..network.proxy.type: 0 FF - HKLM\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.05.28 18:05:40 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.10.31 14:48:29 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.10.31 14:48:27 | 000,000,000 | ---D | M] [2010.04.14 17:31:36 | 000,000,000 | ---D | M] -- C:\Users\xxx\AppData\Roaming\Mozilla\Extensions [2010.11.09 13:20:25 | 000,000,000 | ---D | M] -- C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\extensions [2010.08.18 15:11:22 | 000,000,000 | ---D | M] (TweakTube) -- C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\extensions\{15e67a59-bd3d-49ae-90dd-b3d3fd14c2ed} [2010.10.31 14:48:54 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2010.08.18 15:03:57 | 000,000,000 | ---D | M] (DownThemAll!) -- C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8} [2010.11.07 20:35:17 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360} [2010.08.18 15:10:56 | 000,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions [2010.05.27 23:06:02 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.04.12 16:29:19 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll [2010.09.20 16:34:51 | 000,001,392 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.09.20 16:34:51 | 000,002,344 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\eBay-de.xml [2010.09.20 16:34:51 | 000,006,805 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.09.20 16:34:51 | 000,001,178 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.09.20 16:34:51 | 000,001,105 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O2 - BHO: (HP Print Enhancer) - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\smart web printing\hpswp_printenhancer.dll (Hewlett-Packard Co.) O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O2 - BHO: (HP Smart BHO Class) - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\smart web printing\hpswp_BHO.dll (Hewlett-Packard Co.) O4 - HKLM..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Hotkey] C:\Program Files\Pegatron\Hotkey\FastUserSwitching.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 O9 - Extra Button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation) O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe (ICQ, LLC.) O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra Button: HP Smart Web Printing ein- oder ausblenden - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\smart web printing\hpswp_BHO.dll (Hewlett-Packard Co.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.) O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} hxxp://ax.emsisoft.com/asquared.cab (a-squared Scanner) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.1 O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\Windows\System32\igfxdev.dll (Intel Corporation) O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O30 - LSA: Security Packages - (pku2u) - C:\Windows\System32\pku2u.dll (Microsoft Corporation) O30 - LSA: Security Packages - (livessp) - C:\Windows\System32\livessp.dll (Microsoft Corp.) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O32 - Unable to obtain root file information for disk G:\ O33 - MountPoints2\{5864a8ea-8f33-11df-81bb-1c4bd6026b55}\Shell - "" = AutoRun O33 - MountPoints2\{5864a8ea-8f33-11df-81bb-1c4bd6026b55}\Shell\AutoRun\command - "" = F:\Install.exe -- File not found O33 - MountPoints2\{d6eefc7a-4742-11df-be0e-806e6f6e6963}\Shell - "" = AutoRun O33 - MountPoints2\{d6eefc7a-4742-11df-be0e-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Installer.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.11.09 13:26:34 | 000,000,000 | ---D | C] -- C:\Users\xxx\AppData\Roaming\Malwarebytes [2010.11.09 13:26:23 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys [2010.11.09 13:26:19 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2010.11.09 13:26:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2010.11.09 13:26:18 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2010.11.09 13:24:56 | 000,000,000 | ---D | C] -- C:\Users\Public\Desktop\MFtools [2010.11.09 13:22:08 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Users\xxx\Desktop\OTL.exe [2010.11.06 17:44:32 | 000,028,552 | ---- | C] (Panda Security, S.L.) -- C:\Windows\System32\drivers\pavboot.sys [2010.11.06 17:43:05 | 000,000,000 | ---D | C] -- C:\Program Files\Panda Security [2010.10.27 16:49:58 | 000,641,536 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\CPFilters.dll [2010.10.27 16:49:58 | 000,417,792 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msdri.dll [2010.10.27 16:49:58 | 000,204,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\MSNP.ax [2010.10.27 16:49:58 | 000,199,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mpg2splt.ax [2010.10.27 16:49:44 | 000,026,504 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\Diskdump.sys [2010.10.22 15:10:06 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Blizzard Entertainment [2010.10.22 13:26:48 | 000,000,000 | ---D | C] -- C:\Users\xxx\AppData\Local\Windows Live [2010.10.22 13:26:04 | 003,181,568 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mf.dll [2010.10.22 13:26:04 | 000,196,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mfreadwrite.dll [2010.10.22 13:26:02 | 001,619,456 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\WMVDECOD.DLL [2010.10.22 13:24:05 | 000,000,000 | ---D | C] -- C:\Users\xxx\Desktop\test [2010.10.20 23:08:57 | 000,599,040 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll [2010.10.20 23:08:55 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\licmgr10.dll [2010.10.20 23:08:54 | 000,381,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iedkcs32.dll [2010.10.20 23:08:53 | 000,606,208 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mstime.dll [2010.10.20 23:08:53 | 000,185,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iepeers.dll [2010.10.20 23:08:53 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll [2010.10.20 23:08:52 | 000,064,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedsbs.dll [2010.10.20 23:08:52 | 000,048,128 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll [2010.10.20 23:08:51 | 001,638,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb [2010.10.20 23:08:51 | 000,386,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\html.iec [2010.10.20 23:08:51 | 000,012,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedssync.exe [2010.10.20 23:08:42 | 000,109,056 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\t2embed.dll [2010.10.20 23:08:34 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Live [2010.10.20 23:08:28 | 000,954,752 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mfc40.dll [2010.10.20 23:08:28 | 000,954,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mfc40u.dll [2010.10.20 23:08:09 | 012,625,408 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wmploc.DLL [2010.10.20 23:08:02 | 002,327,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys [2010.10.20 23:06:10 | 000,738,816 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wmpmde.dll [2010.10.20 23:05:52 | 000,363,520 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\StructuredQuery.dll ========== Files - Modified Within 30 Days ========== [2010.11.09 14:02:07 | 000,013,232 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2010.11.09 14:02:07 | 000,013,232 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2010.11.09 13:58:42 | 000,671,484 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2010.11.09 13:58:42 | 000,127,936 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2010.11.09 13:54:14 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2010.11.09 13:54:09 | 1602,912,256 | -HS- | M] () -- C:\hiberfil.sys [2010.11.09 13:26:26 | 000,000,975 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2010.11.09 13:25:01 | 000,050,477 | ---- | M] () -- C:\Users\xxx\Desktop\defogger.exe [2010.11.09 13:24:59 | 000,288,107 | ---- | M] () -- C:\Users\xxx\Desktop\Gmer.zip [2010.11.09 13:22:14 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Users\xxx\Desktop\OTL.exe [2010.11.09 13:21:24 | 000,471,642 | ---- | M] () -- C:\Users\xxx\Desktop\Load.exe [2010.11.06 17:42:56 | 000,178,640 | ---- | M] () -- C:\Users\xxx\Desktop\activescan2_de.exe [2010.11.06 17:36:35 | 001,211,256 | ---- | M] () -- C:\Users\xxx\Desktop\MalAware.exe [2010.11.06 10:51:02 | 213,319,330 | ---- | M] () -- C:\Windows\MEMORY.DMP [2010.11.04 21:25:23 | 000,126,856 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avipbb.sys [2010.11.04 21:25:23 | 000,060,936 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avgntflt.sys [2010.10.26 16:06:57 | 000,001,372 | ---- | M] () -- C:\Users\Public\Desktop\Diablo II - Lord of Destruction.lnk [2010.10.21 00:07:50 | 000,410,096 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT [2010.10.19 10:41:44 | 000,222,080 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\MpSigStub.exe ========== Files Created - No Company Name ========== [2010.11.09 13:26:26 | 000,000,975 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk [2010.11.09 13:25:00 | 000,050,477 | ---- | C] () -- C:\Users\xxx\Desktop\defogger.exe [2010.11.09 13:24:58 | 000,288,107 | ---- | C] () -- C:\Users\xxx\Desktop\Gmer.zip [2010.11.09 13:21:19 | 000,471,642 | ---- | C] () -- C:\Users\xxx\Desktop\Load.exe [2010.11.06 17:42:53 | 000,178,640 | ---- | C] () -- C:\Users\xxx\Desktop\activescan2_de.exe [2010.11.06 17:36:27 | 001,211,256 | ---- | C] () -- C:\Users\xxx\Desktop\MalAware.exe [2010.10.22 15:25:22 | 000,001,372 | ---- | C] () -- C:\Users\Public\Desktop\Diablo II - Lord of Destruction.lnk [2010.09.09 20:15:53 | 000,003,584 | ---- | C] () -- C:\Users\xxx\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.07.15 20:46:21 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat [2010.06.12 10:44:25 | 000,045,056 | ---- | C] () -- C:\Windows\System32\Tvl20ita.dll [2010.06.12 10:44:25 | 000,045,056 | ---- | C] () -- C:\Windows\System32\Tvl20FRN.dll [2010.06.12 10:44:25 | 000,045,056 | ---- | C] () -- C:\Windows\System32\Tvl20esp.dll [2010.06.12 10:44:25 | 000,040,960 | ---- | C] () -- C:\Windows\System32\Tvl20GER.dll [2010.06.12 10:44:24 | 000,040,960 | ---- | C] () -- C:\Windows\System32\Tvl20ENG.dll [2010.06.12 10:39:51 | 000,000,092 | ---- | C] () -- C:\Users\xxx\AppData\Local\xxxoncache.dat [2010.06.05 14:34:31 | 000,000,034 | ---- | C] () -- C:\Windows\cdplayer.ini [2010.04.21 21:15:02 | 000,005,243 | ---- | C] () -- C:\ProgramData\hpzinstall.log [2010.04.20 19:56:46 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll [2010.04.14 20:54:15 | 000,007,604 | ---- | C] () -- C:\Users\xxx\AppData\Local\Resmon.ResmonCfg [2010.04.14 20:33:59 | 000,000,004 | ---- | C] () -- C:\ProgramData\WBLD.INI [2009.12.18 11:45:17 | 000,016,456 | ---- | C] () -- C:\Windows\System32\drivers\ATKACPI.SYS [2009.07.14 00:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll [2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll [2005.06.10 07:46:52 | 000,049,152 | R--- | C] () -- C:\Windows\System32\FDT100.dll [2004.08.13 11:20:16 | 000,040,448 | ---- | C] () -- C:\Windows\System32\regobj.dll [2004.08.13 11:20:16 | 000,000,030 | ---- | C] () -- C:\Windows\CWDrvMan.ini < End of report > Malware: Malwarebytes' Anti-Malware 1.46 Malwarebytes Datenbank Version: 5080 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 09.11.2010 13:41:09 mbam-log-2010-11-09 (13-41-09).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 147868 Laufzeit: 12 Minute(n), 36 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ps. die gefundenen Dateien hab ich erstma in den Quarantäneordner von Antivir gesteckt |
14.11.2010, 21:20 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Tr/dropper.gen bin ich noch sicher/ richtig gehandelt?Zitat:
Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!
__________________ |
15.11.2010, 22:44 | #3 |
| Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Hallo hier der Vollscanlog:
__________________Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5121 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 15.11.2010 21:49:00 mbam-log-2010-11-15 (21-49-00).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|) Durchsuchte Objekte: 342252 Laufzeit: 2 Stunde(n), 28 Minute(n), 0 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Beim Scannen von Malwarebytes hatte Antivir auf Laufwerk D wieder den selben Trojaner festgestellt( ich habe die Dateien gelöscht 7Stück). Was mich so wundert ist das Laufwerk D meine Xp Partion ist auf der eigentlich noch Arbeitsprogramme von der Arbeitlaufen, da diese nicht kompatible mit Win7 waren. Die Programme die auf D installiert wurden stammen nur von den Herstellern seien. Komisch das Antivir beim letzten Vollscan diese Dateien auch nicht gefunden hatte. Vielen Dank im Voraus Antivir Report: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 15. November 2010 21:08 Es wird nach 3029931 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : xxx-PC Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 04.11.2010 20:25:23 AVSCAN.DLL : 10.0.3.0 56168 Bytes 23.04.2010 16:26:59 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:36:39 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 21:11:24 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:04:26 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 20:36:19 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 20:25:22 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 20:25:22 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 20:25:22 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 20:25:22 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 20:25:22 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 19:35:59 VBASE015.VDF : 7.10.13.148 2048 Bytes 07.11.2010 19:35:59 VBASE016.VDF : 7.10.13.149 2048 Bytes 07.11.2010 19:35:59 VBASE017.VDF : 7.10.13.150 2048 Bytes 07.11.2010 19:35:59 VBASE018.VDF : 7.10.13.151 2048 Bytes 07.11.2010 19:35:59 VBASE019.VDF : 7.10.13.152 2048 Bytes 07.11.2010 19:35:59 VBASE020.VDF : 7.10.13.153 2048 Bytes 07.11.2010 19:36:00 VBASE021.VDF : 7.10.13.154 2048 Bytes 07.11.2010 19:36:00 VBASE022.VDF : 7.10.13.155 2048 Bytes 07.11.2010 19:36:00 VBASE023.VDF : 7.10.13.156 2048 Bytes 07.11.2010 19:36:00 VBASE024.VDF : 7.10.13.157 2048 Bytes 07.11.2010 19:36:00 VBASE025.VDF : 7.10.13.158 2048 Bytes 07.11.2010 19:36:00 VBASE026.VDF : 7.10.13.159 2048 Bytes 07.11.2010 19:36:00 VBASE027.VDF : 7.10.13.160 2048 Bytes 07.11.2010 19:36:00 VBASE028.VDF : 7.10.13.161 2048 Bytes 07.11.2010 19:36:01 VBASE029.VDF : 7.10.13.162 2048 Bytes 07.11.2010 19:36:01 VBASE030.VDF : 7.10.13.163 2048 Bytes 07.11.2010 19:36:01 VBASE031.VDF : 7.10.13.177 109568 Bytes 09.11.2010 12:19:31 Engineversion : 8.2.4.92 AEVDF.DLL : 8.1.2.1 106868 Bytes 14.08.2010 10:05:35 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 04.11.2010 20:25:22 AESCN.DLL : 8.1.6.1 127347 Bytes 22.05.2010 16:57:10 AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 16:26:59 AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 21:45:15 AEPACK.DLL : 8.2.3.11 471416 Bytes 20.10.2010 21:48:07 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 25.07.2010 16:07:06 AEHEUR.DLL : 8.1.2.38 2990455 Bytes 04.11.2010 20:25:22 AEHELP.DLL : 8.1.14.0 246134 Bytes 20.10.2010 21:48:03 AEGEN.DLL : 8.1.3.24 401781 Bytes 04.11.2010 20:25:22 AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 16:26:58 AECORE.DLL : 8.1.17.0 196982 Bytes 03.10.2010 17:04:15 AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 16:26:58 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 20:25:23 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 04.11.2010 20:25:23 AVARKT.DLL : 10.0.0.14 227176 Bytes 23.04.2010 16:26:59 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 20:25:22 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4d012d00\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Optimierter Suchlauf..................: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,-BDC,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Montag, 15. November 2010 21:08 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PHControl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FastUserSwitching.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DynUpSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020399.exe' D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020399.exe [FUND] Ist das 'D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020403.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '495a356a.qua' verschoben! D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020403.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51cd1acd.qua' verschoben! Ende des Suchlaufs: Montag, 15. November 2010 21:12 Benötigte Zeit: 03:40 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 60 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 58 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 2 Hinweise 37565 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Die Suchergebnisse werden an den Guard übermittelt. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 15. November 2010 21:12 Es wird nach 3029931 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : xxx-PC Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 04.11.2010 20:25:23 AVSCAN.DLL : 10.0.3.0 56168 Bytes 23.04.2010 16:26:59 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:05:36 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:27:49 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 15:37:42 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 14:37:42 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:29:03 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:36:39 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 21:11:24 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 16:04:26 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 20:36:19 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 20:25:22 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 20:25:22 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 20:25:22 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 20:25:22 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 20:25:22 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 19:35:59 VBASE015.VDF : 7.10.13.148 2048 Bytes 07.11.2010 19:35:59 VBASE016.VDF : 7.10.13.149 2048 Bytes 07.11.2010 19:35:59 VBASE017.VDF : 7.10.13.150 2048 Bytes 07.11.2010 19:35:59 VBASE018.VDF : 7.10.13.151 2048 Bytes 07.11.2010 19:35:59 VBASE019.VDF : 7.10.13.152 2048 Bytes 07.11.2010 19:35:59 VBASE020.VDF : 7.10.13.153 2048 Bytes 07.11.2010 19:36:00 VBASE021.VDF : 7.10.13.154 2048 Bytes 07.11.2010 19:36:00 VBASE022.VDF : 7.10.13.155 2048 Bytes 07.11.2010 19:36:00 VBASE023.VDF : 7.10.13.156 2048 Bytes 07.11.2010 19:36:00 VBASE024.VDF : 7.10.13.157 2048 Bytes 07.11.2010 19:36:00 VBASE025.VDF : 7.10.13.158 2048 Bytes 07.11.2010 19:36:00 VBASE026.VDF : 7.10.13.159 2048 Bytes 07.11.2010 19:36:00 VBASE027.VDF : 7.10.13.160 2048 Bytes 07.11.2010 19:36:00 VBASE028.VDF : 7.10.13.161 2048 Bytes 07.11.2010 19:36:01 VBASE029.VDF : 7.10.13.162 2048 Bytes 07.11.2010 19:36:01 VBASE030.VDF : 7.10.13.163 2048 Bytes 07.11.2010 19:36:01 VBASE031.VDF : 7.10.13.177 109568 Bytes 09.11.2010 12:19:31 Engineversion : 8.2.4.92 AEVDF.DLL : 8.1.2.1 106868 Bytes 14.08.2010 10:05:35 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 04.11.2010 20:25:22 AESCN.DLL : 8.1.6.1 127347 Bytes 22.05.2010 16:57:10 AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 16:26:59 AERDL.DLL : 8.1.9.2 635252 Bytes 23.09.2010 21:45:15 AEPACK.DLL : 8.2.3.11 471416 Bytes 20.10.2010 21:48:07 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 25.07.2010 16:07:06 AEHEUR.DLL : 8.1.2.38 2990455 Bytes 04.11.2010 20:25:22 AEHELP.DLL : 8.1.14.0 246134 Bytes 20.10.2010 21:48:03 AEGEN.DLL : 8.1.3.24 401781 Bytes 04.11.2010 20:25:22 AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 16:26:58 AECORE.DLL : 8.1.17.0 196982 Bytes 03.10.2010 17:04:15 AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 16:26:58 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 04.11.2010 20:25:23 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 04.11.2010 20:25:23 AVARKT.DLL : 10.0.0.14 227176 Bytes 23.04.2010 16:26:59 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 04.11.2010 20:25:22 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4d012d00\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: ein Optimierter Suchlauf..................: ein Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Abweichende Gefahrenkategorien........: +APPL,-BDC,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Montag, 15. November 2010 21:12 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PHControl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'FastUserSwitching.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSvcM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DynUpSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'conhost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Untersuchung der Systemdateien wird begonnen: Signiert -> 'C:\Windows\system32\svchost.exe' Signiert -> 'C:\Windows\system32\winlogon.exe' Signiert -> 'C:\Windows\explorer.exe' Signiert -> 'C:\Windows\system32\smss.exe' Signiert -> 'C:\Windows\system32\wininet.DLL' Signiert -> 'C:\Windows\system32\wsock32.DLL' Signiert -> 'C:\Windows\system32\ws2_32.DLL' Signiert -> 'C:\Windows\system32\services.exe' Signiert -> 'C:\Windows\system32\lsass.exe' Signiert -> 'C:\Windows\system32\csrss.exe' Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys' Signiert -> 'C:\Windows\system32\spoolsv.exe' Signiert -> 'C:\Windows\system32\alg.exe' Signiert -> 'C:\Windows\system32\wuauclt.exe' Signiert -> 'C:\Windows\system32\advapi32.DLL' Signiert -> 'C:\Windows\system32\user32.DLL' Signiert -> 'C:\Windows\system32\gdi32.DLL' Signiert -> 'C:\Windows\system32\kernel32.DLL' Signiert -> 'C:\Windows\system32\ntdll.DLL' Signiert -> 'C:\Windows\system32\ntoskrnl.exe' Signiert -> 'C:\Windows\system32\ctfmon.exe' Die Systemdateien wurden durchsucht ('21' Dateien) Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020411.exe' D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020411.exe [FUND] Ist das TrojaSystem Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020419.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020419.exe [FUND] Ist das Trojanische Pferd TR/Droppeion\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020427.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020427.exe [FUND] Ist das 'D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020434.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020434.exe nne mit der Suche in 'D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020442.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020442.exe [FUND] Ist das Tro:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020449.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020449.exe [FUND] der Suche in 'D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020464.exe' [FUND] Ist das Trojanische Pferd TR/Dropper.Gen D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020464.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen Beginne mit der Desinfektion: D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020464.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020449.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020442.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020434.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020427.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020419.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. D:\System Volume Information\_restore{38AE9B9B-9EB3-4172-BBB2-6205C669099D}\RP89\A0020411.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde gelöscht. Ende des Suchlaufs: Montag, 15. November 2010 21:17 Benötigte Zeit: 02:03 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 66 Dateien wurden geprüft 7 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 7 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 59 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 7 Hinweise 37566 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden Die Suchergebnisse werden an den Guard übermittelt. |
15.11.2010, 23:02 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O32 - Unable to obtain root file information for disk G:\ O33 - MountPoints2\{5864a8ea-8f33-11df-81bb-1c4bd6026b55}\Shell - "" = AutoRun O33 - MountPoints2\{5864a8ea-8f33-11df-81bb-1c4bd6026b55}\Shell\AutoRun\command - "" = F:\Install.exe -- File not found O33 - MountPoints2\{d6eefc7a-4742-11df-be0e-806e6f6e6963}\Shell - "" = AutoRun O33 - MountPoints2\{d6eefc7a-4742-11df-be0e-806e6f6e6963}\Shell\AutoRun\command - "" = F:\Installer.exe -- File not found :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
15.11.2010, 23:22 | #5 |
| Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Anbei der Olt log mit dem Fix: All processes killed ========== OTL ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\autoexec.bat moved successfully. File not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5864a8ea-8f33-11df-81bb-1c4bd6026b55}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5864a8ea-8f33-11df-81bb-1c4bd6026b55}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5864a8ea-8f33-11df-81bb-1c4bd6026b55}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5864a8ea-8f33-11df-81bb-1c4bd6026b55}\ not found. File F:\Install.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d6eefc7a-4742-11df-be0e-806e6f6e6963}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d6eefc7a-4742-11df-be0e-806e6f6e6963}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d6eefc7a-4742-11df-be0e-806e6f6e6963}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d6eefc7a-4742-11df-be0e-806e6f6e6963}\ not found. File F:\Installer.exe not found. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: XXX ->Temp folder emptied: 383942890 bytes ->Temporary Internet Files folder emptied: 145374462 bytes ->Java cache emptied: 10696033 bytes ->FireFox cache emptied: 54257538 bytes ->Flash cache emptied: 14038 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 33548282 bytes RecycleBin emptied: 1474432744 bytes Total Files Cleaned = 2.005,00 mb OTL by OldTimer - Version 3.2.17.3 log created on 11152010_231524 Files\Folders moved on Reboot... Registry entries deleted on Reboot... |
15.11.2010, 23:35 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? |
16.11.2010, 07:13 | #7 |
| Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Hi Ccleaner ist abgeschlossen Logs kann ich gerade nicht Posten, da ich auf der Arbeit bin. Was mir aber sorgen bereitet ist das die Cofi. Exe seit 7 Std im Punkterstellen der logdatei steht u nichts mehr passiert. Was soll ich machen wenn das heute Mittag immer noch nicht fertig ist? MfG |
16.11.2010, 16:27 | #8 |
| Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Nach dem mein Notbook nach über 7Std doch noch fetig geworden ist hier der Log: Combofix Logfile: Code:
ATTFilter ComboFix 10-11-15.04 - XXX 15.11.2010 23:53:10.1.2 - x86 Microsoft Windows 7 Professional 6.1.7600.0.1252.49.1033.18.2038.1357 [GMT 1:00] ausgeführt von:: c:\users\XXX\Desktop\cofi.exe . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . G:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2010-10-15 bis 2010-11-15 )))))))))))))))))))))))))))))) . 2010-11-15 23:08 . 2010-11-15 23:09 -------- d-----w- c:\users\XXX\AppData\Local\temp 2010-11-15 23:08 . 2010-11-15 23:08 -------- d-----w- c:\users\Default\AppData\Local\temp 2010-11-15 22:40 . 2010-11-15 22:40 -------- d-----w- c:\program files\CCleaner 2010-11-15 22:15 . 2010-11-15 22:15 -------- d-----w- C:\_OTL 2010-11-14 19:11 . 2010-10-07 23:21 6146896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{AF51242E-A8A8-4567-B5EF-AE05B875331F}\mpengine.dll 2010-11-09 12:26 . 2010-11-09 12:26 -------- d-----w- c:\users\XXX\AppData\Roaming\Malwarebytes 2010-11-09 12:26 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-09 12:26 . 2010-11-09 12:26 -------- d-----w- c:\programdata\Malwarebytes 2010-11-09 12:26 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-11-09 12:26 . 2010-11-09 12:26 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-11-06 16:44 . 2009-06-30 09:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys 2010-11-06 16:43 . 2010-11-06 16:43 -------- d-----w- c:\program files\Panda Security 2010-10-27 15:49 . 2010-08-04 06:18 641536 ----a-w- c:\windows\system32\CPFilters.dll 2010-10-27 15:49 . 2010-08-04 06:17 417792 ----a-w- c:\windows\system32\msdri.dll 2010-10-27 15:49 . 2010-08-04 06:15 204288 ----a-w- c:\windows\system32\MSNP.ax 2010-10-27 15:49 . 2010-08-04 06:15 199680 ----a-w- c:\windows\system32\mpg2splt.ax 2010-10-27 15:49 . 2010-07-13 05:22 26504 ----a-w- c:\windows\system32\drivers\Diskdump.sys 2010-10-22 14:10 . 2010-10-22 14:22 -------- d-----w- c:\program files\Common Files\Blizzard Entertainment 2010-10-22 12:26 . 2010-10-22 12:26 -------- d-----w- c:\users\XXX\AppData\Local\Windows Live 2010-10-22 12:26 . 2010-05-23 10:11 196608 ----a-w- c:\windows\system32\mfreadwrite.dll 2010-10-22 12:26 . 2010-05-23 10:11 3181568 ----a-w- c:\windows\system32\mf.dll 2010-10-22 12:26 . 2010-05-23 10:15 1619456 ----a-w- c:\windows\system32\WMVDECOD.DLL 2010-10-20 22:09 . 2010-06-29 04:57 4247040 ----a-w- c:\program files\Windows NT\Accessories\wordpad.exe 2010-10-20 22:09 . 2010-06-29 05:02 1413632 ----a-w- c:\windows\system32\ole32.dll 2010-10-20 22:07 . 2010-08-27 03:31 310784 ----a-w- c:\windows\system32\drivers\srv.sys 2010-10-20 22:07 . 2010-08-27 05:46 168448 ----a-w- c:\windows\system32\srvsvc.dll 2010-10-20 22:07 . 2010-08-27 03:30 308736 ----a-w- c:\windows\system32\drivers\srv2.sys 2010-10-20 22:07 . 2010-08-27 03:30 113664 ----a-w- c:\windows\system32\drivers\srvnet.sys 2010-10-20 22:06 . 2010-08-21 05:36 738816 ----a-w- c:\windows\system32\wmpmde.dll 2010-10-20 22:05 . 2010-05-05 06:46 363520 ----a-w- c:\windows\system32\StructuredQuery.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-04 20:25 . 2010-04-14 20:31 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-11-04 20:25 . 2010-04-14 20:31 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-10-19 09:41 . 2010-04-14 18:02 222080 ------w- c:\windows\system32\MpSigStub.exe 2010-09-21 12:03 . 2010-09-21 12:03 208768 ----a-w- c:\windows\system32\LIVESSP.DLL 2010-09-08 09:17 . 2010-09-08 09:17 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx 2010-09-08 09:17 . 2010-09-08 09:17 69632 ----a-w- c:\windows\system32\QuickTime.qts 2010-08-21 05:32 . 2010-09-15 20:41 316928 ----a-w- c:\windows\system32\spoolsv.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-04-19 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-04-19 173592] "Persistence"="c:\windows\system32\igfxpers.exe" [2010-04-19 150552] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-01 421160] "AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-09-08 47904] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) "PromptOnSecureDesktop"= 0 (0x0) [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^DynDNS Updater Tray Icon.lnk] path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\DynDNS Updater Tray Icon.lnk backup=c:\windows\pss\DynDNS Updater Tray Icon.lnk.CommonStartup backupExtension=.CommonStartup [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk] path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup backupExtension=.CommonStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-09-23 02:47 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] 2008-10-25 09:44 31072 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hotkey] 2009-06-03 12:59 258048 ----a-w- c:\program files\Pegatron\Hotkey\FastUserSwitching.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] 2007-05-08 14:24 54840 ----a-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ] 2010-10-27 12:20 133432 ----a-w- c:\program files\ICQ7.0\ICQ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2010-09-01 06:32 421160 ----a-w- c:\program files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-09-08 09:17 421888 ----a-w- c:\program files\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-02-18 09:43 248040 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl.sys [2010-04-19 18432] R3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [2010-04-01 1009184] R3 usbbulk;USBBulk driver;c:\windows\system32\Drivers\USBBulk.sys [2008-07-04 18776] R3 WSDPrintDevice;WSD Print Support via UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920] S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-06-30 28552] S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-04 135336] S2 DynDNS Updater;DynDNS Updater;c:\program files\DynDNS Updater\DynUpSvc.exe [2010-04-16 103800] S3 ACPIService;ATK0100 ACPI SERVICE;c:\windows\system32\DRIVERS\ATKACPI.SYS [2009-06-09 16456] S3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2009-07-01 43944] S3 L1C;NDIS Miniport Driver for Atheros AR813x/AR815x PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x86.sys [2009-11-13 58368] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 HPService REG_MULTI_SZ HPSLPSVC hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc LPDService REG_MULTI_SZ LPDSVC . . ------- Zusätzlicher Suchlauf ------- . uInternet Settings,ProxyOverride = *.local IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000 TCP: {31DBBCCF-33BF-41A0-B9F8-008293E70B57} = 216.146.35.35,216.146.36.36 TCP: {944F255E-1FEE-4EB1-8AD5-EDA571BF8430} = 216.146.35.35,216.146.36.36 TCP: 14C4943454D275C414E48333 = 216.146.35.35,216.146.36.36 TCP: 74165637475686165737 = 216.146.35.35,216.146.36.36 TCP: {E7E5CC85-DF81-4893-B487-74FF058C2176} = 216.146.35.35,216.146.36.36 TCP: {F7277A1A-0C69-48C5-9615-C029A336FF1B} = 216.146.35.35,216.146.36.36 FF - ProfilePath - c:\users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\ FF - prefs.js: browser.startup.homepage - FF - prefs.js: network.proxy.type - 0 FF - component: c:\users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll FF - plugin: c:\users\XXX\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll ---- FIREFOX Richtlinien ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Zeit der Fertigstellung: 2010-11-16 06:44:00 ComboFix-quarantined-files.txt 2010-11-16 05:43 Vor Suchlauf: 86.298.456.064 bytes free Nach Suchlauf: 86.492.971.008 bytes free - - End Of File - - 7DE2202DE3A1C0D2E884BC8AB1DBD625 |
16.11.2010, 21:53 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
16.11.2010, 22:52 | #10 |
| Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Anbei die Logs GMER hatte sich wie vermutet aufgehangen: OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 22:48:21 on 16.11.2010 OS: Windows 7 (Build 7600), 32-bit Default Browser: Mozilla Corporation Firefox 3.6.12 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\MLCFG32.CPL "QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\Users\XXX\AppData\Local\Temp\catchme.sys (File not found) "kxldypod" (kxldypod) - ? - C:\Users\XXX\AppData\Local\Temp\kxldypod.sys (Hidden registry entry, rootkit activity | File not found) "pavboot" (pavboot) - "Panda Security, S.L." - C:\Windows\System32\drivers\pavboot.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys [Explorer] -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL {88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll {91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? - (File not found | COM-object registry key not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll {99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Program Files\iTunes\iTunesMiniPlayer.dll {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll {5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\ONFILTER.DLL {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll {0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\OLKFSTUB.DLL {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll [Internet Explorer] -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars )----- {555D4D79-4BD2-4094-A395-CFC534424A05} "HP Smart Web Printing" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_bho.dll -----( HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {1BDE9BD0-B137-4D6A-8287-46002DA6143C} "Web Snapshot" - "Gadwin Systems, Inc" - C:\Program Files\WebSnapshot\WebSnapshot.dll -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} "a-squared Scanner" - "Emsi Software GmbH" - C:\Windows\DOWNLO~1\asquared.ocx / hxxp://ax.emsisoft.com/asquared.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {5F7B1267-94A9-47F5-98DB-E99415F33AEC} "@C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004" - "Microsoft Corporation" - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll {48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll {DDE87865-83C5-48c4-8357-2F5B1AA84522} "HP Smart Web Printing ein- oder ausblenden" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll "ICQ7" - "ICQ, LLC." - C:\Program Files\ICQ7.0\ICQ.exe {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL {898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {0347C33E-8762-4905-BF09-768834316C61} "HP Print Enhancer" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} "HP Smart BHO Class" - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype add-on for Internet Explorer" - "Skype Technologies S.A." - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live ID Sign-in Helper" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [LSA Providers] -----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )----- "Security Packages" - "Microsoft Corp." - C:\Windows\system32\livessp.dll [Logon] -----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\Users\XXX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" "AppleSyncNotifier" - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe "avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min "iTunesHelper" - "Apple Inc." - "C:\Program Files\iTunes\iTunesHelper.exe" "QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "LIDIL hpzlllhn" - "Hewlett-Packard Company" - C:\Windows\system32\hpzlllhn.dll "PDFCreator" - ? - C:\Windows\system32\pdfcmnnt.dll (File found, but it contains no detailed information) "Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe "Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Program Files\Bonjour\mDNSResponder.exe "DynDNS Updater" (DynDNS Updater) - "Dynamic Network Services, Inc." - C:\Program Files\DynDNS Updater\DynUpSvc.exe "HP CUE DeviceDiscovery Service" (hpqddsvc) - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\bin\hpqddsvc.dll "HP Network Devices Support" (HPSLPSVC) - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\bin\HPSLPSVC32.DLL "hpqcxs08" (hpqcxs08) - "Hewlett-Packard Co." - C:\Program Files\HP\Digital Imaging\bin\hpqcxs08.dll "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Program Files\iPod\bin\iPodService.exe "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe "Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE "Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe "Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZinw12.dll "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE "OpenVPN Service" (OpenVPNService) - ? - C:\Program Files\OpenVPN\bin\openvpnserv.exe (File found, but it contains no detailed information) "Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZipm12.dll "SQL Server (MSSMLBIZ)" (MSSQL$MSSMLBIZ) - "Microsoft Corporation" - c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe "SQL Server VSS Writer" (SQLWriter) - "Microsoft Corporation" - c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe "SQL Server-Browser" (SQLBrowser) - "Microsoft Corporation" - c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe "SQL Server-Startdienst für Business Contact Manager" (BcmSqlStartupSvc) - "Microsoft Corporation" - C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe "Windows Live ID Sign-in Assistant" (wlidsvc) - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll "WindowsLive Local NSP" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL "WindowsLive NSP" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows 7 Professional Windows Information: (build 7600), 32-bit Base Board Manufacturer: MEDION BIOS Manufacturer: American Megatrends Inc. System Manufacturer: MEDION System Product Name: E122X Logical Drives Mask: 0x0000005c Kernel Drivers (total 166): 0x81A02000 \SystemRoot\system32\ntkrnlpa.exe 0x81E12000 \SystemRoot\system32\halmacpi.dll 0x81985000 \SystemRoot\system32\kdcom.dll 0x87A0A000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x87A82000 \SystemRoot\system32\PSHED.dll 0x87A93000 \SystemRoot\system32\BOOTVID.dll 0x87A9B000 \SystemRoot\system32\CLFS.SYS 0x87ADD000 \SystemRoot\system32\CI.dll 0x87B88000 \SystemRoot\system32\drivers\Wdf01000.sys 0x87C04000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x87C12000 \SystemRoot\system32\DRIVERS\ACPI.sys 0x87C5A000 \SystemRoot\system32\DRIVERS\WMILIB.SYS 0x87C63000 \SystemRoot\system32\DRIVERS\msisadrv.sys 0x87C6B000 \SystemRoot\system32\DRIVERS\pci.sys 0x87C95000 \SystemRoot\system32\DRIVERS\vdrvroot.sys 0x87CA0000 \SystemRoot\System32\drivers\partmgr.sys 0x87CB1000 \SystemRoot\system32\DRIVERS\compbatt.sys 0x87CB9000 \SystemRoot\system32\DRIVERS\BATTC.SYS 0x87CC4000 \SystemRoot\system32\DRIVERS\volmgr.sys 0x87CD4000 \SystemRoot\System32\drivers\volmgrx.sys 0x87D1F000 \SystemRoot\system32\DRIVERS\intelide.sys 0x87D26000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS 0x87D34000 \SystemRoot\System32\drivers\mountmgr.sys 0x87D4A000 \SystemRoot\system32\drivers\pavboot.sys 0x87D50000 \SystemRoot\system32\DRIVERS\atapi.sys 0x87D59000 \SystemRoot\system32\DRIVERS\ataport.SYS 0x87D7C000 \SystemRoot\system32\DRIVERS\amdxata.sys 0x87D85000 \SystemRoot\system32\drivers\fltmgr.sys 0x87DB9000 \SystemRoot\system32\drivers\fileinfo.sys 0x87E1C000 \SystemRoot\System32\Drivers\Ntfs.sys 0x87F4B000 \SystemRoot\System32\Drivers\msrpc.sys 0x87F76000 \SystemRoot\System32\Drivers\ksecdd.sys 0x87F89000 \SystemRoot\System32\Drivers\cng.sys 0x87FE6000 \SystemRoot\System32\drivers\pcw.sys 0x87FF4000 \SystemRoot\System32\Drivers\Fs_Rec.sys 0x8801D000 \SystemRoot\system32\drivers\ndis.sys 0x880D4000 \SystemRoot\system32\drivers\NETIO.SYS 0x88112000 \SystemRoot\System32\Drivers\ksecpkg.sys 0x88228000 \SystemRoot\System32\drivers\tcpip.sys 0x88371000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x883A2000 \SystemRoot\system32\DRIVERS\vmstorfl.sys 0x883AB000 \SystemRoot\system32\DRIVERS\volsnap.sys 0x883EA000 \SystemRoot\System32\Drivers\spldr.sys 0x88137000 \SystemRoot\System32\drivers\rdyboost.sys 0x88200000 \SystemRoot\System32\Drivers\mup.sys 0x88210000 \SystemRoot\System32\drivers\hwpolicy.sys 0x88164000 \SystemRoot\System32\DRIVERS\fvevol.sys 0x88196000 \SystemRoot\system32\DRIVERS\disk.sys 0x881A7000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS 0x881E6000 \SystemRoot\System32\Drivers\Null.SYS 0x881ED000 \SystemRoot\System32\Drivers\Beep.SYS 0x881F4000 \SystemRoot\System32\drivers\vga.sys 0x87DCA000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x88000000 \SystemRoot\System32\drivers\watchdog.sys 0x8800D000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x88015000 \SystemRoot\system32\drivers\rdpencdd.sys 0x87E00000 \SystemRoot\system32\drivers\rdprefmp.sys 0x87E08000 \SystemRoot\System32\Drivers\Msfs.SYS 0x87DEB000 \SystemRoot\System32\Drivers\Npfs.SYS 0x8B400000 \SystemRoot\system32\DRIVERS\tdx.sys 0x8B417000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x8B422000 \SystemRoot\system32\drivers\afd.sys 0x8B47C000 \SystemRoot\System32\DRIVERS\netbt.sys 0x8B4AE000 \SystemRoot\system32\DRIVERS\wfplwf.sys 0x8B4B5000 \SystemRoot\system32\DRIVERS\pacer.sys 0x8B4D4000 \SystemRoot\system32\DRIVERS\vwififlt.sys 0x8B4E5000 \SystemRoot\system32\DRIVERS\netbios.sys 0x8B4F3000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x8B506000 \SystemRoot\system32\DRIVERS\termdd.sys 0x8B516000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0x8B51C000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x8B55D000 \SystemRoot\system32\drivers\nsiproxy.sys 0x8B567000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0x8B571000 \SystemRoot\System32\drivers\discache.sys 0x8B57D000 \SystemRoot\system32\drivers\csc.sys 0x8B5E1000 \SystemRoot\System32\Drivers\dfsc.sys 0x8BA05000 \SystemRoot\system32\DRIVERS\blbdrive.sys 0x8BA13000 \SystemRoot\system32\DRIVERS\avipbb.sys 0x8BA36000 \SystemRoot\system32\DRIVERS\tunnel.sys 0x8BA57000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x8BE2E000 \SystemRoot\system32\DRIVERS\igdkmd32.sys 0x8C336000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x8BA69000 \SystemRoot\System32\drivers\dxgmms1.sys 0x8BE00000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0x8C3ED000 \SystemRoot\system32\DRIVERS\L1C62x86.sys 0x8BE1F000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0x8BAA2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0x8BAED000 \SystemRoot\system32\DRIVERS\usbehci.sys 0x8BAFC000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0x8BB14000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x8BB21000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x8BE2A000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0x8BB2E000 \SystemRoot\system32\DRIVERS\ATKACPI.SYS 0x8BB36000 \SystemRoot\system32\DRIVERS\CompositeBus.sys 0x8BB43000 \SystemRoot\system32\DRIVERS\AgileVpn.sys 0x8BB55000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x8BB6D000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x8BB78000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x8BB9A000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x8BBB2000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x8BBC9000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x8BBE0000 \SystemRoot\system32\DRIVERS\rdpbus.sys 0x8BBEA000 \SystemRoot\system32\DRIVERS\swenum.sys 0x8CC00000 \SystemRoot\system32\DRIVERS\ks.sys 0x8CC34000 \SystemRoot\system32\DRIVERS\umbus.sys 0x8CC42000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x8CC86000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x8CC97000 \SystemRoot\system32\drivers\HdAudio.sys 0x8CCE7000 \SystemRoot\system32\drivers\portcls.sys 0x8CD16000 \SystemRoot\system32\drivers\drmk.sys 0x8CD2F000 \SystemRoot\System32\Drivers\crashdmp.sys 0x8CD3C000 \SystemRoot\System32\Drivers\dump_dumpata.sys 0x8CD47000 \SystemRoot\System32\Drivers\dump_atapi.sys 0x8CD50000 \SystemRoot\System32\Drivers\dump_dumpfve.sys 0x8CD61000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0x8CD78000 \SystemRoot\system32\DRIVERS\USBD.SYS 0x8CD7A000 \SystemRoot\system32\DRIVERS\hidusb.sys 0x8CD85000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0x8CD98000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0x8CD9F000 \SystemRoot\system32\DRIVERS\mouhid.sys 0x8CDAA000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0x8F6B0000 \SystemRoot\System32\win32k.sys 0x8CDC1000 \SystemRoot\System32\drivers\Dxapi.sys 0x8CDCB000 \SystemRoot\System32\Drivers\usbvideo.sys 0x8CDEF000 \SystemRoot\system32\drivers\btusbflt.sys 0x8BBEC000 \SystemRoot\System32\Drivers\BTHUSB.sys 0x80C1E000 \SystemRoot\System32\Drivers\bthport.sys 0x80C82000 \SystemRoot\system32\DRIVERS\monitor.sys 0x8F910000 \SystemRoot\System32\TSDDD.dll 0x8F940000 \SystemRoot\System32\cdd.dll 0x80C8D000 \SystemRoot\system32\DRIVERS\rfcomm.sys 0x80CB1000 \SystemRoot\system32\DRIVERS\BthEnum.sys 0x80CBE000 \SystemRoot\system32\DRIVERS\bthpan.sys 0x80CD9000 \SystemRoot\system32\DRIVERS\bthmodem.sys 0x80CEB000 \SystemRoot\system32\drivers\modem.sys 0x80CF8000 \SystemRoot\system32\DRIVERS\hidbth.sys 0x80D1F000 \SystemRoot\system32\drivers\luafv.sys 0x80D3A000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0x80D4F000 \SystemRoot\system32\drivers\WudfPf.sys 0x80D69000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x80D79000 \SystemRoot\system32\DRIVERS\nwifi.sys 0x80DBF000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x80DCF000 \SystemRoot\system32\DRIVERS\rspndr.sys 0xA5E3A000 \SystemRoot\system32\drivers\HTTP.sys 0xA5EBF000 \SystemRoot\system32\DRIVERS\bowser.sys 0xA5ED8000 \SystemRoot\System32\drivers\mpsdrv.sys 0xA5EEA000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xA5F0D000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0xA5F48000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0xA5F63000 \SystemRoot\system32\drivers\peauth.sys 0xA5E00000 \SystemRoot\System32\Drivers\secdrv.SYS 0xA5E0A000 \SystemRoot\System32\DRIVERS\srvnet.sys 0xA5E2B000 \SystemRoot\System32\drivers\tcpipreg.sys 0xA883A000 \SystemRoot\System32\DRIVERS\srv2.sys 0xA8889000 \SystemRoot\System32\DRIVERS\srv.sys 0xA88DA000 \SystemRoot\System32\drivers\ipnat.sys 0xA8900000 \SystemRoot\System32\drivers\rdpdr.sys 0xA8925000 \SystemRoot\system32\drivers\tdtcp.sys 0xA892F000 \SystemRoot\System32\DRIVERS\tssecsrv.sys 0xA893C000 \SystemRoot\System32\Drivers\RDPWD.SYS 0xA89D7000 \SystemRoot\system32\DRIVERS\asyncmac.sys 0xA89E0000 \??\C:\Users\XXX\AppData\Local\Temp\kxldypod.sys 0x774C0000 \Windows\System32\ntdll.dll 0x48540000 \Windows\System32\smss.exe 0x77700000 \Windows\System32\apisetschema.dll 0x00780000 \Windows\System32\autochk.exe Processes (total 61): 0 System Idle Process 4 System 264 C:\Windows\System32\smss.exe 360 csrss.exe 420 C:\Windows\System32\wininit.exe 436 csrss.exe 480 C:\Windows\System32\services.exe 508 C:\Windows\System32\lsass.exe 516 C:\Windows\System32\lsm.exe 548 C:\Windows\System32\winlogon.exe 660 C:\Windows\System32\svchost.exe 756 C:\Windows\System32\svchost.exe 880 C:\Windows\System32\svchost.exe 916 C:\Windows\System32\svchost.exe 944 C:\Windows\System32\svchost.exe 1112 C:\Windows\System32\svchost.exe 1324 C:\Windows\System32\svchost.exe 1444 C:\Windows\System32\spoolsv.exe 1476 C:\Program Files\Avira\AntiVir Desktop\sched.exe 1496 C:\Windows\System32\svchost.exe 1636 C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1672 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe 1712 C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe 1740 C:\Program Files\Bonjour\mDNSResponder.exe 1772 C:\Windows\System32\svchost.exe 1808 C:\Windows\System32\svchost.exe 1844 C:\Windows\System32\svchost.exe 1904 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe 1912 C:\Windows\System32\conhost.exe 1956 C:\Windows\System32\svchost.exe 1996 C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe 2028 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 320 C:\Windows\System32\svchost.exe 412 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE 1000 C:\Program Files\DynDNS Updater\DynUpSvc.exe 504 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE 2440 C:\Windows\System32\alg.exe 2488 C:\Windows\System32\svchost.exe 2520 C:\Windows\System32\svchost.exe 2564 C:\Windows\System32\svchost.exe 3120 C:\Windows\System32\taskhost.exe 3196 C:\Windows\System32\dwm.exe 3208 C:\Windows\explorer.exe 3472 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 3488 C:\Windows\System32\hkcmd.exe 3516 C:\Windows\System32\igfxpers.exe 3524 C:\Program Files\iTunes\iTunesHelper.exe 3632 C:\Windows\System32\igfxsrvc.exe 3936 C:\Program Files\iPod\bin\iPodService.exe 4020 C:\Windows\System32\SearchIndexer.exe 2416 C:\Windows\System32\svchost.exe 604 C:\Program Files\Windows Media Player\wmpnetwk.exe 3132 C:\Windows\System32\svchost.exe 2940 C:\Program Files\Mozilla Firefox\firefox.exe 2576 C:\Windows\explorer.exe 1128 C:\Windows\System32\audiodg.exe 3796 C:\Windows\System32\SearchProtocolHost.exe 3380 C:\Windows\System32\SearchFilterHost.exe 2572 C:\Users\XXX\Desktop\MBRCheck.exe 1152 C:\Windows\System32\conhost.exe 1156 C:\Windows\System32\dllhost.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000007`d62a7600 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`06601800 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000032`78800000 (NTFS) \\.\G: --> \\.\PhysicalDrive1 at offset 0x00000000`00000000 (NTFS) PhysicalDrive0 Model Number: WDCWD2500BEVT-00A23T0, Rev: 01.01A01 PhysicalDrive1 Model Number: WDC WD3200BEVT-22ZCT0, Rev: Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 Windows 7 MBR code detected SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79 298 GB \\.\PhysicalDrive1 RE: Unknown MBR code SHA1: B9691FB06093B258561561BCEA24DD1A16E367BA Found non-standard or infected MBR. Enter 'Y' and hit ENTER for more options, or 'N' to exit: Done! |
16.11.2010, 23:59 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Ist Laufwerk G: eine reine Datenplatte bei dir?
__________________ Logfiles bitte immer in CODE-Tags posten |
17.11.2010, 07:56 | #12 |
| Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Hallo, Ja, Laufwerk G: ist meine Externe USB Festplatte 320GB(Daten Sicherung/ zum Datentransport), die bei den ganzen Tests auch immer angeschlossen war. |
17.11.2010, 13:01 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Dann gehts i.O. - mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
19.11.2010, 08:46 | #14 |
| Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Hallo anbei die Logs Superanti: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 11/19/2010 at 01:43 AM Application Version : 4.45.1000 Core Rules Database Version : 5882 Trace Rules Database Version: 3694 Scan type : Complete Scan Total Scan Time : 03:07:41 Memory items scanned : 393 Memory threats detected : 0 Registry items scanned : 10542 Registry threats detected : 0 File items scanned : 193093 File threats detected : 44 Adware.Tracking Cookie .doubleclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .xiti.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .im.banner.t-online.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .tradedoubler.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .tradedoubler.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .tradedoubler.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .tradedoubler.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] ad.zanox.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .zanox.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .zanox-affiliate.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .traffictrack.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .traffictrack.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .adfarm1.adition.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] ad4.adfarm1.adition.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] tracking.mlsat02.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] adfarm1.adition.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .traffictrack.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] ad2.adfarm1.adition.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .tracking.quisma.com [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .tracking.hannoversche.de [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] .specificclick.net [ C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\hlvni18e.default\cookies.sqlite ] D:\Dokumente und Einstellungen\xxx\Cookies\xxx@2o7[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@ad.yieldmanager[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@ad.zanox[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@ads.treiber[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@adsrv.admediate[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@adx.chip[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@atdmt[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@bs.serving-sys[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@doubleclick[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@invitemedia[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@microsoftsto.112.2o7[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@microsoftwlmessengermkt.112.2o7[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@rotator.adjuggler[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@serving-sys[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@statcounter[1].txt D:\Dokumente und Einstellungen\xxx\Cookies\xxx@www.active-tracking[1].txt Trojan.Agent/Gen-Koobface[Bonkers] G:\ARBEIT\DIPLOMARBEITEN\TC_DIPLOMAND\LINDSCHEID\ARBEIT\GBR\GBRS-AQCS\GBRS - AQCS\BERECHNUNGSPROGRAMME\DESOX AREA REV.2\DESOX AREA3\DESEFF\DESEFF.EXE Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5143 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 18.11.2010 21:43:13 mbam-log-2010-11-18 (21-43-13).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|) Durchsuchte Objekte: 336822 Laufzeit: 1 Stunde(n), 58 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
19.11.2010, 11:14 | #15 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? Sieht ok aus eigentlich. Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Tr/dropper.gen bin ich noch sicher/ richtig gehandelt? |
32 bit, 7-zip, action center, antivir, audiograbber, avgntflt.sys, bereinige, bereinigen, board, corp./icp, document, firefox.exe, fontcache, gefunde, gesuch, gesucht, hallo zusammen, hoffe, hänge, individuelle, install.exe, langs, location, microsoft office 2003, microsoft office word, nvstor.sys, office 2007, officejet, oldtimer, otl logfile, otl.exe, plug-in, programdata, richtig, saver, scan, scanner, searchplugins, security update, shell32.dll, software, tr/dropper.gen, troja, trojaner, virenscan, virenscanner, vlc media player, webcheck, wunder, zusammen |