|
Log-Analyse und Auswertung: Trojaner TR/Crypt.XPACK:GenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
21.11.2010, 19:54 | #1 |
| Trojaner TR/Crypt.XPACK:Gen Habe Trojaner mit Malwarebytes von Festplatte entfernt und meinen USB Stick formatiert. Wenn ich nun meinen USB Stick wieder anschließe, meldet Antivir, dass die autorun.inf geblockt wird, da es eine schädliche Datei ist. Was nun tun? Ist auf dem Stick noch ein Trojaner? Malwarebytes findet nichts mehr. OTL habe ich noch nicht laufen lassen. Gruß Buffi Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5150 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 19.11.2010 10:40:26 mbam-log-2010-11-19 (10-40-26).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 168278 Laufzeit: 19 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 15 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Worm.Palevo) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\AE\Anwendungsdaten\fhrkmk.exe (Spyware.Passwords.XGen) -> Not selected for removal. C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\wmiprvse.exe (Worm.Autorun.B) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\sysinfo.exe (Worm.Autorun.B) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\rundll32.exe (Worm.Autorun.B) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\openfiles.exe (Worm.Autorun.B) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\help.exe (Worm.Autorun.B) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc50\defrag.exe (Worm.Autorun.B) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\defrag.exe (Worm.Autorun.B) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\wmiprvse.exe (Worm.Autorun.B) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\sysinfo.exe (Worm.Autorun.B) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\rundll32.exe (Worm.Autorun.B) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\openfiles.exe (Worm.Autorun.B) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc127\help.exe (Worm.Autorun.B) -> Quarantined and deleted successfully. C:\RECYCLER\S-1-5-21-842925246-413027322-2147162963-1003\Dc167\wmiprvse.exe (Worm.Autorun.B) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\AE\Lokale Einstellungen\Temp\0.0634548157382202.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5164 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 21.11.2010 20:13:10 mbam-log-2010-11-21 (20-13-10).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 167384 Laufzeit: 14 Minute(n), 42 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Geändert von Buffi (21.11.2010 um 20:25 Uhr) |
21.11.2010, 20:49 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/Crypt.XPACK:Gen Hallo und
__________________Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ |
21.11.2010, 20:50 | #3 |
/// Helfer-Team | Trojaner TR/Crypt.XPACK:Gen Edit: Ups, Cosinus war eine Minute schneller als ich
__________________
__________________ |
22.11.2010, 08:01 | #4 |
| Trojaner TR/Crypt.XPACK:Gen Hallo! Hier nun der vollständige scan. Immer wenn ich einen USB Stick anschließe, dann blockiert Antivir die autorun.inf Datei. Ist diese Datei normal bei einem USB Stick? Früher war das nicht so. Ich hatte am 29/30.10.10 Probleme mit einem USB STick, Olympus Digital Voice Recorder. Kann es sein, dass die Datei von diesem Recorder kommt und sich auch auf andere Sticks kopiert hat? Ich vermute eher, dass der Trojaner vom Metatrader4 update kommt da ich Ihn auch auf einem anderen Rechner bekommen habe. Danke für die Bemühungen Gruß Buffi Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5165 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 22.11.2010 02:56:25 mbam-log-2010-11-22 (02-56-25).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|) Durchsuchte Objekte: 635834 Laufzeit: 5 Stunde(n), 47 Minute(n), 49 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) *********************** OTL Logfile: Code:
ATTFilter OTL logfile created on: 22.11.2010 07:49:49 - Run 3 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\AE\Eigene Dateien\Download_AE_XP\otl trojaner programm Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 49,00% Memory free 3,00 Gb Paging File | 2,00 Gb Available in Paging File | 63,00% Paging File free Paging file location(s): C:\pagefile.sys 1024 1024 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 149,04 Gb Total Space | 14,93 Gb Free Space | 10,02% Space Free | Partition Type: NTFS Drive D: | 29,29 Gb Total Space | 23,87 Gb Free Space | 81,49% Space Free | Partition Type: NTFS Drive G: | 21,05 Gb Total Space | 18,31 Gb Free Space | 87,00% Space Free | Partition Type: NTFS Drive H: | 39,06 Gb Total Space | 38,70 Gb Free Space | 99,08% Space Free | Partition Type: NTFS Drive I: | 59,64 Gb Total Space | 55,31 Gb Free Space | 92,75% Space Free | Partition Type: NTFS Drive J: | 124,75 Mb Total Space | 121,09 Mb Free Space | 97,07% Space Free | Partition Type: FAT Drive K: | 244,44 Mb Total Space | 244,44 Mb Free Space | 100,00% Space Free | Partition Type: FAT Drive L: | 967,70 Mb Total Space | 961,80 Mb Free Space | 99,39% Space Free | Partition Type: FAT Computer Name: XYZ-AE-XP | User Name: AE | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2010.11.21 20:03:14 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\AE\Eigene Dateien\Download_AE_XP\otl trojaner programm\OTL.exe PRC - [2010.11.03 09:57:27 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2010.11.03 09:57:27 | 000,267,944 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2010.11.03 09:57:27 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2010.10.26 11:57:11 | 011,980,464 | ---- | M] (Mozilla Messaging) -- C:\Programme\Mozilla Thunderbird\thunderbird.exe PRC - [2010.10.08 13:00:10 | 000,836,464 | ---- | M] (Opera Software) -- C:\Programme\Opera\opera.exe PRC - [2010.04.29 12:19:18 | 001,090,952 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbam.exe PRC - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe PRC - [2010.01.14 21:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2009.10.16 14:16:35 | 002,229,632 | ---- | M] () -- C:\Programme\GMX\LiveUpdate\m2LUTray.exe PRC - [2009.03.03 17:31:10 | 000,039,408 | ---- | M] (Google Inc.) -- C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe PRC - [2008.12.04 11:27:05 | 001,282,048 | ---- | M] (sw4you, Siegfried Weckmann) -- C:\Programme\Hardcopy\hardcopy.exe PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2007.07.19 11:17:44 | 003,539,968 | ---- | M] (1&1 Internet AG) -- C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe PRC - [2006.11.03 19:20:12 | 000,866,584 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe PRC - [2006.11.03 19:19:58 | 000,013,592 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MsMpEng.exe PRC - [2006.08.21 17:57:50 | 000,049,152 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe ========== Modules (SafeList) ========== MOD - [2010.11.21 20:03:14 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\AE\Eigene Dateien\Download_AE_XP\otl trojaner programm\OTL.exe MOD - [2010.08.23 17:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll MOD - [2008.12.04 11:19:03 | 000,057,344 | ---- | M] () -- C:\Programme\Hardcopy\HcDLL2_26_Win32.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ) SRV - [2010.11.03 09:57:27 | 000,267,944 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2010.11.03 09:57:27 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess) SRV - [2010.03.01 22:54:14 | 001,029,456 | ---- | M] (Lavasoft) [Disabled | Stopped] -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- (Lavasoft Ad-Aware Service) SRV - [2006.11.03 19:19:58 | 000,013,592 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MsMpEng.exe -- (WinDefend) SRV - [2006.08.21 17:57:50 | 000,049,152 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe -- (avmidentd) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\Bulk533.sys -- (USBCamera) Icatch(IV) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\tosrfusb.sys -- (Tosrfusb) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\tosrfsnd.sys -- (TosRfSnd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\tosrfnds.sys -- (tosrfnds) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\Tosrfhid.sys -- (Tosrfhid) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\tosrfcom.sys -- (Tosrfcom) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\tosrfbnp.sys -- (tosrfbnp) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\tosrfbd.sys -- (tosrfbd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\tosporte.sys -- (tosporte) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\lvuvc.sys -- (LVUVC) Logitech QuickCam S5500(UVC) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\lvrs.sys -- (LVRS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\lvuvcflt.sys -- (FilterService) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\fetnd5.sys -- (FETNDIS) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\Ca533av.sys -- (Ca533av) Icatch(IV) DRV - [2010.11.03 09:57:27 | 000,126,856 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2010.11.03 09:57:27 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - [2010.02.24 11:22:10 | 000,185,472 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\acedrv11.sys -- (acedrv11) DRV - [2009.11.12 13:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen) DRV - [2009.07.03 15:49:08 | 000,064,160 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Lbd.sys -- (Lbd) DRV - [2009.05.11 09:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2008.04.13 19:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum) DRV - [2008.04.13 18:45:12 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\USBAUDIO.sys -- (usbaudio) USB-Audiotreiber (WDM) DRV - [2004.07.12 09:50:00 | 002,459,968 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv) DRV - [2004.05.02 09:47:08 | 000,023,040 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\GVCplDrv.sys -- (GVCplDrv) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.de IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-842925246-413027322-2147162963-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKU\S-1-5-21-842925246-413027322-2147162963-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = go.gmx.net/homehxxp://www.google.de/ [binary data] IE - HKU\S-1-5-21-842925246-413027322-2147162963-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.gmx.net IE - HKU\S-1-5-21-842925246-413027322-2147162963-1004\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKU\S-1-5-21-842925246-413027322-2147162963-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "GMX Suche" FF - prefs.js..browser.search.order.1: "GMX Suche" FF - prefs.js..browser.search.order.2: "WEB.DE Suche" FF - prefs.js..browser.search.order.3: "1und1 Suche" FF - prefs.js..browser.search.order.4: "amazon.de" FF - prefs.js..browser.startup.homepage: "hxxp://www.gmx.net/?kid=A1000032" FF - prefs.js..extensions.enabledItems: {95f24680-9e31-11da-a746-0800200c9a66}:0.1.5.5 FF - prefs.js..extensions.enabledItems: {C473DC2B-895F-4E11-B8BF-FF28DFD62829}:1.6.2 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..keyword.URL: "hxxp://wa.ui-portal.de/gmx/gmx/s?produkte.browser.link.searchlink&s_brand=gmx&t_link=searchlink&ns_type=clickin&ns_url=hxxp://go.gmx.net/suchbox/gmxsuche/?origin=product&su=" FF - prefs.js..network.proxy.type: 2 FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.02.05 07:01:29 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.11.18 11:19:16 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.9\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.10.26 11:57:13 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.9\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.06.23 14:48:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Extensions [2010.06.23 14:48:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2010.05.17 17:23:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\extensions [2010.05.17 17:23:45 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.02.05 07:02:00 | 000,005,591 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\searchplugins\1und1-suche.xml [2010.02.05 07:02:00 | 000,001,371 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\searchplugins\amazonde.xml [2010.02.05 07:02:00 | 000,010,605 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\searchplugins\gmx-suche.xml [2010.02.05 07:02:00 | 000,005,588 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\searchplugins\webde-suche.xml [2010.02.05 07:01:03 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.02.05 07:01:03 | 000,000,000 | ---D | M] (Update Notifier) -- C:\Programme\Mozilla Firefox\extensions\{95f24680-9e31-11da-a746-0800200c9a66} [2010.02.05 07:01:03 | 000,000,000 | ---D | M] (GMX Firefox Addon) -- C:\Programme\Mozilla Firefox\extensions\{C473DC2B-895F-4E11-B8BF-FF28DFD62829} O1 HOSTS File: ([2002.12.31 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll (Google Inc.) O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O3 - HKU\S-1-5-21-842925246-413027322-2147162963-1004\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation) O4 - HKLM..\Run: [GMX Update] C:\Programme\GMX\LiveUpdate\m2LUTray.exe () O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTClk\NVRTClk.exe () O4 - HKLM..\Run: [Windows Defender] C:\Programme\Windows Defender\MSASCui.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-842925246-413027322-2147162963-1004..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe (1&1 Internet AG) O4 - HKU\S-1-5-21-842925246-413027322-2147162963-1004..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe (sw4you, Siegfried Weckmann) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-842925246-413027322-2147162963-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.) O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll (Google Inc.) O16 - DPF: {57CD0DF4-DACC-439D-9173-3F6A8EC3FFE4} hxxp://192.168.178.22/IPCamPluginMegaDPT.cab (IPCamPluginMegaDPT Control) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1252262002968 (MUWebControl Class) O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} hxxp://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab (NVIDIA Smart Scan) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {8BBDC81D-81B3-49EE-87E8-47B7A707FAE8} https://www2.gotomeeting.com/default/applets/g2mdlax.cab (GoToMeeting Web Starter) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O28 - HKLM ShellExecuteHooks: {091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} - C:\Programme\Windows Defender\MpShHook.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.01.03 23:47:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2009.01.18 17:46:20 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ] O32 - Unable to obtain root file information for disk J:\ O32 - Unable to obtain root file information for disk K:\ O32 - Unable to obtain root file information for disk L:\ O33 - MountPoints2\{05607086-16f7-11df-ac83-000b6ae85169}\Shell\AutoRun\command - "" = J:\Get_Started_for_Win.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe () O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.01.06 22:44:11 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe [2011.01.02 14:55:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\ProtectDisc [2011.01.02 14:55:01 | 000,000,000 | ---D | C] -- C:\Programme\ProtectDisc Driver Installer [2011.01.02 14:53:58 | 000,174,144 | ---- | C] (DATA BECKER) -- C:\WINDOWS\DBReg.exe [2011.01.02 14:53:57 | 000,661,568 | ---- | C] (DATA BECKER) -- C:\WINDOWS\DBREG.dll [2011.01.02 14:53:47 | 000,000,000 | ---D | C] -- C:\Programme\DATA BECKER [2011.01.01 11:29:55 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} [2010.11.21 21:14:49 | 000,000,000 | -H-D | C] -- C:\WINDOWS\System32\GroupPolicy [2010.11.20 09:41:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Eigene Dateien\Finale-Dateien [2010.11.20 09:41:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\MakeMusic [2010.11.20 09:36:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MakeMusic [2010.11.20 09:36:40 | 000,000,000 | ---D | C] -- C:\Programme\Finale 2011 Demo [2010.11.19 15:30:27 | 000,000,000 | ---D | C] -- C:\PSFONTS [2010.11.19 15:29:37 | 000,000,000 | ---D | C] -- C:\Programme\Finale Reader 2010 [2010.11.19 10:13:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Malwarebytes [2010.11.19 10:13:26 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.11.19 10:13:23 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.11.19 10:13:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2010.11.19 10:13:22 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2010.11.19 08:36:50 | 000,000,000 | ---D | C] -- C:\Programme\MetaTrader - ActivTrades [2010.11.17 23:01:31 | 000,000,000 | ---D | C] -- C:\Programme\capella-software [2010.11.17 22:59:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\capella-software [2010.11.17 22:59:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Eigene Dateien\capella [2010.11.12 19:46:58 | 004,280,320 | ---- | C] (Google Inc.) -- C:\WINDOWS\System32\GPhotos.scr [2010.10.24 18:59:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Canneverbe Limited [2010.10.24 18:59:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2010.10.24 18:59:10 | 000,000,000 | ---D | C] -- C:\Programme\CDBurnerXP [10 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.01.02 22:46:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{8D931E39-7C38-4428-B480-7677C72E6D1D}.job [2011.01.02 14:53:59 | 000,001,672 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Desktop\TWIN XP - Tuning Windows XP.lnk [2010.11.22 07:29:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2010.11.22 01:51:00 | 000,000,322 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job [2010.11.21 10:30:54 | 000,013,668 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.11.21 10:30:53 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2010.11.21 10:30:21 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.11.21 10:30:20 | 2146,226,176 | -HS- | M] () -- C:\hiberfil.sys [2010.11.20 09:39:47 | 000,000,711 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Finale 2011 Demo.lnk [2010.11.20 09:16:37 | 000,170,688 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.11.19 15:31:24 | 000,000,763 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Finale Reader 2010.lnk [2010.11.19 10:13:29 | 000,000,694 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.11.19 08:46:12 | 000,000,782 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Desktop\Verknüpfung mit terminal.exe.lnk [2010.11.19 08:37:07 | 000,001,596 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MetaTrader - ActivTrades.lnk [2010.11.18 22:55:21 | 000,000,458 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job [2010.11.18 11:19:16 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk [2010.11.17 23:01:46 | 000,001,679 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\capella 7.lnk [2010.11.17 22:59:10 | 000,002,409 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Desktop\capella reader 6.0.lnk [2010.11.16 13:20:39 | 000,002,477 | ---- | M] () -- C:\Dokumente und Einstellungen\AE\Desktop\Microsoft Word.lnk [2010.11.12 19:46:58 | 004,280,320 | ---- | M] (Google Inc.) -- C:\WINDOWS\System32\GPhotos.scr [2010.11.03 09:57:27 | 000,126,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2010.11.03 09:57:27 | 000,060,936 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2010.10.26 12:00:43 | 000,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Opera.lnk [2010.10.24 18:59:14 | 000,001,578 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk [10 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.01.02 14:55:41 | 000,004,096 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\00000646.LCS [2011.01.02 14:53:59 | 000,001,672 | ---- | C] () -- C:\Dokumente und Einstellungen\AE\Desktop\TWIN XP - Tuning Windows XP.lnk [2011.01.02 14:53:58 | 000,016,098 | ---- | C] () -- C:\WINDOWS\German2.ini [2010.11.20 09:39:47 | 000,000,711 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Finale 2011 Demo.lnk [2010.11.19 15:31:24 | 000,000,763 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Finale Reader 2010.lnk [2010.11.19 10:13:29 | 000,000,694 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.11.19 08:46:12 | 000,000,782 | ---- | C] () -- C:\Dokumente und Einstellungen\AE\Desktop\Verknüpfung mit terminal.exe.lnk [2010.11.19 08:37:07 | 000,001,596 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\MetaTrader - ActivTrades.lnk [2010.11.17 23:01:46 | 000,001,679 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\capella 7.lnk [2010.11.17 22:59:05 | 000,002,409 | ---- | C] () -- C:\Dokumente und Einstellungen\AE\Desktop\capella reader 6.0.lnk [2010.10.26 07:07:48 | 000,044,867 | ---- | C] () -- C:\smartdrv.exe [2010.10.26 07:07:02 | 000,012,823 | ---- | C] () -- C:\RAMDRIVE.SYS [2010.10.24 18:59:14 | 000,001,578 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk [2010.10.24 18:59:12 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys [2009.09.25 20:47:23 | 000,000,072 | ---- | C] () -- C:\WINDOWS\pex.INI [2009.09.25 20:45:09 | 000,000,147 | ---- | C] () -- C:\WINDOWS\Ulead32.ini [2009.04.08 14:25:44 | 000,364,544 | ---- | C] () -- C:\WINDOWS\System32\BH_DATA120VC8.dll [2009.04.08 06:17:48 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\FKStampPainter20.dll [2009.03.20 23:50:42 | 000,023,040 | R--- | C] () -- C:\WINDOWS\System32\drivers\GVCplDrv.sys [2009.02.11 22:01:25 | 000,000,311 | ---- | C] () -- C:\WINDOWS\tm.ini [2009.02.10 10:15:12 | 000,008,575 | R--- | C] () -- C:\WINDOWS\System32\D125UFW.INI [2009.02.02 20:11:40 | 000,208,896 | ---- | C] () -- C:\WINDOWS\System32\LXPrnUtil10.dll [2009.02.02 20:10:14 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\dnt27VC8.dll [2009.02.02 20:08:36 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\dntvmc27VC8.dll [2009.02.02 20:08:22 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\dntvm27VC8.dll [2009.01.06 09:32:30 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2009.01.04 08:43:50 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI [2009.01.04 08:43:50 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI [2009.01.04 03:05:44 | 000,000,082 | ---- | C] () -- C:\WINDOWS\Wininit.ini [2009.01.04 03:05:41 | 000,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll [2009.01.04 02:59:21 | 000,003,255 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2009.01.04 02:59:20 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2009.01.04 02:53:15 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.01.03 23:28:25 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2003.02.18 17:26:28 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll [1999.01.22 20:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL ========== LOP Check ========== [2009.12.25 15:04:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Canon [2009.09.22 22:31:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Leadertech [2009.05.12 07:59:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Lexware [2009.12.30 20:14:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Opera [2010.10.17 10:49:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Thunderbird [2009.12.30 19:41:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TuneUp Software [2009.09.25 20:46:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ulead Systems [2009.01.04 02:17:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird [2010.10.24 18:59:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Canneverbe Limited [2010.11.17 22:43:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Canon [2010.11.17 22:59:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\capella-software [2010.04.13 04:46:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\elsterformular [2010.03.19 03:09:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Lexware [2010.11.20 09:41:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\MakeMusic [2009.01.04 20:43:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Opera [2010.10.18 07:26:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\ProtectDisc [2010.06.23 14:48:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Thunderbird [2010.03.06 20:20:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\TOSHIBA [2009.07.07 20:07:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\TuneUp Software [2009.09.25 20:54:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\AE\Anwendungsdaten\Ulead Systems [2009.05.12 08:08:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve [2010.10.24 18:59:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2010.04.13 04:45:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular [2010.02.05 07:00:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1 [2010.03.31 21:16:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware [2010.11.20 09:36:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MakeMusic [2009.09.06 20:20:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters [2010.10.18 07:24:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TOSHIBA [2011.01.01 11:30:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software [2009.09.25 20:44:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems [2009.12.30 19:40:01 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357} [2010.02.05 07:01:21 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{B00EAAA7-F13E-4331-8129-65E59662AFA6} [2010.02.05 07:01:12 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{B8D53BEA-6377-4E04-8901-F6960C01E454} [2011.01.01 11:29:55 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} [2009.10.08 21:49:18 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864} [2010.03.06 20:10:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\TOSHIBA [2010.01.04 07:36:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TuneUp Software [2010.11.18 22:55:21 | 000,000,458 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job [2010.11.22 01:51:00 | 000,000,322 | -H-- | M] () -- C:\WINDOWS\Tasks\MP Scheduled Scan.job [2011.01.02 22:46:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{8D931E39-7C38-4428-B480-7677C72E6D1D}.job ========== Purity Check ========== < End of report > **************************** OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 22.11.2010 07:49:49 - Run 3 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\AE\Eigene Dateien\Download_AE_XP\otl trojaner programm Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 49,00% Memory free 3,00 Gb Paging File | 2,00 Gb Available in Paging File | 63,00% Paging File free Paging file location(s): C:\pagefile.sys 1024 1024 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 149,04 Gb Total Space | 14,93 Gb Free Space | 10,02% Space Free | Partition Type: NTFS Drive D: | 29,29 Gb Total Space | 23,87 Gb Free Space | 81,49% Space Free | Partition Type: NTFS Drive G: | 21,05 Gb Total Space | 18,31 Gb Free Space | 87,00% Space Free | Partition Type: NTFS Drive H: | 39,06 Gb Total Space | 38,70 Gb Free Space | 99,08% Space Free | Partition Type: NTFS Drive I: | 59,64 Gb Total Space | 55,31 Gb Free Space | 92,75% Space Free | Partition Type: NTFS Drive J: | 124,75 Mb Total Space | 121,09 Mb Free Space | 97,07% Space Free | Partition Type: FAT Drive K: | 244,44 Mb Total Space | 244,44 Mb Free Space | 100,00% Space Free | Partition Type: FAT Drive L: | 967,70 Mb Total Space | 961,80 Mb Free Space | 99,39% Space Free | Partition Type: FAT Computer Name: XYZ-AE-XP | User Name: AE | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .html [@ = Opera.HTML] -- C:\Programme\Opera\Opera.exe (Opera Software) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation) http [open] -- "C:\Programme\Opera\opera.exe" (Opera Software) https [open] -- "C:\Programme\Opera\opera.exe" (Opera Software) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe" = C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe:*:Enabled:AVM FRITZ!Box Kindersicherung -- (AVM Berlin) "C:\Programme\Opera\opera.exe" = C:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium "{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator "{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 "{03EB79B7-2152-4C98-AEA0-254F881A3275}" = ElsterFormular 2004/2005 "{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009 "{0F5C38CB-DCA7-44E0-A654-26121331557A}" = GMX Update "{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer "{19B822A6-372A-43E2-9230-0AFA4EC84F8C}" = Lexware buchhalter 2009 "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform "{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 15 "{2BCC3E38-E17D-4DF0-9D64-65D1D986E970}" = capella 7 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3E5CBADD-2E51-47C1-BBE2-B802DB6DA56A}" = MetaTrader 4.00 "{59624372-3B85-47f4-9B04-4911E551DF1E}" = Lexware Info Service "{5AF27589-0FA3-4BB0-8609-8F0135B1D9F6}" = Firefox 3.6 GMX Edition "{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 "{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP "{7EE873AF-46BB-4B5D-BA6F-CFE4B0566E22}" = TuneUp Utilities Language Pack (de-DE) "{87CC8013-56D1-43E1-A0A5-AD406B4EBA95}" = Opera 10.63 "{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU "{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System "{93567BBD-4369-47B2-A621-78E008F8EA33}" = Lexware Elster "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A06275F4-324B-4E85-95E6-87B2CD729401}" = Windows Defender "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A47AFECA-7F0F-471A-82A3-68DEB673A311}" = AVM FRITZ!Box-Kindersicherung "{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper "{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.1 - Deutsch "{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008 "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}" = ElsterFormular 2006/2007 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D271DAE0-8D68-4C97-8356-A126D48A1D8C}" = Ulead Photo Explorer 8.0 SE Basic "{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware "Ad-Aware" = Ad-Aware "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "capella2002-v4.0" = capella 2002, Version 4.0 "C-Media Audio Driver" = C-Media WDM Audio Driver "ElsterFormular 11.2.0.4074" = ElsterFormular "EVEREST Home Edition_is1" = EVEREST Home Edition v2.20 "Finale 2011 Demo" = Finale 2011 Demo "Finale Reader 2010" = Finale Reader 2010 "Firefox 3.6 GMX Edition" = Firefox 3.6 GMX Edition "FreeCommander_is1" = FreeCommander 2008.06c "GMX SMS-Manager" = GMX SMS-Manager "GMX Update" = GMX Update "Hardcopy(C__Programme_Hardcopy)" = Hardcopy (C:\Programme\Hardcopy) "ie8" = Windows Internet Explorer 8 "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.6)" = Mozilla Firefox (3.6) "Mozilla Thunderbird (3.0.9)" = Mozilla Thunderbird (3.0.9) "MSNINST" = MSN "NVIDIA Drivers" = NVIDIA Drivers "Picasa 3" = Picasa 3 "ProtectDisc Driver 11" = ProtectDisc Driver, Version 11 "TWIN XP - Tuning Windows XP_is1" = DATA BECKER TWIN XP - Tuning Windows XP "VLC media player" = VLC media player 1.1.4 "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "Windows XP Service Pack" = Windows XP Service Pack 3 "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-842925246-413027322-2147162963-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 17.10.2010 11:58:40 | Computer Name = XYZ-AE-XP | Source = MsiInstaller | ID = 11706 Description = Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation kann nicht fortgesetzt werden. Error - 17.10.2010 11:59:30 | Computer Name = XYZ-AE-XP | Source = MsiInstaller | ID = 11706 Description = Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation kann nicht fortgesetzt werden. Error - 17.10.2010 12:03:02 | Computer Name = XYZ-AE-XP | Source = MsiInstaller | ID = 11706 Description = Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation kann nicht fortgesetzt werden. Error - 17.10.2010 12:03:15 | Computer Name = XYZ-AE-XP | Source = MsiInstaller | ID = 11706 Description = Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation kann nicht fortgesetzt werden. Error - 17.10.2010 15:05:56 | Computer Name = XYZ-AE-XP | Source = MsiInstaller | ID = 11706 Description = Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation kann nicht fortgesetzt werden. Error - 17.10.2010 19:27:16 | Computer Name = XYZ-AE-XP | Source = VSS | ID = 5013 Description = Volumeschattenkopie-Dienstfehler: Von Schattenkopieautor "RemovableStorageManager" aufgerufene Routine "OpenNtmsSessionW" ist mit Status "0x800708ca" (konvertiert in 0x800423f4) fehlgeschlagen. Error - 18.10.2010 02:15:19 | Computer Name = XYZ-AE-XP | Source = Userenv | ID = 1090 Description = Der Sitzungsstatus des Richtlinienergebnissatzes konnte nicht protokolliert werden. Ein Verbindungsversuch mit WMI ist fehlgeschlagen. Für diese Anwendung der Richtlinie wird keine Richtlinienergebnissatz-Protokollierung durchgeführt. Error - 05.11.2010 03:12:34 | Computer Name = XYZ-AE-XP | Source = Userenv | ID = 1508 Description = Die Registrierung konnte nicht geladen werden. Dies wird oft durch zuwenig Arbeitsspeicher oder nicht ausreichende Sicherheitsberechtigungen verursacht. Details - Nicht genügend Systemressourcen, um den angeforderten Dienst auszuführen. for C:\Dokumente und Einstellungen\AE\ntuser.dat Error - 05.11.2010 03:12:43 | Computer Name = XYZ-AE-XP | Source = Userenv | ID = 1505 Description = Das Profil konnte nicht erfolgreich geladen werden, aber Sie wurden mit dem standardmäßigen Profil für das System angemeldet. Details - Nicht genügend Systemressourcen, um den angeforderten Dienst auszuführen. Error - 07.11.2010 18:53:25 | Computer Name = XYZ-AE-XP | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung capella.exe, Version 3.1.0.0, fehlgeschlagenes Modul capella.exe, Version 3.1.0.0, Fehleradresse 0x00028662. [ System Events ] Error - 30.03.2010 09:07:57 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {8BC3F05E-D86B-11D0-A075-00C04FB68820} Error - 30.03.2010 09:07:57 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {8BC3F05E-D86B-11D0-A075-00C04FB68820} Error - 30.03.2010 09:18:00 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {8BC3F05E-D86B-11D0-A075-00C04FB68820} Error - 11.01.2011 15:20:33 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {8BC3F05E-D86B-11D0-A075-00C04FB68820} Error - 11.01.2011 15:20:33 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {8BC3F05E-D86B-11D0-A075-00C04FB68820} Error - 11.01.2011 15:20:35 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {8BC3F05E-D86B-11D0-A075-00C04FB68820} Error - 11.01.2011 15:20:35 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {8BC3F05E-D86B-11D0-A075-00C04FB68820} Error - 11.01.2011 15:21:38 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {8BC3F05E-D86B-11D0-A075-00C04FB68820} Error - 11.01.2011 15:21:56 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {8BC3F05E-D86B-11D0-A075-00C04FB68820} Error - 11.04.2010 14:55:53 | Computer Name = XYZ-AE-XP | Source = DCOM | ID = 10005 Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "winmgmt" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {8BC3F05E-D86B-11D0-A075-00C04FB68820} < End of report > |
22.11.2010, 10:12 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/Crypt.XPACK:Gen Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.01.03 23:47:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2009.01.18 17:46:20 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ] O32 - Unable to obtain root file information for disk J:\ O32 - Unable to obtain root file information for disk K:\ O32 - Unable to obtain root file information for disk L:\ O33 - MountPoints2\{05607086-16f7-11df-ac83-000b6ae85169}\Shell\AutoRun\command - "" = J:\Get_Started_for_Win.exe -- File not found [2010.10.26 07:07:48 | 000,044,867 | ---- | C] () -- C:\smartdrv.exe [2010.10.26 07:07:02 | 000,012,823 | ---- | C] () -- C:\RAMDRIVE.SYS :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
22.11.2010, 10:56 | #6 |
| Trojaner TR/Crypt.XPACK:Gen Hab das so durchgeführt. Alles ins Fenster kopiert und mit Fix Start. Nach einigen Minuten fuhr der Rechner runter. Nach dem Neustart war die OTL.exe Datei nicht mehr im Verzeichnis. Wenn ich nun nachereinander die USB Sticks anschließe, meldet sich jedesmal wieder der Antivirscanner mit der Fehlermeldung: Autorun blockiert. Was nun? |
22.11.2010, 11:52 | #8 |
| Trojaner TR/Crypt.XPACK:Gen OTL hatte ich direkt vom Downloadverzeichnis gestartet. Nun hat OTL ein neues Verzeichnis angelegt. Darin enthalten ist z.B. die Autoexec.bat. Ramdrive.sys. smartdrv.exe Was soll das? Eine log Datei wurde auch noch angelegt. All processes killed ========== OTL ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. D:\AUTOEXEC.BAT moved successfully. File not found. File not found. File not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{05607086-16f7-11df-ac83-000b6ae85169}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05607086-16f7-11df-ac83-000b6ae85169}\ not found. File J:\Get_Started_for_Win.exe not found. C:\smartdrv.exe moved successfully. C:\RAMDRIVE.SYS moved successfully. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Admin ->Temp folder emptied: 109030208 bytes ->Temporary Internet Files folder emptied: 81644570 bytes ->Java cache emptied: 28436098 bytes ->Google Chrome cache emptied: 76368562 bytes ->Opera cache emptied: 9168327 bytes ->Flash cache emptied: 2974 bytes User: Administrator ->Temp folder emptied: 27663599 bytes ->Temporary Internet Files folder emptied: 40257659 bytes User: AE ->Temp folder emptied: 515812278 bytes ->Temporary Internet Files folder emptied: 95432731 bytes ->Java cache emptied: 29081430 bytes ->FireFox cache emptied: 32749881 bytes ->Google Chrome cache emptied: 19564625 bytes ->Opera cache emptied: 9376257 bytes ->Flash cache emptied: 7835 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 14684990 bytes User: NetworkService ->Temp folder emptied: 470436 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 4301564 bytes %systemroot%\System32 .tmp files removed: 5457287 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 631565 bytes RecycleBin emptied: 220236 bytes Total Files Cleaned = 1.049,00 mb OTL by OldTimer - Version 3.2.17.3 log created on 11222010_101958 |
22.11.2010, 11:56 | #9 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/Crypt.XPACK:GenZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
22.11.2010, 11:58 | #10 |
| Trojaner TR/Crypt.XPACK:Gen OTL.exe Programm ist nicht mehr vorhanden im Ordner. Was ist den "fixen" bei diesem Programm? Was ist mit autorun.inf Datei, die der Antivir immer wieder beanstandet, sobald ich einen Stick anschließe? Hast was gefunden in den ganzen logs bisher? Geändert von Buffi (22.11.2010 um 12:03 Uhr) |
22.11.2010, 12:11 | #11 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/Crypt.XPACK:Gen Was gefixt wird hast du schon gesehen, das ist der Text den du bei OTL reinkopieren solltest. Zitat:
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
22.11.2010, 14:54 | #12 |
| Trojaner TR/Crypt.XPACK:Gen Bis jetzt sieht es so aus, als ob die USB Sticks ohne Blockierung funktionieren. Wie geht es weiter? Danke bis hierher. Combofix Logfile: Code:
ATTFilter ComboFix 10-11-21.02 - AE 22.11.2010 14:12:41.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1581 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\AE\Desktop\CoFi.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\pi.exe . ((((((((((((((((((((((( Dateien erstellt von 2010-10-22 bis 2010-11-22 )))))))))))))))))))))))))))))) . 2011-01-06 21:44 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe 2011-01-02 13:55 . 2010-10-18 06:26 -------- d-----w- c:\dokumente und einstellungen\AE\Anwendungsdaten\ProtectDisc 2011-01-02 13:55 . 2011-01-02 13:55 -------- d-----w- c:\programme\ProtectDisc Driver Installer 2011-01-02 13:53 . 2007-04-19 10:19 174144 ----a-w- c:\windows\DBReg.exe 2011-01-02 13:53 . 2007-07-25 09:30 661568 ----a-w- c:\windows\DBREG.dll 2011-01-02 13:53 . 2011-01-02 13:53 -------- d-----w- c:\programme\DATA BECKER 2011-01-01 10:29 . 2011-01-01 10:29 -------- d-sh--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC} 2010-11-22 09:19 . 2010-11-22 09:19 -------- d-----w- C:\_OTL 2010-11-21 20:14 . 2010-11-21 20:14 -------- d--h--w- c:\windows\system32\GroupPolicy 2010-11-20 08:41 . 2010-11-20 08:41 -------- d-----w- c:\dokumente und einstellungen\AE\Anwendungsdaten\MakeMusic 2010-11-20 08:36 . 2010-11-20 08:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\MakeMusic 2010-11-20 08:36 . 2010-11-20 08:40 -------- d-----w- c:\programme\Finale 2011 Demo 2010-11-19 14:30 . 2010-11-19 14:30 -------- d-----w- C:\PSFONTS 2010-11-19 14:29 . 2010-11-20 08:31 -------- d-----w- c:\programme\Finale Reader 2010 2010-11-19 09:42 . 2010-11-10 04:33 6273872 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Definition Updates\{76949A1B-7ACB-4226-93A8-F2EC8B59A8B5}\mpengine.dll 2010-11-19 09:13 . 2010-11-19 09:13 -------- d-----w- c:\dokumente und einstellungen\AE\Anwendungsdaten\Malwarebytes 2010-11-19 09:13 . 2010-04-29 11:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-11-19 09:13 . 2010-11-19 09:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-11-19 09:13 . 2010-04-29 11:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-11-19 09:13 . 2010-11-19 09:36 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-11-19 07:36 . 2010-11-19 07:46 -------- d-----w- c:\programme\MetaTrader - ActivTrades 2010-11-17 22:01 . 2010-11-17 22:01 -------- d-----w- c:\programme\capella-software 2010-11-17 21:59 . 2010-11-17 21:59 -------- d-----w- c:\dokumente und einstellungen\AE\Anwendungsdaten\capella-software 2010-11-12 18:46 . 2010-11-12 18:46 4280320 ----a-w- c:\windows\system32\GPhotos.scr 2010-11-06 10:37 . 2010-11-06 10:37 103864 ----a-w- c:\programme\Mozilla Firefox\plugins\nppdf32.dll 2010-11-06 10:37 . 2010-11-06 10:37 103864 ----a-w- c:\programme\Internet Explorer\PLUGINS\nppdf32.dll 2010-10-24 17:59 . 2010-10-24 17:59 -------- d-----w- c:\dokumente und einstellungen\AE\Anwendungsdaten\Canneverbe Limited 2010-10-24 17:59 . 2010-10-24 17:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited 2010-10-24 17:59 . 2009-11-12 12:48 7168 ----a-w- c:\windows\system32\drivers\StarOpen.sys 2010-10-24 17:59 . 2010-10-24 17:59 -------- d-----w- c:\programme\CDBurnerXP . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-03 08:57 . 2009-07-20 11:22 126856 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-11-03 08:57 . 2009-03-20 22:01 60936 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-10-19 09:41 . 2009-12-19 15:54 222080 ------w- c:\windows\system32\MpSigStub.exe 2010-10-07 23:21 . 2009-12-19 15:54 6146896 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll 2010-09-18 10:22 . 2004-08-04 10:00 974848 ----a-w- c:\windows\system32\mfc42u.dll 2010-09-18 06:52 . 2004-08-04 10:00 974848 ----a-w- c:\windows\system32\mfc42.dll 2010-09-18 06:52 . 2004-08-04 10:00 954368 ----a-w- c:\windows\system32\mfc40.dll 2010-09-18 06:52 . 2004-08-04 10:00 953856 ----a-w- c:\windows\system32\mfc40u.dll 2010-09-10 05:47 . 2006-03-04 03:34 916480 ----a-w- c:\windows\system32\wininet.dll 2010-09-10 05:47 . 2004-08-04 10:00 43520 ----a-w- c:\windows\system32\licmgr10.dll 2010-09-10 05:47 . 2004-08-04 10:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl 2010-09-01 11:50 . 2004-08-04 10:00 285824 ----a-w- c:\windows\system32\atmfd.dll 2010-09-01 07:54 . 2004-08-04 10:00 1852928 ----a-w- c:\windows\system32\win32k.sys 2010-08-27 08:01 . 2004-08-04 10:00 119808 ----a-w- c:\windows\system32\t2embed.dll 2010-08-27 05:57 . 2004-08-04 10:00 99840 ----a-w- c:\windows\system32\srvsvc.dll 2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll 2010-08-26 13:39 . 2004-08-04 10:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GMX SMS-Manager"="c:\programme\GMX\GMX SMS-Manager\SMSMngr.exe" [2007-07-19 3539968] "swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-03-03 39408] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2004-07-12 4112384] "NVRTCLK"="c:\windows\system32\NVRTCLK\NVRTClk.exe" [2003-12-30 24576] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768] "GMX Update"="c:\programme\GMX\LiveUpdate\m2LUTray.exe" [2009-10-16 2229632] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760] "Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Hardcopy.LNK - c:\programme\Hardcopy\hardcopy.exe [2009-1-6 1282048] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-09-20 21:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-09-23 02:47 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService] 2008-11-03 11:21 339240 ----a-w- c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] 2004-07-12 08:50 843776 ----a-r- c:\windows\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-07-25 03:23 149280 ----a-w- c:\programme\Java\jre6\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] 2009-03-03 16:31 39408 ----a-w- c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector] 2003-11-19 11:03 45056 ------w- c:\programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "TuneUp.ProgramStatisticsSvc"=2 (0x2) "TuneUp.Defrag"=3 (0x3) "NVSvc"=2 (0x2) "Lavasoft Ad-Aware Service"=2 (0x2) "JavaQuickStarterService"=2 (0x2) "idsvc"=3 (0x3) "gusvc"=3 (0x3) "gupdate1ca4858decf6a5c"=2 (0x2) "WZCSVC"=2 (0x2) "wscsvc"=2 (0x2) "winmgmt"=2 (0x2) "UxTuneUp"=2 (0x2) "TrkWks"=2 (0x2) "Themes"=2 (0x2) "TapiSrv"=3 (0x3) "stisvc"=2 (0x2) "lanmanserver"=2 (0x2) "Dnscache"=2 (0x2) "Dhcp"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\FRITZ!Box-Kindersicherung\\avmident.exe"= "c:\\Programme\\Opera\\opera.exe"= R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [08.10.2009 21:54 64160] R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 11:22 185472] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [20.07.2009 12:22 135336] R2 avmidentd;AVM FRITZ!Box-Kindersicherung;c:\programme\FRITZ!Box-Kindersicherung\avmident.exe [21.08.2006 17:57 49152] R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592] S2 Ca533av;Icatch(IV) Video Camera Device;c:\windows\system32\Drivers\Ca533av.sys --> c:\windows\system32\Drivers\Ca533av.sys [?] S2 gupdate1ca4858decf6a5c;Google Update Service (gupdate1ca4858decf6a5c);c:\programme\Google\Update\GoogleUpdate.exe [08.10.2009 21:49 133104] S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 15:49 1029456] . Inhalt des "geplante Tasks" Ordners 2010-11-18 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 21:54] 2010-11-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-10-08 20:49] 2010-11-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-10-08 20:49] 2010-11-22 c:\windows\Tasks\MP Scheduled Scan.job - c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 18:20] 2011-01-02 c:\windows\Tasks\User_Feed_Synchronization-{8D931E39-7C38-4428-B480-7677C72E6D1D}.job - c:\windows\system32\msfeedssync.exe [2009-03-08 02:31] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = GMX - E-Mail, FreeMail, De-Mail, Themen- & Shopping-Portal - kostenlos mSearch Bar = hxxp://www.google.de/ie uInternet Connection Wizard,ShellNext = hxxp://tk04.info1.ulteem.com/r/?id=h11b6ca3a,862f6eb,862f6ef&p1=www.partner.de&p2=A620E535378B3653755707B2545EB47B60FEF156DFAD49A1CE13A62E0D937C60A8595E450555EC8B0508F671B99F2B9F24B620E5956E5B156CFAF91E218FBA8F&p3=63D52968CA083B4E1106C08A5224320A&p4=5003003&p5=63427937 uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://go.gmx.net/suchbox/gmxsuche?su=%s IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html TCP: {6649DB17-9C5E-4E24-8B05-7B21E5E66C6C} = 192.168.178.1 DPF: {57CD0DF4-DACC-439D-9173-3F6A8EC3FFE4} - hxxp://192.168.178.22/IPCamPluginMegaDPT.cab FF - ProfilePath - c:\dokumente und einstellungen\AE\Anwendungsdaten\Mozilla\Firefox\Profiles\vua8cmih.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.gmx.net/?kid=A1000032 FF - prefs.js: keyword.URL - hxxp://wa.ui-portal.de/gmx/gmx/s?produkte.browser.link.searchlink&s_brand=gmx&t_link=searchlink&ns_type=clickin&ns_url=hxxp://go.gmx.net/suchbox/gmxsuche/?origin=product&su= FF - prefs.js: network.proxy.type - 2 FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: nglayout.initialpaint.delay - 600 FF - user.js: content.notify.interval - 600000 FF - user.js: content.max.tokenizing.time - 1800000 FF - user.js: content.switch.threshold - 600000 c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("general.useragent.extra.cck", "(GMX)"); . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-Cmaudio - cmicnfg.cpl ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2010-11-22 14:18 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2010-11-22 14:20:11 ComboFix-quarantined-files.txt 2010-11-22 13:20 Vor Suchlauf: 14 Verzeichnis(se), 16.981.757.952 Bytes frei Nach Suchlauf: 16 Verzeichnis(se), 17.072.746.496 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptOut - - End Of File - - A1A2807C732A7A33D58E7912004E005D |
22.11.2010, 17:42 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner TR/Crypt.XPACK:Gen Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
24.11.2010, 21:23 | #14 |
| Trojaner TR/Crypt.XPACK:Gen Hallo Cosinus! Gmer ist jetzt ca. 36 Stunden gelaufen. Wolte die Log Datei kopieren und hier einfügen. Leider konnte ich weder den IE noch opera öffnen. Habe dann die log auf den Desktop abgespeichert. Im Anschluss konnte ich den Rechner nur noch warm starten. Nach dem Warmstart finde ich die Datei nicht mehr. Wo wird sie wohl sein? Bei den logs waren einige rote Einträge. Ein paar Einträge waren im Verzeichnis von Google . Soll ich den Test nochmals wiederholen oder ist er evtl. nicht so wichtig? |
Themen zu Trojaner TR/Crypt.XPACK:Gen |
antivir, autorun.inf, datei, entfern, entfernt, festplatte, geblockt, gen, laufe, laufen, malwarebytes, melde, meldet, nichts, platte, schließe, schädliche, stick, tr/crypt.xpack, troja, trojaner, trojaner?, usb, usb stick |