Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.11.2010, 13:00   #1
sylvia1234
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



Hallo zusammen,

und wieder muss ich mich an euch wenden, weil ich ein "kleines" (bzw. eher riesen großes) Problem mit dem Rechner auf der Arbeit habe! Bisher habt ihr mir hier super geholfen, von daher wende ich mich wieder an euch!

Es hat heute damit angefangen, dass ich nicht mehr ins Internet kam, weil Firefox angeblich die ganze Zeit abstürzt. Internet Explorer funktioniert bzw. geht auf, allerdings lässt sich keine Seite öffnen.

Nachdem ich versucht habe, Mozilla neu zu installieren, ist das Programm weiterhin abgestürzt! Es kam oft die Fehlermeldung, dass die Datei btyvic.exe nicht ausgeführt werden konnte und ob ich einen Problembericht senden oder nicht senden möchte. Diese Datei finde ich unter C.//windows, wobei sich diese natürlich nicht löschen lässt.

Nach kurzer Zeit fing nun das Virenprogramm an, andauernd Trojaner zu finden. Es wurden mehrere schädliche Dateien gefudnen u.a. unter C://windows/system32/ctujce5y80.dll und jetzt auch noch mehr .dll-Dateien! All diese Dateien wurden letzen Freitag (19.11.) erstellt, sodass ich nun weiss, dass ich mir diesen Plagegeist wohl Freitag eingefangen habe AVIRA springt wie gesagt die ganze Zeit an und piept andauernd. Ich kann nicht löschen, nicht den Zugriff verweigern bzw. nicht in Quarantäne verschieben, weil die Fehlermeldungen andauernd wieder anspringen!

Nun habe ich das Problem, dass der PC mittlerweile zwar angeht, aber sobald ich irgendwelche Programme starten möchte, stürzen die sofort wieder ab! Deswegen weiss ich nicht wie ich weiter vorgehen kann. Ich habe das Glück, dass ich vom Arbeitsplatz einer Kollegin posten kann.

Ich würde mich freuen, wenn ich kurzfristig einige Tipps oder Anleitungen von euch ehalte, was ihr benötigt bzw. was ich machen soll! Ich kriege nämlich so gut wie nix gestartet!

Ich bedanke mich schon mal vorab!

Liebe Grüße, Sylvia

Alt 22.11.2010, 13:03   #2
markusg
/// Malware-holic
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



1. unter avira ereignisse, fundmeldungen posten.
2.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.
__________________

__________________

Alt 22.11.2010, 14:01   #3
sylvia1234
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



DAnke für die schnelle Antwort. Die Scans haben etwas gedauert.

1.) Musste ich bei 99,5 % abbrechen, weil der nix mehr getan hat Ich hoffe das reicht soweit.


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 22. November 2010 12:15

Es wird nach 3074710 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HP11977682828

Versionsinformationen:
BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 22.11.2010 11:02:56
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 11:02:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 11:02:52
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 11:02:52
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 11:02:52
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 11:02:53
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 11:02:53
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 11:02:53
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 11:02:54
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 11:02:54
VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 11:02:54
VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 11:02:54
VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 11:02:54
VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 11:02:54
VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 11:02:54
VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 11:02:54
VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 11:02:54
VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 11:02:54
VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 11:02:54
VBASE018.VDF : 7.10.14.15 142848 Bytes 17.11.2010 11:02:54
VBASE019.VDF : 7.10.14.41 134144 Bytes 19.11.2010 11:02:54
VBASE020.VDF : 7.10.14.42 2048 Bytes 19.11.2010 11:02:54
VBASE021.VDF : 7.10.14.43 2048 Bytes 19.11.2010 11:02:54
VBASE022.VDF : 7.10.14.44 2048 Bytes 19.11.2010 11:02:54
VBASE023.VDF : 7.10.14.45 2048 Bytes 19.11.2010 11:02:54
VBASE024.VDF : 7.10.14.46 2048 Bytes 19.11.2010 11:02:54
VBASE025.VDF : 7.10.14.47 2048 Bytes 19.11.2010 11:02:54
VBASE026.VDF : 7.10.14.48 2048 Bytes 19.11.2010 11:02:54
VBASE027.VDF : 7.10.14.49 2048 Bytes 19.11.2010 11:02:54
VBASE028.VDF : 7.10.14.50 2048 Bytes 19.11.2010 11:02:54
VBASE029.VDF : 7.10.14.51 2048 Bytes 19.11.2010 11:02:54
VBASE030.VDF : 7.10.14.52 2048 Bytes 19.11.2010 11:02:54
VBASE031.VDF : 7.10.14.58 74240 Bytes 22.11.2010 11:02:54
Engineversion : 8.2.4.98
AEVDF.DLL : 8.1.2.1 106868 Bytes 22.11.2010 11:02:56
AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 22.11.2010 11:02:56
AESCN.DLL : 8.1.6.1 127347 Bytes 22.11.2010 11:02:56
AESBX.DLL : 8.1.3.1 254324 Bytes 22.11.2010 11:02:56
AERDL.DLL : 8.1.9.2 635252 Bytes 22.11.2010 11:02:56
AEPACK.DLL : 8.2.3.11 471416 Bytes 22.11.2010 11:02:56
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.11.2010 11:02:56
AEHEUR.DLL : 8.1.2.41 3043703 Bytes 22.11.2010 11:02:56
AEHELP.DLL : 8.1.14.0 246134 Bytes 22.11.2010 11:02:55
AEGEN.DLL : 8.1.3.24 401781 Bytes 22.11.2010 11:02:55
AEEMU.DLL : 8.1.2.0 393588 Bytes 22.11.2010 11:02:55
AECORE.DLL : 8.1.17.0 196982 Bytes 22.11.2010 11:02:54
AEBB.DLL : 8.1.1.0 53618 Bytes 22.11.2010 11:02:54
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 22.11.2010 11:02:56
AVREP.DLL : 8.0.0.7 159784 Bytes 22.11.2010 11:02:56
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 22.11.2010 11:02:52

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Montag, 22. November 2010 12:15

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '36916' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'guardgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'guardgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'e-BRIDGE Viewer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GLDocMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Scheduler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'shell.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsiService_2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pdfsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'eBVServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD6
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wzLyM.exe
[FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261
C:\WINDOWS\system32\xblkaudp.dll
[FUND] Ist das Trojanische Pferd TR/Ertfor.F
C:\WINDOWS\system32\x3fz2zomin.dll
[FUND] Ist das Trojanische Pferd TR/Ertfor.F
C:\WINDOWS\system32\vglf3.dll
[FUND] Ist das Trojanische Pferd TR/Ertfor.F
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\td5p1ipxj.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mdm.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\WINDOWS\smss.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\WINDOWS\drweb.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\gdi32.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sysedit.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\WINDOWS\user.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\WINDOWS\wininst.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\lsass.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hexdump.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\WINDOWS\svchost.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\WINDOWS\avp.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ll0qko4l.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\driversxxx.exe\driversxxx.exe
[FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261
C:\reasrvxxxx.exe\reasrvxxxx.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ivbmm.exe
[FUND] Ist das Trojanische Pferd TR/Rimecud.A.1531

Die Registry wurde durchsucht ( '85' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hotfix.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.svg
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ivbmm.exe
[FUND] Ist das Trojanische Pferd TR/Rimecud.A.1531
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19\2e9fe413-351a3039
[0] Archivtyp: ZIP
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.HN
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33\599cb9a1-70b833c6
[0] Archivtyp: ZIP
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\3a2bdae3-492036de
[0] Archivtyp: ZIP
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.HN
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4\5ef22dc4-3824a723
[0] Archivtyp: ZIP
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\0.5822041811403891.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.art
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\1175754.exe
[FUND] Ist das Trojanische Pferd TR/Spy.106496.365
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\3005443.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Palevo.HW
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\491854.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.bqiv
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\602.exe
[FUND] Ist das Trojanische Pferd TR/Rimecud.A.1492
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\8264714.exe
[FUND] Ist das Trojanische Pferd TR/Rimecud.A.1531
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brb.exe
[FUND] Ist das Trojanische Pferd TR/Renos.HB
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brc.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brd.exe
[FUND] Ist das Trojanische Pferd TR/Renos.HB
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Bre.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brf.exe
[FUND] Ist das Trojanische Pferd TR/Renos.HB
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brg.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brh.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Bri.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brj.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brk.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brl.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brm.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\d0j3wayh8v.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dlge.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.svg
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ewn2889x.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\gdi32.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\gy8h7mx5zr.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\h6jsdp.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hexdump.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\lkx6t.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ll0qko4l.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\lsass.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mdm.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\nrosmawcxe.tmp
[FUND] Ist das Trojanische Pferd TR/Kazy.3539
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\prt06fa.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sshnas21.dll
[FUND] Ist das Trojanische Pferd TR/Renos.HB
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sysedit.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\td5p1ipxj.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\uqeye.exe
[FUND] Ist das Trojanische Pferd TR/Agent.HY.1224
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\winamp.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wnx8l4j38clktf8.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wzLyM.exe
[FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFO0GXOY\swflash[1].cab
[0] Archivtyp: CAB (Microsoft)
--> FP_AX_CAB_INSTALLER.exe
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\driversxxx.exe\cleansweepupd.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\driversxxx.exe\driversxxx.exe
[FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261
C:\reasrvxxxx.exe\reasrvxxxx.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
C:\WINDOWS\avp.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\WINDOWS\Btyvia.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
C:\WINDOWS\Btyvib.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
C:\WINDOWS\Btyvic.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
C:\WINDOWS\drweb.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\WINDOWS\smss.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\WINDOWS\svchost.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\WINDOWS\user.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\WINDOWS\wininst.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
C:\WINDOWS\system32\ctujce5y80.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.fdbj
C:\WINDOWS\system32\eem1h.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.fdbj
C:\WINDOWS\system32\sshnas21.dll
[FUND] Ist das Trojanische Pferd TR/Renos.HB
C:\WINDOWS\system32\uu7ln.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.fdbj
C:\WINDOWS\system32\vglf3.dll
[FUND] Ist das Trojanische Pferd TR/Ertfor.F
C:\WINDOWS\system32\x3fz2zomin.dll
[FUND] Ist das Trojanische Pferd TR/Ertfor.F
C:\WINDOWS\system32\xblkaudp.dll
[FUND] Ist das Trojanische Pferd TR/Ertfor.F
C:\WINDOWS\Temp\u79317.sys
[FUND] Ist das Trojanische Pferd TR/Agent.34304.17
Beginne mit der Suche in 'D:\' <HP_RECOVERY>

Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wzLyM.exe
[FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae7991b.qua' verschoben!
C:\WINDOWS\system32\xblkaudp.dll
[FUND] Ist das Trojanische Pferd TR/Ertfor.F
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d56575b.qua' verschoben!
C:\WINDOWS\system32\x3fz2zomin.dll
[FUND] Ist das Trojanische Pferd TR/Ertfor.F
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d50572c.qua' verschoben!
C:\WINDOWS\system32\vglf3.dll
[FUND] Ist das Trojanische Pferd TR/Ertfor.F
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d565760.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\td5p1ipxj.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] TR/Dropper.Gen:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURrOuc>=sz:td5p1ipxj.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1f575d.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mdm.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURpZ>=sz:mdm.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d57575d.qua' verschoben!
C:\WINDOWS\smss.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<MKeg>=sz:smss.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5d5766.qua' verschoben!
C:\WINDOWS\drweb.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<MKasc>=sz:drweb.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d61576b.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\gdi32.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURoMc>=sz:gdi32.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d53575d.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sysedit.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURrtc>=sz:sysedit.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5d5772.qua' verschoben!
C:\WINDOWS\user.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<MKee>=sz:user.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4f576d.qua' verschoben!
C:\WINDOWS\wininst.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<MKfre>=sz:wininst.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d585763.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\lsass.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURpuc>=sz:lsass.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4b576d.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hexdump.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURotc>=sz:hexdump.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d62575f.qua' verschoben!
C:\WINDOWS\svchost.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<MKese>=sz:svchost.exe
[HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<svchost>=sz:svchost.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4d5770.qua' verschoben!
C:\WINDOWS\avp.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<MKZe>=sz:avp.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5a5770.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ll0qko4l.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] TR/Dropper.Gen:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURpeP>=sz:ll0qko4l.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1a5766.qua' verschoben!
C:\driversxxx.exe\driversxxx.exe
[FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d53576c.qua' verschoben!
C:\reasrvxxxx.exe\reasrvxxxx.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4b575f.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ivbmm.exe
[FUND] Ist das Trojanische Pferd TR/Rimecud.A.1531
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4c5770.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hotfix.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.svg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5e5769.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ivbmm.exe
[FUND] Ist das Trojanische Pferd TR/Rimecud.A.1531
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19\2e9fe413-351a3039
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d235776.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33\599cb9a1-70b833c6
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d23574a.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\3a2bdae3-492036de
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1c5772.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4\5ef22dc4-3824a723
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d505776.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\0.5822041811403891.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.art
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1f573f.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\1175754.exe
[FUND] Ist das Trojanische Pferd TR/Spy.106496.365
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d215742.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\3005443.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Palevo.HW
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1a5741.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\491854.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.bqiv
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1b574a.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\602.exe
[FUND] Ist das Trojanische Pferd TR/Rimecud.A.1492
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1c5741.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\8264714.exe
[FUND] Ist das Trojanische Pferd TR/Rimecud.A.1531
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d205743.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brb.exe
[FUND] Ist das Trojanische Pferd TR/Renos.HB
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4c5783.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brc.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4d5784.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brd.exe
[FUND] Ist das Trojanische Pferd TR/Renos.HB
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4e5784.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Bre.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4f5784.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brf.exe
[FUND] Ist das Trojanische Pferd TR/Renos.HB
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d505784.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brg.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d515784.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brh.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d525784.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Bri.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d535784.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brj.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d545784.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brk.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d555784.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brl.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d565784.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brm.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d575784.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\d0j3wayh8v.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d545742.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dlge.exe
[FUND] Ist das Trojanische Pferd TR/FakeAV.svg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d51577e.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ewn2889x.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d585789.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\gdi32.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\gy8h7mx5zr.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d225797.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\h6jsdp.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d545754.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hexdump.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\lkx6t.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d625795.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ll0qko4l.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\lsass.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mdm.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\nrosmawcxe.tmp
[FUND] Ist das Trojanische Pferd TR/Kazy.3539
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5957aa.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\prt06fa.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5e57aa.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sshnas21.dll
[FUND] Ist das Trojanische Pferd TR/Renos.HB
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5257ab.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sysedit.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\td5p1ipxj.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\uqeye.exe
[FUND] Ist das Trojanische Pferd TR/Agent.HY.1224
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4f57b3.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\winamp.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5857ab.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wnx8l4j38clktf8.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d6257b0.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wzLyM.exe
[FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\driversxxx.exe\cleansweepupd.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4f57b4.qua' verschoben!
C:\driversxxx.exe\driversxxx.exe
[FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\reasrvxxxx.exe\reasrvxxxx.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\WINDOWS\avp.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\WINDOWS\Btyvia.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d6357ca.qua' verschoben!
C:\WINDOWS\Btyvib.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a62da3.qua' verschoben!
C:\WINDOWS\Btyvic.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.LH
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47aae13b.qua' verschoben!
C:\WINDOWS\drweb.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\WINDOWS\smss.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\WINDOWS\svchost.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\WINDOWS\user.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\WINDOWS\wininst.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\WINDOWS\system32\ctujce5y80.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.fdbj
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5f57eb.qua' verschoben!
C:\WINDOWS\system32\eem1h.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.fdbj
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5757dc.qua' verschoben!
C:\WINDOWS\system32\sshnas21.dll
[FUND] Ist das Trojanische Pferd TR/Renos.HB
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4028f8cb.qua' verschoben!
C:\WINDOWS\system32\uu7ln.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.fdbj
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d2157ee.qua' verschoben!
C:\WINDOWS\system32\vglf3.dll
[FUND] Ist das Trojanische Pferd TR/Ertfor.F
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\WINDOWS\system32\x3fz2zomin.dll
[FUND] Ist das Trojanische Pferd TR/Ertfor.F
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\WINDOWS\system32\xblkaudp.dll
[FUND] Ist das Trojanische Pferd TR/Ertfor.F
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004
[WARNUNG] Die Quelldatei konnte nicht gefunden werden.
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Fehler in der ARK Library
C:\WINDOWS\Temp\u79317.sys
[FUND] Ist das Trojanische Pferd TR/Agent.34304.17
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d2357c0.qua' verschoben!


Ende des Suchlaufs: Montag, 22. November 2010 12:44
Benötigte Zeit: 21:36 Minute(n)

Der Suchlauf wurde abgebrochen!

6408 Verzeichnisse wurden überprüft
411980 Dateien wurden geprüft
84 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
64 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
411894 Dateien ohne Befall
8652 Archive wurden durchsucht
26 Warnungen
86 Hinweise
36916 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

2.)

OTL logfileOTL Logfile:
Code:
ATTFilter
OTL logfile created on: 22.11.2010 12:47:10 - Run 1
OTL by OldTimer - Version 3.2.17.3     Folder = L:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 133,03 Gb Total Space | 117,41 Gb Free Space | 88,26% Space Free | Partition Type: NTFS
Drive D: | 16,00 Gb Total Space | 11,72 Gb Free Space | 73,27% Space Free | Partition Type: NTFS
Drive L: | 1,88 Gb Total Space | 0,10 Gb Free Space | 5,11% Space Free | Partition Type: FAT
 
Computer Name: HP11977682828 | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - L:\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH)
PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe ()
PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svchost.exe ()
PRC - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dwm.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\TeamViewer\Version5\TeamViewer.exe (TeamViewer GmbH)
PRC - C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe (TeamViewer GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\guardgui.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\PDF Complete\pdfsvc.exe (PDF Complete Inc)
PRC - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe (Protexis Inc.)
PRC - C:\Programme\TOSHIBA\TOSHIBA e-STUDIO Client\GLDocMon.exe ()
PRC - C:\Programme\TOSHIBA\TOSHIBA e-STUDIO Client\TOSHIBA e-BRIDGE Viewer\e-BRIDGE Viewer.exe (TOSHIBA TEC CORPORATION)
PRC - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe (InterVideo)
PRC - C:\Programme\TOSHIBA\TOSHIBA e-STUDIO Client\TOSHIBA e-BRIDGE Viewer\eBVServ.exe ()
PRC - C:\WINDOWS\SMINST\Scheduler.exe ()
 
 
========== Modules (SafeList) ==========
 
MOD - L:\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msvbvm60.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\dinput.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (SSHNAS) -- C:\WINDOWS\System32\sshnas21.dll File not found
SRV - (0293411250701732mcinstcleanup) McAfee Application Installer Cleanup (0293411250701732) -- C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\029341~1.EXE File not found
SRV - (TeamViewer5) -- C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe (TeamViewer GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (pdfcDispatcher) -- C:\Programme\PDF Complete\pdfsvc.exe (PDF Complete Inc)
SRV - (PSI_SVC_2) -- C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe (Protexis Inc.)
SRV - (IviRegMgr) -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe (InterVideo)
SRV - (eBVServ) -- C:\Programme\TOSHIBA\TOSHIBA e-STUDIO Client\TOSHIBA e-BRIDGE Viewer\eBVServ.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (FSLX) -- C:\WINDOWS\system32\drivers\fslx.sys (Symantec Corp.)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (regi) -- C:\WINDOWS\system32\drivers\regi.sys (InterVideo)
DRV - (Iviaspi) -- C:\WINDOWS\system32\drivers\iviaspi.sys (InterVideo, Inc.)
DRV - (iAimFP4) -- C:\WINDOWS\system32\drivers\wVchNTxx.sys (Intel(R) Corporation)
DRV - (iAimFP3) -- C:\WINDOWS\system32\drivers\wSiINTxx.sys (Intel(R) Corporation)
DRV - (iAimTV5) -- C:\WINDOWS\system32\drivers\wATV10nt.sys (Intel(R) Corporation)
DRV - (iAimTV4) -- C:\WINDOWS\system32\drivers\wCh7xxNT.sys (Intel(R) Corporation)
DRV - (iAimTV6) -- C:\WINDOWS\system32\drivers\wATV06nt.sys (Intel(R) Corporation)
DRV - (iAimTV3) -- C:\WINDOWS\system32\drivers\wATV04nt.sys (Intel(R) Corporation)
DRV - (iAimTV1) -- C:\WINDOWS\system32\drivers\wATV02NT.sys (Intel(R) Corporation)
DRV - (iAimTV0) -- C:\WINDOWS\system32\drivers\wATV01nt.sys (Intel(R) Corporation)
DRV - (iAimFP7) -- C:\WINDOWS\system32\drivers\wADV09NT.sys (Intel(R) Corporation)
DRV - (iAimFP5) -- C:\WINDOWS\system32\drivers\wADV07nt.sys (Intel(R) Corporation)
DRV - (iAimFP6) -- C:\WINDOWS\system32\drivers\wADV08NT.sys (Intel(R) Corporation)
DRV - (i81x) -- C:\WINDOWS\system32\drivers\i81xnt5.sys (Intel(R) Corporation)
DRV - (iAimFP0) -- C:\WINDOWS\system32\drivers\wADV01nt.sys (Intel(R) Corporation)
DRV - (iAimFP1) -- C:\WINDOWS\system32\drivers\wADV02NT.sys (Intel(R) Corporation)
DRV - (iAimFP2) -- C:\WINDOWS\system32\drivers\wADV05NT.sys (Intel(R) Corporation)
DRV - (adpu320) -- C:\WINDOWS\system32\DRIVERS\adpu320.sys (Adaptec, Inc.)
DRV - (Symmpi) -- C:\WINDOWS\system32\DRIVERS\symmpi.sys (LSI Logic)
DRV - (fpcibase) -- C:\WINDOWS\system32\drivers\fpcibase.sys (AVM GmbH)
DRV - (AVMWAN) -- C:\WINDOWS\system32\drivers\avmwan.sys (AVM GmbH)
DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic)
DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic)
DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic)
DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.)
DRV - (ac97intc) Intel(r) 82801 Audiotreiber-Installationsdienst (WDM) -- C:\WINDOWS\system32\drivers\ac97intc.sys (Intel Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = HP® - Laptops, Desktop, Printers, Servers, and more
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = HP® - Laptops, Desktop, Printers, Servers, and more
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = HP® - Laptops, Desktop, Printers, Servers, and more
IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = HP® - Laptops, Desktop, Printers, Servers, and more
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = QIP: ????? ? ?????????
IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = QIP: ????? ? ?????????
IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = QIP: ????? ? ?????????
IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche
IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = QIP: ????? ? ?????????
IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\..\URLSearchHook: {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50370
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "ICQ Search"
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.6
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q="
 
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.11.22 12:24:01 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.11.22 10:20:52 | 000,000,000 | ---D | M]
 
[2009.08.19 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2010.11.19 13:29:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\extensions
[2009.08.24 15:46:01 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.10.12 13:02:36 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.11.19 09:14:36 | 000,000,961 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\searchplugins\icqplugin-1.xml
[2010.10.12 13:02:36 | 000,000,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\searchplugins\icqplugin.gif
[2010.10.12 13:02:36 | 000,000,618 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\searchplugins\icqplugin.src
[2010.11.10 11:02:57 | 000,001,069 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\searchplugins\icqplugin.xml
[2009.09.23 13:17:38 | 000,002,061 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\searchplugins\qipsearch.xml
[2010.11.22 12:24:01 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.10.27 06:44:13 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.10.27 06:44:13 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.10.27 06:44:13 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.10.27 06:44:13 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.10.27 06:44:13 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.02.28 03:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (C:\WINDOWS\system32\ctujce5y80.dll) - {B1BA20C1-A503-59BD-F412-03B53A2C8951} - C:\WINDOWS\System32\ctujce5y80.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [PDF Complete] C:\Programme\PDF Complete\pdfsty.exe (PDF Complete Inc)
O4 - HKLM..\Run: [Recguard] C:\WINDOWS\SMINST\Recguard.exe ()
O4 - HKLM..\Run: [Reminder] C:\WINDOWS\CREATOR\Remind_XP.exe ()
O4 - HKLM..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe ()
O4 - HKLM..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [uPc+MV0NblcaXms] C:\WINDOWS\System32\x3fz2zomin.DLL File not found
O4 - HKLM..\Run: [uPc+MV0NopbCxl] C:\WINDOWS\System32\xblkaudp.DLL File not found
O4 - HKLM..\Run: [uPc+MV0NpKJsiv] C:\WINDOWS\System32\vglf3.DLL File not found
O4 - HKLM..\Run: [viA3dSfc5ix] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wzLyM.exe File not found
O4 - HKLM..\Run: [WatchDog] C:\Programme\InterVideo\DVD8SESD\DVDCheck.exe (InterVideo Inc.)
O4 - HKU\.DEFAULT..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found
O4 - HKU\.DEFAULT..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found
O4 - HKU\.DEFAULT..\Run: [shitspykid.exe] C:\shitspykid.exe\shitspykid.exe File not found
O4 - HKU\S-1-5-18..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found
O4 - HKU\S-1-5-18..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found
O4 - HKU\S-1-5-18..\Run: [shitspykid.exe] C:\shitspykid.exe\shitspykid.exe File not found
O4 - HKU\S-1-5-19..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found
O4 - HKU\S-1-5-20..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [{7B4FF62B-C9F3-52B3-DE9B-EE4AE5F6FD2A}] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa\cyinn.exe ()
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [6BTOP2GA8A] C:\WINDOWS\Btyvic.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [cdoosoft] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\herss.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [EBViewer] C:\Programme\TOSHIBA\TOSHIBA e-STUDIO Client\TOSHIBA e-BRIDGE Viewer\e-BRIDGE Viewer.exe (TOSHIBA TEC CORPORATION)
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HJRUDZ5DT2] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Bri.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURoMc] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\gdi32.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURotc] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\hexdump.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURpeP] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ll0qko4l.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURpuc] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\lsass.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURpZ] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mdm.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURrOuc] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\td5p1ipxj.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURrtc] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sysedit.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [MKasc] C:\WINDOWS\drweb.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [MKee] C:\WINDOWS\user.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [MKeg] C:\WINDOWS\smss.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [MKese] C:\WINDOWS\svchost.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [MKfre] C:\WINDOWS\wininst.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [MKZe] C:\WINDOWS\avp.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [ToshibaGLDocMon] C:\Programme\TOSHIBA\TOSHIBA e-STUDIO Client\GLDocMon.exe ()
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [ugsoacgsco.exe] C:\ugsoacgsco.exe\ugsoacgsco.exe ()
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [uPc+MV0NblcaXms] C:\WINDOWS\System32\x3fz2zomin.DLL File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [uPc+MV0NopbCxl] C:\WINDOWS\System32\xblkaudp.DLL File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [uPc+MV0NpKJsiv] C:\WINDOWS\System32\vglf3.DLL File not found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [yT] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wzLyM.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
F3 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 WinNT: Load - (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dwm.exe) - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dwm.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.12.200
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.164.127,93.188.160.207
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: TaskMan - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ivbmm.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ivbmm.exe File not found
O20 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe ()
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O22 - SharedTaskScheduler: {B1BA20C1-A503-59BD-F412-03B53A2C8951} - uawhr987ry38w7rhawuig673fef - C:\WINDOWS\System32\ctujce5y80.dll File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.04.30 16:01:00 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ NTFS ]
O33 - MountPoints2\{67333fea-f52e-11de-bda4-002421af5c8a}\Shell\AutoRun\command - "" = mi9al8rs.exe
O33 - MountPoints2\{67333fea-f52e-11de-bda4-002421af5c8a}\Shell\open\Command - "" = mi9al8rs.exe
O33 - MountPoints2\{acbcde91-8ce2-11de-bd1f-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{acbcde91-8ce2-11de-bd1f-806d6172696f}\Shell\AutoRun - "" = Auto&Play
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: SSHNAS - C:\WINDOWS\System32\sshnas21.dll File not found
 
 
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vds - Service
SafeBootMin: vga.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vga.sys - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906)
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {2F6EFCE6-10DF-49F9-9E64-9AE3775B2588} - Microsoft .NET Framework 1.1 Security Update (KB2416447)
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
 
CREATERESTOREPOINT
Error starting restore point: System Restore is disabled.
Error closing restore point: System Restore is disabled.
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.11.22 11:59:13 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IECompatCache
[2010.11.22 10:42:13 | 000,096,104 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2010.11.22 10:42:12 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys
[2010.11.22 10:42:12 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2010.11.22 10:42:12 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys
[2010.11.22 10:42:12 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2010.11.19 12:33:35 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.11.22 12:46:00 | 000,000,262 | -H-- | M] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2010.11.22 12:24:02 | 000,001,566 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.11.22 12:14:02 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2010.11.22 12:13:48 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2010.11.22 12:12:15 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.11.22 12:11:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.11.22 12:11:46 | 2136,133,632 | -HS- | M] () -- C:\hiberfil.sys
[2010.11.22 10:42:38 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.11.19 12:33:54 | 000,000,214 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\scgdfgasfbh.bat
[2010.11.18 15:30:26 | 000,316,360 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.11.22 12:24:02 | 000,001,566 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2010.11.22 10:42:38 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2010.11.19 12:33:56 | 000,000,304 | -H-- | C] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2010.11.19 12:33:54 | 000,000,214 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\scgdfgasfbh.bat
[2010.11.19 12:33:48 | 000,000,304 | -H-- | C] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2010.11.19 12:33:44 | 000,000,262 | -H-- | C] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2009.08.27 11:56:54 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\eSABLDLG.dll
[2009.08.27 11:56:53 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\eSABLD.dll
[2009.08.27 11:55:40 | 000,376,832 | ---- | C] () -- C:\WINDOWS\ES1Snmpp.dll
[2009.08.27 11:55:40 | 000,237,568 | ---- | C] () -- C:\WINDOWS\eSDMLD.dll
[2009.08.27 11:55:40 | 000,020,480 | ---- | C] () -- C:\WINDOWS\eSDMLDLG.dll
[2009.08.27 11:55:39 | 000,540,815 | ---- | C] () -- C:\WINDOWS\ES1mi.dll
[2009.08.27 11:54:49 | 000,147,456 | R--- | C] () -- C:\WINDOWS\eSINLD.dll
[2009.08.27 11:54:49 | 000,024,576 | R--- | C] () -- C:\WINDOWS\SPortLG.dll
[2009.08.27 11:54:48 | 000,286,720 | R--- | C] () -- C:\WINDOWS\eSTsnmp.dll
[2009.08.27 11:54:48 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\eSTsnmp.dll
[2009.08.27 11:54:48 | 000,020,480 | R--- | C] () -- C:\WINDOWS\eSINLDLG.dll
[2009.08.27 11:54:33 | 000,009,913 | R--- | C] () -- C:\WINDOWS\DEN1_7.ini
[2009.08.27 11:54:33 | 000,001,618 | R--- | C] () -- C:\WINDOWS\V_eS451c.ini
[2009.08.21 11:08:49 | 000,023,552 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.08.19 15:02:30 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.08.19 14:54:53 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\eST3snm.dll
[2009.07.16 22:57:37 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4885.dll
[2009.07.16 22:55:10 | 000,000,978 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2009.07.16 14:34:05 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009.07.16 14:06:47 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2006.05.04 21:41:52 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[1999.01.22 19:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2010.11.19 12:57:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
[2010.03.15 16:13:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
[2009.08.20 03:01:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SampleView
[2010.01.08 12:36:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer
[2010.06.06 22:48:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa
[2010.11.22 12:22:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yxetc
[2010.10.12 13:02:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2009.08.20 03:01:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\SampleView
[2010.11.22 12:14:02 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2010.11.22 12:46:00 | 000,000,262 | -H-- | M] () -- C:\WINDOWS\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2010.11.22 12:13:48 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2009.08.31 11:37:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe
[2010.11.19 12:57:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
[2009.08.20 03:01:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Identities
[2009.08.27 11:54:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield
[2009.08.27 09:13:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia
[2010.11.22 10:34:33 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
[2009.08.19 15:00:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft Web Folders
[2009.08.19 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla
[2010.03.15 16:13:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
[2009.08.20 03:01:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SampleView
[2009.08.20 03:01:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun
[2010.01.08 12:36:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer
[2010.06.06 22:48:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa
[2010.11.22 12:22:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yxetc
 
< %APPDATA%\*.exe /s >
[2010.11.22 09:57:47 | 000,131,072 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svchost.exe
[2010.11.22 10:34:43 | 000,207,360 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe
[2010.06.06 22:48:03 | 000,130,560 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa\cyinn.exe
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2006.02.28 08:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\i386\sp2.cab:AGP440.sys
[2006.02.28 03:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 23:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 23:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: AHCIX86.SYS  >
[2007.10.26 13:25:14 | 000,164,352 | ---- | M] (AMD Technologies Inc.) MD5=746C6E7AE2C6449F3CF3CF0D5E3A9222 -- C:\compaq\HPBackup\update\DRIVERS\STORAGE\ahcix86.sys
[2007.10.26 13:25:14 | 000,164,352 | ---- | M] (AMD Technologies Inc.) MD5=746C6E7AE2C6449F3CF3CF0D5E3A9222 -- C:\WINDOWS\DRIVERS\STORAGE\ahcix86.sys
 
< MD5 for: ATAPI.SYS  >
[2006.02.28 08:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\i386\sp2.cab:atapi.sys
[2006.02.28 03:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 23:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 23:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.03 21:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
[2004.08.03 16:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0003\DriverFiles\i386\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 06:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 06:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2006.02.28 03:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: EXPLORER.EXE  >
[2006.02.28 03:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=F62B7DB89B04823F00F3A34838544F26 -- C:\WINDOWS\explorer.exe
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 06:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 06:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2006.02.28 03:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
 
< MD5 for: NVGTS.SYS  >
[2007.12.13 15:03:34 | 000,102,400 | ---- | M] (NVIDIA Corporation) MD5=4BA137ADC66DBA401718FD6FA6E3F3BC -- C:\compaq\HPBackup\update\DRIVERS\STORAGE\nvgts.sys
[2007.12.13 15:03:34 | 000,102,400 | ---- | M] (NVIDIA Corporation) MD5=4BA137ADC66DBA401718FD6FA6E3F3BC -- C:\WINDOWS\DRIVERS\STORAGE\nvgts.sys
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 06:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 06:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2006.02.28 03:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2006.02.28 03:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2008.04.14 06:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 06:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2006.02.28 03:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2006.02.28 03:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=66EF8ABDE16AC4D7057A32A24FAB1D5A -- C:\WINDOWS\system32\winlogon.exe
[2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2006.02.28 03:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2006.05.04 23:27:28 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2006.05.04 23:27:28 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2006.05.04 23:27:28 | 000,405,504 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[4 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< End of report >
         
--- --- ---




OTL Extras logfileOTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 22.11.2010 12:47:10 - Run 1
OTL by OldTimer - Version 3.2.17.3     Folder = L:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 133,03 Gb Total Space | 117,41 Gb Free Space | 88,26% Space Free | Partition Type: NTFS
Drive D: | 16,00 Gb Total Space | 11,72 Gb Free Space | 73,27% Space Free | Partition Type: NTFS
Drive L: | 1,88 Gb Total Space | 0,10 Gb Free Space | 5,11% Space Free | Partition Type: FAT
 
Computer Name: HP11977682828 | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_USERS\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
"DisableSR" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 4
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe" = C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe:*:Enabled:Managed Services Agent -- File not found
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\SMINST\Scheduler.exe" = C:\WINDOWS\SMINST\Scheduler.exe:*:Enabled:Scheduler  -- ()
"C:\Programme\TeamViewer\Version5\TeamViewer.exe" = C:\Programme\TeamViewer\Version5\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH)
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.)
"C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00010407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Professional
"{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition (MSSMLBIZ)
"{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch)
"{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2
"{1D1D8ADC-BF08-4E61-9393-5FA305B16864}" = Microsoft SQL Server Native Client
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3F9F7336-6DF8-476F-ABF6-C70A17FAF619}" = HP Backup and Recovery Manager
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4cb9f93c-9edc-4be9-ae61-af128ddbecfa}" = Business Contact Manager für Outlook 2007
"{5C759B74-34F4-43C6-A5D9-039CB754C5E9}" = Microsoft SQL Server VSS Writer
"{5FEBF468-5AC2-4C66-AD80-DF85C085AA73}" = InterVideo WinDVD 8
"{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2
"{7D8DBB7C-1C55-4950-A107-043C164F379A}" = Software Virtualization Agent
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{909B62B0-8ACA-4061-A83B-09CAEF609619}" = MSXML 6.0 Parser
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A93C4E94-1005-489D-BEAA-B873C1AA6CFC}" = HP Help and Support
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C63E7C60-25EB-11D3-8EDA-00A0C911E8E5}" = Microsoft Outlook-Sicherung für Persönliche Ordner
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D58CCA0A-43D8-4DC7-80C8-F715FC4D7C72}" = TOSHIBA e-STUDIO451c Series Client
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AGFEO TK-Soft 32" = AGFEO TK-Soft 32
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Business Contact Manager für Outlook 2007" = Business Contact Manager für Outlook 2007
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"InstallShield_{5FEBF468-5AC2-4C66-AD80-DF85C085AA73}" = InterVideo WinDVD 8
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft SQL Server 2005" = Microsoft SQL Server 2005
"Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12)
"PDF Complete" = PDF Complete
"TeamViewer 5" = TeamViewer 5
"Windows XP Service Pack" = Windows XP Service Pack 3
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 22.11.2010 07:03:26 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 22.11.2010 07:08:01 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b.
 
Error - 22.11.2010 07:20:41 | Computer Name = HP11977682828 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung setup.exe, Version 1.0.0.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 22.11.2010 07:22:25 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b.
 
Error - 22.11.2010 07:23:20 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b.
 
Error - 22.11.2010 07:23:35 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b.
 
Error - 22.11.2010 07:28:52 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 22.11.2010 07:31:46 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 22.11.2010 07:32:13 | Computer Name = HP11977682828 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung guardgui.exe, Version 9.0.3.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 22.11.2010 07:12:35 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
[ Application Events ]
Error - 22.11.2010 07:03:26 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 22.11.2010 07:08:01 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b.
 
Error - 22.11.2010 07:20:41 | Computer Name = HP11977682828 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung setup.exe, Version 1.0.0.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 22.11.2010 07:22:25 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b.
 
Error - 22.11.2010 07:23:20 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b.
 
Error - 22.11.2010 07:23:35 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b.
 
Error - 22.11.2010 07:28:52 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 22.11.2010 07:31:46 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 22.11.2010 07:32:13 | Computer Name = HP11977682828 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung guardgui.exe, Version 9.0.3.0, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 22.11.2010 07:12:35 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
[ System Events ]
Error - 22.11.2010 06:38:33 | Computer Name = HP11977682828 | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.
 
Error - 22.11.2010 06:38:33 | Computer Name = HP11977682828 | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
 fehlgeschlagen. Stellen  Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
 vorhanden ist und dass diese  groß genug ist, um den gesamten physikalischen Speicher
 abbilden zu können.
 
Error - 22.11.2010 06:44:59 | Computer Name = HP11977682828 | Source = DCOM | ID = 10010
Description = Der Server "{4991D34B-80A1-4291-83B6-3328366B9097}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 22.11.2010 06:44:59 | Computer Name = HP11977682828 | Source = DCOM | ID = 10010
Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 22.11.2010 07:08:51 | Computer Name = HP11977682828 | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.
 
Error - 22.11.2010 07:08:51 | Computer Name = HP11977682828 | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
 fehlgeschlagen. Stellen  Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
 vorhanden ist und dass diese  groß genug ist, um den gesamten physikalischen Speicher
 abbilden zu können.
 
Error - 22.11.2010 07:12:15 | Computer Name = HP11977682828 | Source = Ftdisk | ID = 262189
Description = Das System konnte den Treiber für das Speicherabbild nicht laden.
 
Error - 22.11.2010 07:12:15 | Computer Name = HP11977682828 | Source = Ftdisk | ID = 262193
Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist
 fehlgeschlagen. Stellen  Sie sicher, dass eine Auslagerungsdatei auf der Startpartition
 vorhanden ist und dass diese  groß genug ist, um den gesamten physikalischen Speicher
 abbilden zu können.
 
Error - 22.11.2010 07:47:34 | Computer Name = HP11977682828 | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
 
Error - 22.11.2010 07:47:34 | Computer Name = HP11977682828 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
 beendet:   %%2
 
 
< End of report >
         
--- --- ---
__________________

Alt 22.11.2010, 14:27   #4
markusg
/// Malware-holic
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



rechtsklick avira schirm, guard deaktivieren.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe ()
PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svchost.exe ()
PRC - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dwm.exe ()
SRV - (SSHNAS) -- C:\WINDOWS\System32\sshnas21.dll File not found
SRV - (0293411250701732mcinstcleanup) McAfee Application Installer Cleanup (0293411250701732) -- C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\029341~1.EXE File not
found
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [{7B4FF62B-C9F3-52B3-DE9B-EE4AE5F6FD2A}] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa\cyinn.exe
()
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [ugsoacgsco.exe] C:\ugsoacgsco.exe\ugsoacgsco.exe ()
F3 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 WinNT: Load - (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dwm.exe) - C:\Dokumente und Einstellungen\Administrator\Lokale
Einstellungen\Temp\dwm.exe ()
O20 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe)
- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe ()
[2010.11.19 12:33:35 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server
[2010.11.22 12:46:00 | 000,000,262 | -H-- | M] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2010.11.22 12:14:02 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2010.11.22 12:13:48 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2010.11.19 12:33:54 | 000,000,214 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\scgdfgasfbh.bat
[2010.06.06 22:48:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa
[2010.11.22 12:22:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yxetc
O4 - HKLM..\Run: [uPc+MV0NblcaXms] C:\WINDOWS\System32\x3fz2zomin.DLL File not found
O4 - HKLM..\Run: [uPc+MV0NopbCxl] C:\WINDOWS\System32\xblkaudp.DLL File not found
O4 - HKLM..\Run: [uPc+MV0NpKJsiv] C:\WINDOWS\System32\vglf3.DLL File not found
O4 - HKLM..\Run: [viA3dSfc5ix] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wzLyM.exe File not found
O4 - HKU\.DEFAULT..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found
O4 - HKU\.DEFAULT..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found
O4 - HKU\.DEFAULT..\Run: [shitspykid.exe] C:\shitspykid.exe\shitspykid.exe File not found
O4 - HKU\S-1-5-18..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found
O4 - HKU\S-1-5-18..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found
O4 - HKU\S-1-5-18..\Run: [shitspykid.exe] C:\shitspykid.exe\shitspykid.exe File not found
O4 - HKU\S-1-5-19..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found
O4 - HKU\S-1-5-20..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found

:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.


öffne den arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.11.2010, 14:51   #5
sylvia1234
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



Es klappt zwar, dass der PC neu startet, aber irgendwie öffnet sich keine Textdatei bzw. der Ordner mit moved files ist leer. Kann das sein? Ich gehe eher davon aus, dass ich etwas falsch gemacht habe!

Bei der Anleitung für Upload channel für Windows XP kann ich unter Extras keine Ordneroptionen finden sondern nur synchronisieren und Netzlaufwerk verbinden oder trennen?!?



Alt 22.11.2010, 14:55   #6
markusg
/// Malware-holic
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



ordneroptionen können so bleiben

:OTL
PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe ()
PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svchost.exe ()
PRC - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dwm.exe ()
SRV - (SSHNAS) -- C:\WINDOWS\System32\sshnas21.dll File not found
SRV - (0293411250701732mcinstcleanup) McAfee Application Installer Cleanup (0293411250701732) -- C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\029341~1.EXE File not
found
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [{7B4FF62B-C9F3-52B3-DE9B-EE4AE5F6FD2A}] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa\cyinn.exe
()
O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [ugsoacgsco.exe] C:\ugsoacgsco.exe\ugsoacgsco.exe ()
F3 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 WinNT: Load - (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dwm.exe) - C:\Dokumente und Einstellungen\Administrator\Lokale
Einstellungen\Temp\dwm.exe ()
O20 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe)
- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe ()
[2010.11.19 12:33:35 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server
[2010.11.22 12:46:00 | 000,000,262 | -H-- | M] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2010.11.22 12:14:02 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2010.11.22 12:13:48 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2010.11.19 12:33:54 | 000,000,214 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\scgdfgasfbh.bat
[2010.06.06 22:48:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa
[2010.11.22 12:22:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yxetc
O4 - HKLM..\Run: [uPc+MV0NblcaXms] C:\WINDOWS\System32\x3fz2zomin.DLL File not found
O4 - HKLM..\Run: [uPc+MV0NopbCxl] C:\WINDOWS\System32\xblkaudp.DLL File not found
O4 - HKLM..\Run: [uPc+MV0NpKJsiv] C:\WINDOWS\System32\vglf3.DLL File not found
O4 - HKLM..\Run: [viA3dSfc5ix] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wzLyM.exe File not found
O4 - HKU\.DEFAULT..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found
O4 - HKU\.DEFAULT..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found
O4 - HKU\.DEFAULT..\Run: [shitspykid.exe] C:\shitspykid.exe\shitspykid.exe File not found
O4 - HKU\S-1-5-18..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found
O4 - HKU\S-1-5-18..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found
O4 - HKU\S-1-5-18..\Run: [shitspykid.exe] C:\shitspykid.exe\shitspykid.exe File not found
O4 - HKU\S-1-5-19..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found
O4 - HKU\S-1-5-20..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

das wie beschrieben reinkopieren und auf fix klicken, dann sollte es los gehen.
wenn nicht, starte mal im abgesichertem modus ohne netzwerk, sollte die f8-taste sein, dann abgesicherter modus wählen, und noch mal probieren
__________________
--> AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!

Alt 22.11.2010, 15:34   #7
sylvia1234
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



So, ich habe es jetzt im abgesicherten Modus durchgeführt, weil im normalen Modus ist er nicht ausgegangen! Aber irgendwie scheint die Datei trotzdem leer zu sein?!? Ich habe sie jetzt mal hochgeladen!

Alt 22.11.2010, 15:44   #8
markusg
/// Malware-holic
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



versuchen wirs anders
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.11.2010, 16:28   #9
sylvia1234
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



So, also ich habe combofix mehrmals runtergeladen und versucht es auszuführen. Vorher habe ich natürlich alle Programme geschlossen, combofix auf dem Desktop runtergeladen, aber combofix startet einfach nicht

Soll ich es wieder im abgesicherten Modus probieren oder bringt es hier nichts?

Alt 22.11.2010, 16:36   #10
markusg
/// Malware-holic
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



lade den avenger, kopiere das script ein wie beschrieben
Avenger

Files to delete:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svchost.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dwm.exe
folders to delete:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa
C:\ugsoacgsco.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Server
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yxetc

führe das programm wie beschrieben aus, nach neustart sollte ein log geöffnet werden, dessen inhalt posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.11.2010, 16:47   #11
sylvia1234
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



Ok, hab ich gemacht. PC wurde herunter gefahren und jetzt versucht er den neu zu starten. Ich glaube mittlerweile schon zum 6ten oder 7ten mal. Ist das normal, dass das so lange dauert und er den PC mehrfach neu startet?

Alt 22.11.2010, 16:48   #12
markusg
/// Malware-holic
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



nein, gibts ne fehlermeldung?
cd rom laufwerk + roling zur verfügung?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.11.2010, 16:54   #13
sylvia1234
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



ja, cd-rom-laufwerk und rohling vorhanden, aber kein brenner! was nun?

Alt 22.11.2010, 16:56   #14
markusg
/// Malware-holic
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



naja wir müssen aber wohl was brennen, damit wir den pc zum laufen bekommen, der ist sowieso so stark verseucht, da müssen wir erst mal schauen ob wir den überhaupt noch säubern sollen.
keinen bekannten mit brenner in der nähe?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 22.11.2010, 16:58   #15
sylvia1234
 
AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Standard

AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!



Achso. Der Brenner muss jetzt nicht in meinem PC sein? Der PC meiner Kollegin, an dem ich gerade sitze hat einen Brenner.

So verseucht??? Was habe ich mir denn da eingefangen und wie??? Mein Chef bringt mich um

Antwort

Themen zu AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!
.dll, arbeitsplatz, avira, datei, dateien, explorer, fehlermeldung, firefox, funktioniert, internet, internet explorer, löschen, mozilla, neu, nicht mehr, problem, programm, programme, rechner, seite, senden, starten, super, tipps, trojaner, zugriff




Ähnliche Themen: AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!


  1. Avira meldet TR/Dldr.Agent.2343.1 [trojan] und java/Lamar.sgf.27 [virus]
    Log-Analyse und Auswertung - 30.06.2015 (13)
  2. Win7: Avira meldet Virus Fund 'JAVA/Dldr.Pesur.JE'
    Log-Analyse und Auswertung - 11.05.2015 (17)
  3. Avira meldet zwei Trojaner - ich vermute noch mehr....
    Plagegeister aller Art und deren Bekämpfung - 07.03.2014 (7)
  4. Ereignisprotokoll Au_.exe und vieles vieles mehr
    Plagegeister aller Art und deren Bekämpfung - 07.02.2014 (5)
  5. Avira meldet EXP/Dldr.Java.O
    Plagegeister aller Art und deren Bekämpfung - 01.08.2013 (13)
  6. Avira meldet JAVA/Agent-Viren sowie EXP/Dldr.Java.O und EXP/2012-4681.AD
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (8)
  7. Avira meldet HTML/Dldr.Iframe.HJ, was ist das?
    Log-Analyse und Auswertung - 14.01.2013 (15)
  8. Trojan.Agent, Bundeswehrtrojaner und vieles mehr
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (1)
  9. Avira meldet EXP/2011-3544.BW.1 und JAVA/Dldr.OpenS.H
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (5)
  10. Trojaner kazy.mekml.1 Avira meldet Trojaner schwarzer Bildschirm nichts geht mehr
    Plagegeister aller Art und deren Bekämpfung - 01.05.2011 (22)
  11. Avira meldet Befall mit TR/Dldr.Carberp.C.51 und Java/Agent.HT.2 bzw. Java/Agent.ID.2
    Plagegeister aller Art und deren Bekämpfung - 26.11.2010 (14)
  12. Avira meldet mehrfach TR/Dldr.Piker.XX in temp.Datei
    Plagegeister aller Art und deren Bekämpfung - 21.06.2010 (23)
  13. Antivir meldet Trojaner TR/Dldr.Agent.cyrd / TR/Dldr.Exchanger.ayn
    Plagegeister aller Art und deren Bekämpfung - 20.06.2010 (4)
  14. TR/Fakealert.SS.8 und JS/Dldr.Agent.KO
    Plagegeister aller Art und deren Bekämpfung - 07.08.2008 (35)
  15. Dldr.Agent. RunDLL kein Explorer und vieles mehr
    Plagegeister aller Art und deren Bekämpfung - 05.10.2005 (1)
  16. Trojaner und vieles mehr
    Plagegeister aller Art und deren Bekämpfung - 31.08.2005 (1)
  17. Trojaner dldr.agent.br.2/ befällt aklsp.dll -> Keine Hosts mehr erreichbar
    Plagegeister aller Art und deren Bekämpfung - 16.11.2004 (8)

Zum Thema AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! - Hallo zusammen, und wieder muss ich mich an euch wenden, weil ich ein "kleines" (bzw. eher riesen großes) Problem mit dem Rechner auf der Arbeit habe! Bisher habt ihr mir - AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!...
Archiv
Du betrachtest: AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.