|
Plagegeister aller Art und deren Bekämpfung: AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.11.2010, 13:00 | #1 |
| AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! Hallo zusammen, und wieder muss ich mich an euch wenden, weil ich ein "kleines" (bzw. eher riesen großes) Problem mit dem Rechner auf der Arbeit habe! Bisher habt ihr mir hier super geholfen, von daher wende ich mich wieder an euch! Es hat heute damit angefangen, dass ich nicht mehr ins Internet kam, weil Firefox angeblich die ganze Zeit abstürzt. Internet Explorer funktioniert bzw. geht auf, allerdings lässt sich keine Seite öffnen. Nachdem ich versucht habe, Mozilla neu zu installieren, ist das Programm weiterhin abgestürzt! Es kam oft die Fehlermeldung, dass die Datei btyvic.exe nicht ausgeführt werden konnte und ob ich einen Problembericht senden oder nicht senden möchte. Diese Datei finde ich unter C.//windows, wobei sich diese natürlich nicht löschen lässt. Nach kurzer Zeit fing nun das Virenprogramm an, andauernd Trojaner zu finden. Es wurden mehrere schädliche Dateien gefudnen u.a. unter C://windows/system32/ctujce5y80.dll und jetzt auch noch mehr .dll-Dateien! All diese Dateien wurden letzen Freitag (19.11.) erstellt, sodass ich nun weiss, dass ich mir diesen Plagegeist wohl Freitag eingefangen habe AVIRA springt wie gesagt die ganze Zeit an und piept andauernd. Ich kann nicht löschen, nicht den Zugriff verweigern bzw. nicht in Quarantäne verschieben, weil die Fehlermeldungen andauernd wieder anspringen! Nun habe ich das Problem, dass der PC mittlerweile zwar angeht, aber sobald ich irgendwelche Programme starten möchte, stürzen die sofort wieder ab! Deswegen weiss ich nicht wie ich weiter vorgehen kann. Ich habe das Glück, dass ich vom Arbeitsplatz einer Kollegin posten kann. Ich würde mich freuen, wenn ich kurzfristig einige Tipps oder Anleitungen von euch ehalte, was ihr benötigt bzw. was ich machen soll! Ich kriege nämlich so gut wie nix gestartet! Ich bedanke mich schon mal vorab! Liebe Grüße, Sylvia |
22.11.2010, 13:03 | #2 |
/// Malware-holic | AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! 1. unter avira ereignisse, fundmeldungen posten.
__________________2. ootl: Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten.
__________________ |
22.11.2010, 14:01 | #3 |
| AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! DAnke für die schnelle Antwort. Die Scans haben etwas gedauert.
__________________1.) Musste ich bei 99,5 % abbrechen, weil der nix mehr getan hat Ich hoffe das reicht soweit. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 22. November 2010 12:15 Es wird nach 3074710 Virenstämmen gesucht. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HP11977682828 Versionsinformationen: BUILD.DAT : 9.0.0.429 21701 Bytes 06.10.2010 09:59:00 AVSCAN.EXE : 9.0.3.10 466689 Bytes 22.11.2010 11:02:56 AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10 LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44 LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 11:02:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 11:02:52 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 11:02:52 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 11:02:52 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 11:02:53 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 11:02:53 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 11:02:53 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 11:02:54 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 11:02:54 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 11:02:54 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 11:02:54 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 11:02:54 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 11:02:54 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 11:02:54 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 11:02:54 VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 11:02:54 VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 11:02:54 VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 11:02:54 VBASE018.VDF : 7.10.14.15 142848 Bytes 17.11.2010 11:02:54 VBASE019.VDF : 7.10.14.41 134144 Bytes 19.11.2010 11:02:54 VBASE020.VDF : 7.10.14.42 2048 Bytes 19.11.2010 11:02:54 VBASE021.VDF : 7.10.14.43 2048 Bytes 19.11.2010 11:02:54 VBASE022.VDF : 7.10.14.44 2048 Bytes 19.11.2010 11:02:54 VBASE023.VDF : 7.10.14.45 2048 Bytes 19.11.2010 11:02:54 VBASE024.VDF : 7.10.14.46 2048 Bytes 19.11.2010 11:02:54 VBASE025.VDF : 7.10.14.47 2048 Bytes 19.11.2010 11:02:54 VBASE026.VDF : 7.10.14.48 2048 Bytes 19.11.2010 11:02:54 VBASE027.VDF : 7.10.14.49 2048 Bytes 19.11.2010 11:02:54 VBASE028.VDF : 7.10.14.50 2048 Bytes 19.11.2010 11:02:54 VBASE029.VDF : 7.10.14.51 2048 Bytes 19.11.2010 11:02:54 VBASE030.VDF : 7.10.14.52 2048 Bytes 19.11.2010 11:02:54 VBASE031.VDF : 7.10.14.58 74240 Bytes 22.11.2010 11:02:54 Engineversion : 8.2.4.98 AEVDF.DLL : 8.1.2.1 106868 Bytes 22.11.2010 11:02:56 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 22.11.2010 11:02:56 AESCN.DLL : 8.1.6.1 127347 Bytes 22.11.2010 11:02:56 AESBX.DLL : 8.1.3.1 254324 Bytes 22.11.2010 11:02:56 AERDL.DLL : 8.1.9.2 635252 Bytes 22.11.2010 11:02:56 AEPACK.DLL : 8.2.3.11 471416 Bytes 22.11.2010 11:02:56 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 22.11.2010 11:02:56 AEHEUR.DLL : 8.1.2.41 3043703 Bytes 22.11.2010 11:02:56 AEHELP.DLL : 8.1.14.0 246134 Bytes 22.11.2010 11:02:55 AEGEN.DLL : 8.1.3.24 401781 Bytes 22.11.2010 11:02:55 AEEMU.DLL : 8.1.2.0 393588 Bytes 22.11.2010 11:02:55 AECORE.DLL : 8.1.17.0 196982 Bytes 22.11.2010 11:02:54 AEBB.DLL : 8.1.1.0 53618 Bytes 22.11.2010 11:02:54 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56 AVPREF.DLL : 9.0.3.0 44289 Bytes 22.11.2010 11:02:56 AVREP.DLL : 8.0.0.7 159784 Bytes 22.11.2010 11:02:56 AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04 AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28 NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17 RCTEXT.DLL : 9.0.73.0 87297 Bytes 22.11.2010 11:02:52 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Montag, 22. November 2010 12:15 Der Suchlauf nach versteckten Objekten wird begonnen. Es wurden '36916' Objekte überprüft, '0' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'guardgui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'guardgui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'e-BRIDGE Viewer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GLDocMon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AdobeARM.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Scheduler.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxsrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxpers.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'shell.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer_Service.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PsiService_2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'pdfsvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iviRegMgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'eBVServ.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '48' Prozesse mit '48' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD5 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD6 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wzLyM.exe [FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261 C:\WINDOWS\system32\xblkaudp.dll [FUND] Ist das Trojanische Pferd TR/Ertfor.F C:\WINDOWS\system32\x3fz2zomin.dll [FUND] Ist das Trojanische Pferd TR/Ertfor.F C:\WINDOWS\system32\vglf3.dll [FUND] Ist das Trojanische Pferd TR/Ertfor.F C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\td5p1ipxj.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mdm.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\WINDOWS\smss.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\WINDOWS\drweb.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\gdi32.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sysedit.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\WINDOWS\user.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\WINDOWS\wininst.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\lsass.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hexdump.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\WINDOWS\svchost.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\WINDOWS\avp.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ll0qko4l.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\driversxxx.exe\driversxxx.exe [FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261 C:\reasrvxxxx.exe\reasrvxxxx.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ivbmm.exe [FUND] Ist das Trojanische Pferd TR/Rimecud.A.1531 Die Registry wurde durchsucht ( '85' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hotfix.exe [FUND] Ist das Trojanische Pferd TR/FakeAV.svg C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ivbmm.exe [FUND] Ist das Trojanische Pferd TR/Rimecud.A.1531 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19\2e9fe413-351a3039 [0] Archivtyp: ZIP --> bpac/a.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.HN C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33\599cb9a1-70b833c6 [0] Archivtyp: ZIP --> bpac/a.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212 C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\3a2bdae3-492036de [0] Archivtyp: ZIP --> bpac/a.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.HN C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4\5ef22dc4-3824a723 [0] Archivtyp: ZIP --> bpac/a.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\0.5822041811403891.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.art C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\1175754.exe [FUND] Ist das Trojanische Pferd TR/Spy.106496.365 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\3005443.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Palevo.HW C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\491854.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.bqiv C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\602.exe [FUND] Ist das Trojanische Pferd TR/Rimecud.A.1492 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\8264714.exe [FUND] Ist das Trojanische Pferd TR/Rimecud.A.1531 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brb.exe [FUND] Ist das Trojanische Pferd TR/Renos.HB C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brc.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brd.exe [FUND] Ist das Trojanische Pferd TR/Renos.HB C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Bre.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brf.exe [FUND] Ist das Trojanische Pferd TR/Renos.HB C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brg.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brh.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Bri.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brj.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brk.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brl.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brm.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\d0j3wayh8v.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dlge.exe [FUND] Ist das Trojanische Pferd TR/FakeAV.svg C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ewn2889x.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\gdi32.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\gy8h7mx5zr.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\h6jsdp.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hexdump.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\lkx6t.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ll0qko4l.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\lsass.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mdm.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\nrosmawcxe.tmp [FUND] Ist das Trojanische Pferd TR/Kazy.3539 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\prt06fa.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sshnas21.dll [FUND] Ist das Trojanische Pferd TR/Renos.HB C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sysedit.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\td5p1ipxj.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\uqeye.exe [FUND] Ist das Trojanische Pferd TR/Agent.HY.1224 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\winamp.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wnx8l4j38clktf8.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wzLyM.exe [FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261 C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CFO0GXOY\swflash[1].cab [0] Archivtyp: CAB (Microsoft) --> FP_AX_CAB_INSTALLER.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\driversxxx.exe\cleansweepupd.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen C:\driversxxx.exe\driversxxx.exe [FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261 C:\reasrvxxxx.exe\reasrvxxxx.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen C:\WINDOWS\avp.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\WINDOWS\Btyvia.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH C:\WINDOWS\Btyvib.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH C:\WINDOWS\Btyvic.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH C:\WINDOWS\drweb.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\WINDOWS\smss.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\WINDOWS\svchost.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\WINDOWS\user.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\WINDOWS\wininst.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 C:\WINDOWS\system32\ctujce5y80.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.fdbj C:\WINDOWS\system32\eem1h.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.fdbj C:\WINDOWS\system32\sshnas21.dll [FUND] Ist das Trojanische Pferd TR/Renos.HB C:\WINDOWS\system32\uu7ln.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.fdbj C:\WINDOWS\system32\vglf3.dll [FUND] Ist das Trojanische Pferd TR/Ertfor.F C:\WINDOWS\system32\x3fz2zomin.dll [FUND] Ist das Trojanische Pferd TR/Ertfor.F C:\WINDOWS\system32\xblkaudp.dll [FUND] Ist das Trojanische Pferd TR/Ertfor.F C:\WINDOWS\Temp\u79317.sys [FUND] Ist das Trojanische Pferd TR/Agent.34304.17 Beginne mit der Suche in 'D:\' <HP_RECOVERY> Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wzLyM.exe [FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003 [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ae7991b.qua' verschoben! C:\WINDOWS\system32\xblkaudp.dll [FUND] Ist das Trojanische Pferd TR/Ertfor.F [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d56575b.qua' verschoben! C:\WINDOWS\system32\x3fz2zomin.dll [FUND] Ist das Trojanische Pferd TR/Ertfor.F [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d50572c.qua' verschoben! C:\WINDOWS\system32\vglf3.dll [FUND] Ist das Trojanische Pferd TR/Ertfor.F [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d565760.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\td5p1ipxj.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] TR/Dropper.Gen:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURrOuc>=sz:td5p1ipxj.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1f575d.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mdm.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURpZ>=sz:mdm.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d57575d.qua' verschoben! C:\WINDOWS\smss.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<MKeg>=sz:smss.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5d5766.qua' verschoben! C:\WINDOWS\drweb.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<MKasc>=sz:drweb.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d61576b.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\gdi32.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURoMc>=sz:gdi32.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d53575d.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sysedit.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURrtc>=sz:sysedit.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5d5772.qua' verschoben! C:\WINDOWS\user.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<MKee>=sz:user.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4f576d.qua' verschoben! C:\WINDOWS\wininst.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<MKfre>=sz:wininst.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d585763.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\lsass.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURpuc>=sz:lsass.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4b576d.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hexdump.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURotc>=sz:hexdump.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d62575f.qua' verschoben! C:\WINDOWS\svchost.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<MKese>=sz:svchost.exe [HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<svchost>=sz:svchost.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4d5770.qua' verschoben! C:\WINDOWS\avp.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] BDS/IRCBot.36864:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<MKZe>=sz:avp.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5a5770.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ll0qko4l.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] TR/Dropper.Gen:[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]:<HPUGRQURpeP>=sz:ll0qko4l.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1a5766.qua' verschoben! C:\driversxxx.exe\driversxxx.exe [FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d53576c.qua' verschoben! C:\reasrvxxxx.exe\reasrvxxxx.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4b575f.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ivbmm.exe [FUND] Ist das Trojanische Pferd TR/Rimecud.A.1531 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4c5770.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\hotfix.exe [FUND] Ist das Trojanische Pferd TR/FakeAV.svg [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5e5769.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ivbmm.exe [FUND] Ist das Trojanische Pferd TR/Rimecud.A.1531 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19\2e9fe413-351a3039 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d235776.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33\599cb9a1-70b833c6 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d23574a.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35\3a2bdae3-492036de [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1c5772.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4\5ef22dc4-3824a723 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d505776.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\0.5822041811403891.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.art [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1f573f.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\1175754.exe [FUND] Ist das Trojanische Pferd TR/Spy.106496.365 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d215742.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\3005443.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Palevo.HW [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1a5741.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\491854.exe [FUND] Enthält Erkennungsmuster des Wurmes WORM/Autorun.bqiv [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1b574a.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\602.exe [FUND] Ist das Trojanische Pferd TR/Rimecud.A.1492 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d1c5741.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\8264714.exe [FUND] Ist das Trojanische Pferd TR/Rimecud.A.1531 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d205743.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brb.exe [FUND] Ist das Trojanische Pferd TR/Renos.HB [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4c5783.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brc.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4d5784.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brd.exe [FUND] Ist das Trojanische Pferd TR/Renos.HB [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4e5784.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Bre.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4f5784.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brf.exe [FUND] Ist das Trojanische Pferd TR/Renos.HB [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d505784.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brg.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d515784.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brh.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d525784.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Bri.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d535784.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brj.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d545784.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brk.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d555784.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brl.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d565784.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Brm.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d575784.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\d0j3wayh8v.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d545742.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dlge.exe [FUND] Ist das Trojanische Pferd TR/FakeAV.svg [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d51577e.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ewn2889x.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d585789.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\gdi32.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\gy8h7mx5zr.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d225797.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\h6jsdp.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d545754.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\hexdump.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library [HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert. C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\lkx6t.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d625795.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ll0qko4l.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\lsass.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mdm.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\nrosmawcxe.tmp [FUND] Ist das Trojanische Pferd TR/Kazy.3539 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5957aa.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\prt06fa.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5e57aa.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sshnas21.dll [FUND] Ist das Trojanische Pferd TR/Renos.HB [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5257ab.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sysedit.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\td5p1ipxj.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\uqeye.exe [FUND] Ist das Trojanische Pferd TR/Agent.HY.1224 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4f57b3.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\winamp.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5857ab.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wnx8l4j38clktf8.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d6257b0.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\wzLyM.exe [FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\driversxxx.exe\cleansweepupd.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4f57b4.qua' verschoben! C:\driversxxx.exe\driversxxx.exe [FUND] Ist das Trojanische Pferd TR/Meredrop.A.16261 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\reasrvxxxx.exe\reasrvxxxx.exe [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\WINDOWS\avp.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\WINDOWS\Btyvia.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d6357ca.qua' verschoben! C:\WINDOWS\Btyvib.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a62da3.qua' verschoben! C:\WINDOWS\Btyvic.exe [FUND] Ist das Trojanische Pferd TR/Fakealert.LH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47aae13b.qua' verschoben! C:\WINDOWS\drweb.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\WINDOWS\smss.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\WINDOWS\svchost.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\WINDOWS\user.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\WINDOWS\wininst.exe [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IRCBot.36864 [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\WINDOWS\system32\ctujce5y80.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.fdbj [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5f57eb.qua' verschoben! C:\WINDOWS\system32\eem1h.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.fdbj [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d5757dc.qua' verschoben! C:\WINDOWS\system32\sshnas21.dll [FUND] Ist das Trojanische Pferd TR/Renos.HB [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003 [WARNUNG] Die Datei konnte nicht gelöscht werden! [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4028f8cb.qua' verschoben! C:\WINDOWS\system32\uu7ln.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.fdbj [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d2157ee.qua' verschoben! C:\WINDOWS\system32\vglf3.dll [FUND] Ist das Trojanische Pferd TR/Ertfor.F [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\WINDOWS\system32\x3fz2zomin.dll [FUND] Ist das Trojanische Pferd TR/Ertfor.F [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\WINDOWS\system32\xblkaudp.dll [FUND] Ist das Trojanische Pferd TR/Ertfor.F [WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004 [WARNUNG] Die Quelldatei konnte nicht gefunden werden. [HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen. [WARNUNG] Fehler in der ARK Library C:\WINDOWS\Temp\u79317.sys [FUND] Ist das Trojanische Pferd TR/Agent.34304.17 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d2357c0.qua' verschoben! Ende des Suchlaufs: Montag, 22. November 2010 12:44 Benötigte Zeit: 21:36 Minute(n) Der Suchlauf wurde abgebrochen! 6408 Verzeichnisse wurden überprüft 411980 Dateien wurden geprüft 84 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 64 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 411894 Dateien ohne Befall 8652 Archive wurden durchsucht 26 Warnungen 86 Hinweise 36916 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden 2.) OTL logfileOTL Logfile: Code:
ATTFilter OTL logfile created on: 22.11.2010 12:47:10 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = L:\ Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 88,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 133,03 Gb Total Space | 117,41 Gb Free Space | 88,26% Space Free | Partition Type: NTFS Drive D: | 16,00 Gb Total Space | 11,72 Gb Free Space | 73,27% Space Free | Partition Type: NTFS Drive L: | 1,88 Gb Total Space | 0,10 Gb Free Space | 5,11% Space Free | Partition Type: FAT Computer Name: HP11977682828 | User Name: Administrator | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - L:\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH) PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe () PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svchost.exe () PRC - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dwm.exe () PRC - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Programme\TeamViewer\Version5\TeamViewer.exe (TeamViewer GmbH) PRC - C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe (TeamViewer GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\guardgui.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\PDF Complete\pdfsvc.exe (PDF Complete Inc) PRC - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe (Protexis Inc.) PRC - C:\Programme\TOSHIBA\TOSHIBA e-STUDIO Client\GLDocMon.exe () PRC - C:\Programme\TOSHIBA\TOSHIBA e-STUDIO Client\TOSHIBA e-BRIDGE Viewer\e-BRIDGE Viewer.exe (TOSHIBA TEC CORPORATION) PRC - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe (InterVideo) PRC - C:\Programme\TOSHIBA\TOSHIBA e-STUDIO Client\TOSHIBA e-BRIDGE Viewer\eBVServ.exe () PRC - C:\WINDOWS\SMINST\Scheduler.exe () ========== Modules (SafeList) ========== MOD - L:\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\system32\msvbvm60.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\dinput.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (SSHNAS) -- C:\WINDOWS\System32\sshnas21.dll File not found SRV - (0293411250701732mcinstcleanup) McAfee Application Installer Cleanup (0293411250701732) -- C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\029341~1.EXE File not found SRV - (TeamViewer5) -- C:\Programme\TeamViewer\Version5\TeamViewer_Service.exe (TeamViewer GmbH) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (pdfcDispatcher) -- C:\Programme\PDF Complete\pdfsvc.exe (PDF Complete Inc) SRV - (PSI_SVC_2) -- C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe (Protexis Inc.) SRV - (IviRegMgr) -- C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe (InterVideo) SRV - (eBVServ) -- C:\Programme\TOSHIBA\TOSHIBA e-STUDIO Client\TOSHIBA e-BRIDGE Viewer\eBVServ.exe () ========== Driver Services (SafeList) ========== DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (FSLX) -- C:\WINDOWS\system32\drivers\fslx.sys (Symantec Corp.) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation) DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation ) DRV - (regi) -- C:\WINDOWS\system32\drivers\regi.sys (InterVideo) DRV - (Iviaspi) -- C:\WINDOWS\system32\drivers\iviaspi.sys (InterVideo, Inc.) DRV - (iAimFP4) -- C:\WINDOWS\system32\drivers\wVchNTxx.sys (Intel(R) Corporation) DRV - (iAimFP3) -- C:\WINDOWS\system32\drivers\wSiINTxx.sys (Intel(R) Corporation) DRV - (iAimTV5) -- C:\WINDOWS\system32\drivers\wATV10nt.sys (Intel(R) Corporation) DRV - (iAimTV4) -- C:\WINDOWS\system32\drivers\wCh7xxNT.sys (Intel(R) Corporation) DRV - (iAimTV6) -- C:\WINDOWS\system32\drivers\wATV06nt.sys (Intel(R) Corporation) DRV - (iAimTV3) -- C:\WINDOWS\system32\drivers\wATV04nt.sys (Intel(R) Corporation) DRV - (iAimTV1) -- C:\WINDOWS\system32\drivers\wATV02NT.sys (Intel(R) Corporation) DRV - (iAimTV0) -- C:\WINDOWS\system32\drivers\wATV01nt.sys (Intel(R) Corporation) DRV - (iAimFP7) -- C:\WINDOWS\system32\drivers\wADV09NT.sys (Intel(R) Corporation) DRV - (iAimFP5) -- C:\WINDOWS\system32\drivers\wADV07nt.sys (Intel(R) Corporation) DRV - (iAimFP6) -- C:\WINDOWS\system32\drivers\wADV08NT.sys (Intel(R) Corporation) DRV - (i81x) -- C:\WINDOWS\system32\drivers\i81xnt5.sys (Intel(R) Corporation) DRV - (iAimFP0) -- C:\WINDOWS\system32\drivers\wADV01nt.sys (Intel(R) Corporation) DRV - (iAimFP1) -- C:\WINDOWS\system32\drivers\wADV02NT.sys (Intel(R) Corporation) DRV - (iAimFP2) -- C:\WINDOWS\system32\drivers\wADV05NT.sys (Intel(R) Corporation) DRV - (adpu320) -- C:\WINDOWS\system32\DRIVERS\adpu320.sys (Adaptec, Inc.) DRV - (Symmpi) -- C:\WINDOWS\system32\DRIVERS\symmpi.sys (LSI Logic) DRV - (fpcibase) -- C:\WINDOWS\system32\drivers\fpcibase.sys (AVM GmbH) DRV - (AVMWAN) -- C:\WINDOWS\system32\drivers\avmwan.sys (AVM GmbH) DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic) DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic) DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic) DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.) DRV - (ac97intc) Intel(r) 82801 Audiotreiber-Installationsdienst (WDM) -- C:\WINDOWS\system32\drivers\ac97intc.sys (Intel Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = HP® - Laptops, Desktop, Printers, Servers, and more IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = HP® - Laptops, Desktop, Printers, Servers, and more IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = HP® - Laptops, Desktop, Printers, Servers, and more IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = HP® - Laptops, Desktop, Printers, Servers, and more IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = QIP: ????? ? ????????? IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = QIP: ????? ? ????????? IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = QIP: ????? ? ????????? IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = QIP: ????? ? ????????? IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\..\URLSearchHook: {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKU\S-1-5-21-1361850054-40047553-1010693534-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50370 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "ICQ Search" FF - prefs.js..browser.search.selectedEngine: "ICQ Search" FF - prefs.js..browser.startup.homepage: "www.google.de" FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.6 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q=" FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.11.22 12:24:01 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.11.22 10:20:52 | 000,000,000 | ---D | M] [2009.08.19 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions [2010.11.19 13:29:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\extensions [2009.08.24 15:46:01 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.10.12 13:02:36 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\extensions\{800b5000-a755-47e1-992b-48a1c1357f07} [2010.11.19 09:14:36 | 000,000,961 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\searchplugins\icqplugin-1.xml [2010.10.12 13:02:36 | 000,000,168 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\searchplugins\icqplugin.gif [2010.10.12 13:02:36 | 000,000,618 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\searchplugins\icqplugin.src [2010.11.10 11:02:57 | 000,001,069 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\searchplugins\icqplugin.xml [2009.09.23 13:17:38 | 000,002,061 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\t7os2fw8.default\searchplugins\qipsearch.xml [2010.11.22 12:24:01 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.10.27 06:44:13 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.10.27 06:44:13 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.10.27 06:44:13 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.10.27 06:44:13 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.10.27 06:44:13 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.02.28 03:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (C:\WINDOWS\system32\ctujce5y80.dll) - {B1BA20C1-A503-59BD-F412-03B53A2C8951} - C:\WINDOWS\System32\ctujce5y80.dll File not found O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found. O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [PDF Complete] C:\Programme\PDF Complete\pdfsty.exe (PDF Complete Inc) O4 - HKLM..\Run: [Recguard] C:\WINDOWS\SMINST\Recguard.exe () O4 - HKLM..\Run: [Reminder] C:\WINDOWS\CREATOR\Remind_XP.exe () O4 - HKLM..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe () O4 - HKLM..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe (Hewlett-Packard Company) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [uPc+MV0NblcaXms] C:\WINDOWS\System32\x3fz2zomin.DLL File not found O4 - HKLM..\Run: [uPc+MV0NopbCxl] C:\WINDOWS\System32\xblkaudp.DLL File not found O4 - HKLM..\Run: [uPc+MV0NpKJsiv] C:\WINDOWS\System32\vglf3.DLL File not found O4 - HKLM..\Run: [viA3dSfc5ix] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wzLyM.exe File not found O4 - HKLM..\Run: [WatchDog] C:\Programme\InterVideo\DVD8SESD\DVDCheck.exe (InterVideo Inc.) O4 - HKU\.DEFAULT..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found O4 - HKU\.DEFAULT..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found O4 - HKU\.DEFAULT..\Run: [shitspykid.exe] C:\shitspykid.exe\shitspykid.exe File not found O4 - HKU\S-1-5-18..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found O4 - HKU\S-1-5-18..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found O4 - HKU\S-1-5-18..\Run: [shitspykid.exe] C:\shitspykid.exe\shitspykid.exe File not found O4 - HKU\S-1-5-19..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found O4 - HKU\S-1-5-20..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [{7B4FF62B-C9F3-52B3-DE9B-EE4AE5F6FD2A}] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa\cyinn.exe () O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [6BTOP2GA8A] C:\WINDOWS\Btyvic.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [cdoosoft] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\herss.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [EBViewer] C:\Programme\TOSHIBA\TOSHIBA e-STUDIO Client\TOSHIBA e-BRIDGE Viewer\e-BRIDGE Viewer.exe (TOSHIBA TEC CORPORATION) O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HJRUDZ5DT2] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Bri.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURoMc] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\gdi32.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURotc] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\hexdump.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURpeP] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ll0qko4l.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURpuc] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\lsass.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURpZ] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mdm.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURrOuc] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\td5p1ipxj.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [HPUGRQURrtc] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sysedit.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [MKasc] C:\WINDOWS\drweb.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [MKee] C:\WINDOWS\user.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [MKeg] C:\WINDOWS\smss.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [MKese] C:\WINDOWS\svchost.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [MKfre] C:\WINDOWS\wininst.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [MKZe] C:\WINDOWS\avp.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [ToshibaGLDocMon] C:\Programme\TOSHIBA\TOSHIBA e-STUDIO Client\GLDocMon.exe () O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [ugsoacgsco.exe] C:\ugsoacgsco.exe\ugsoacgsco.exe () O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [uPc+MV0NblcaXms] C:\WINDOWS\System32\x3fz2zomin.DLL File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [uPc+MV0NopbCxl] C:\WINDOWS\System32\xblkaudp.DLL File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [uPc+MV0NpKJsiv] C:\WINDOWS\System32\vglf3.DLL File not found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [yT] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wzLyM.exe File not found O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation) F3 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 WinNT: Load - (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dwm.exe) - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dwm.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.12.200 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.164.127,93.188.160.207 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: TaskMan - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ivbmm.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ivbmm.exe File not found O20 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe () O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation) O22 - SharedTaskScheduler: {B1BA20C1-A503-59BD-F412-03B53A2C8951} - uawhr987ry38w7rhawuig673fef - C:\WINDOWS\System32\ctujce5y80.dll File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2004.04.30 16:01:00 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ NTFS ] O33 - MountPoints2\{67333fea-f52e-11de-bda4-002421af5c8a}\Shell\AutoRun\command - "" = mi9al8rs.exe O33 - MountPoints2\{67333fea-f52e-11de-bda4-002421af5c8a}\Shell\open\Command - "" = mi9al8rs.exe O33 - MountPoints2\{acbcde91-8ce2-11de-bd1f-806d6172696f}\Shell - "" = AutoRun O33 - MountPoints2\{acbcde91-8ce2-11de-bd1f-806d6172696f}\Shell\AutoRun - "" = Auto&Play O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found NetSvcs: SSHNAS - C:\WINDOWS\System32\sshnas21.dll File not found SafeBootMin: Base - Driver Group SafeBootMin: Boot Bus Extender - Driver Group SafeBootMin: Boot file system - Driver Group SafeBootMin: File system - Driver Group SafeBootMin: Filter - Driver Group SafeBootMin: PCI Configuration - Driver Group SafeBootMin: PNP Filter - Driver Group SafeBootMin: Primary disk - Driver Group SafeBootMin: SCSI Class - Driver Group SafeBootMin: sermouse.sys - Driver SafeBootMin: System Bus Extender - Driver Group SafeBootMin: vds - Service SafeBootMin: vga.sys - Driver SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices SafeBootNet: Base - Driver Group SafeBootNet: Boot Bus Extender - Driver Group SafeBootNet: Boot file system - Driver Group SafeBootNet: File system - Driver Group SafeBootNet: Filter - Driver Group SafeBootNet: NDIS Wrapper - Driver Group SafeBootNet: NetBIOSGroup - Driver Group SafeBootNet: NetDDEGroup - Driver Group SafeBootNet: Network - Driver Group SafeBootNet: NetworkProvider - Driver Group SafeBootNet: PCI Configuration - Driver Group SafeBootNet: PNP Filter - Driver Group SafeBootNet: PNP_TDI - Driver Group SafeBootNet: Primary disk - Driver Group SafeBootNet: SCSI Class - Driver Group SafeBootNet: sermouse.sys - Driver SafeBootNet: Streams Drivers - Driver Group SafeBootNet: System Bus Extender - Driver Group SafeBootNet: TDI - Driver Group SafeBootNet: vga.sys - Driver SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906) ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {2F6EFCE6-10DF-49F9-9E64-9AE3775B2588} - Microsoft .NET Framework 1.1 Security Update (KB2416447) ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460) ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) CREATERESTOREPOINT Error starting restore point: System Restore is disabled. Error closing restore point: System Restore is disabled. ========== Files/Folders - Created Within 30 Days ========== [2010.11.22 11:59:13 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IECompatCache [2010.11.22 10:42:13 | 000,096,104 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2010.11.22 10:42:12 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntdd.sys [2010.11.22 10:42:12 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2010.11.22 10:42:12 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntmgr.sys [2010.11.22 10:42:12 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2010.11.19 12:33:35 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.11.22 12:46:00 | 000,000,262 | -H-- | M] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job [2010.11.22 12:24:02 | 000,001,566 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2010.11.22 12:14:02 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010.11.22 12:13:48 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2010.11.22 12:12:15 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.11.22 12:11:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.11.22 12:11:46 | 2136,133,632 | -HS- | M] () -- C:\hiberfil.sys [2010.11.22 10:42:38 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2010.11.19 12:33:54 | 000,000,214 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\scgdfgasfbh.bat [2010.11.18 15:30:26 | 000,316,360 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.11.22 12:24:02 | 000,001,566 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2010.11.22 10:42:38 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk [2010.11.19 12:33:56 | 000,000,304 | -H-- | C] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2010.11.19 12:33:54 | 000,000,214 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\scgdfgasfbh.bat [2010.11.19 12:33:48 | 000,000,304 | -H-- | C] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010.11.19 12:33:44 | 000,000,262 | -H-- | C] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job [2009.08.27 11:56:54 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\eSABLDLG.dll [2009.08.27 11:56:53 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\eSABLD.dll [2009.08.27 11:55:40 | 000,376,832 | ---- | C] () -- C:\WINDOWS\ES1Snmpp.dll [2009.08.27 11:55:40 | 000,237,568 | ---- | C] () -- C:\WINDOWS\eSDMLD.dll [2009.08.27 11:55:40 | 000,020,480 | ---- | C] () -- C:\WINDOWS\eSDMLDLG.dll [2009.08.27 11:55:39 | 000,540,815 | ---- | C] () -- C:\WINDOWS\ES1mi.dll [2009.08.27 11:54:49 | 000,147,456 | R--- | C] () -- C:\WINDOWS\eSINLD.dll [2009.08.27 11:54:49 | 000,024,576 | R--- | C] () -- C:\WINDOWS\SPortLG.dll [2009.08.27 11:54:48 | 000,286,720 | R--- | C] () -- C:\WINDOWS\eSTsnmp.dll [2009.08.27 11:54:48 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\eSTsnmp.dll [2009.08.27 11:54:48 | 000,020,480 | R--- | C] () -- C:\WINDOWS\eSINLDLG.dll [2009.08.27 11:54:33 | 000,009,913 | R--- | C] () -- C:\WINDOWS\DEN1_7.ini [2009.08.27 11:54:33 | 000,001,618 | R--- | C] () -- C:\WINDOWS\V_eS451c.ini [2009.08.21 11:08:49 | 000,023,552 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.08.19 15:02:30 | 000,000,403 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2009.08.19 14:54:53 | 000,303,104 | ---- | C] () -- C:\WINDOWS\System32\eST3snm.dll [2009.07.16 22:57:37 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4885.dll [2009.07.16 22:55:10 | 000,000,978 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2009.07.16 14:34:05 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2009.07.16 14:06:47 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2006.05.04 21:41:52 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [1999.01.22 19:46:58 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\MSRTEDIT.DLL ========== LOP Check ========== [2010.11.19 12:57:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ [2010.03.15 16:13:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org [2009.08.20 03:01:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SampleView [2010.01.08 12:36:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer [2010.06.06 22:48:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa [2010.11.22 12:22:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yxetc [2010.10.12 13:02:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2009.08.20 03:01:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\SampleView [2010.11.22 12:14:02 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010.11.22 12:46:00 | 000,000,262 | -H-- | M] () -- C:\WINDOWS\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job [2010.11.22 12:13:48 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2009.08.31 11:37:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe [2010.11.19 12:57:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ [2009.08.20 03:01:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Identities [2009.08.27 11:54:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield [2009.08.27 09:13:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia [2010.11.22 10:34:33 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft [2009.08.19 15:00:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft Web Folders [2009.08.19 21:17:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla [2010.03.15 16:13:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org [2009.08.20 03:01:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SampleView [2009.08.20 03:01:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun [2010.01.08 12:36:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TeamViewer [2010.06.06 22:48:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa [2010.11.22 12:22:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yxetc < %APPDATA%\*.exe /s > [2010.11.22 09:57:47 | 000,131,072 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svchost.exe [2010.11.22 10:34:43 | 000,207,360 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe [2010.06.06 22:48:03 | 000,130,560 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa\cyinn.exe < %SYSTEMDRIVE%\*.exe > < MD5 for: AGP440.SYS > [2006.02.28 08:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\i386\sp2.cab:AGP440.sys [2006.02.28 03:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys [2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys [2008.04.13 23:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys [2008.04.13 23:06:40 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys < MD5 for: AHCIX86.SYS > [2007.10.26 13:25:14 | 000,164,352 | ---- | M] (AMD Technologies Inc.) MD5=746C6E7AE2C6449F3CF3CF0D5E3A9222 -- C:\compaq\HPBackup\update\DRIVERS\STORAGE\ahcix86.sys [2007.10.26 13:25:14 | 000,164,352 | ---- | M] (AMD Technologies Inc.) MD5=746C6E7AE2C6449F3CF3CF0D5E3A9222 -- C:\WINDOWS\DRIVERS\STORAGE\ahcix86.sys < MD5 for: ATAPI.SYS > [2006.02.28 08:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\i386\sp2.cab:atapi.sys [2006.02.28 03:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2008.04.14 07:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys [2008.04.13 23:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2008.04.13 23:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys [2004.08.03 21:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys [2004.08.03 16:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0003\DriverFiles\i386\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 06:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll [2008.04.14 06:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll [2006.02.28 03:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll < MD5 for: EXPLORER.EXE > [2006.02.28 03:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe [2008.04.14 06:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=F62B7DB89B04823F00F3A34838544F26 -- C:\WINDOWS\explorer.exe < MD5 for: NETLOGON.DLL > [2008.04.14 06:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll [2008.04.14 06:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll [2006.02.28 03:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll < MD5 for: NVGTS.SYS > [2007.12.13 15:03:34 | 000,102,400 | ---- | M] (NVIDIA Corporation) MD5=4BA137ADC66DBA401718FD6FA6E3F3BC -- C:\compaq\HPBackup\update\DRIVERS\STORAGE\nvgts.sys [2007.12.13 15:03:34 | 000,102,400 | ---- | M] (NVIDIA Corporation) MD5=4BA137ADC66DBA401718FD6FA6E3F3BC -- C:\WINDOWS\DRIVERS\STORAGE\nvgts.sys < MD5 for: SCECLI.DLL > [2008.04.14 06:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll [2008.04.14 06:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll [2006.02.28 03:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll < MD5 for: USER32.DLL > [2006.02.28 03:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll [2008.04.14 06:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll [2008.04.14 06:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll < MD5 for: USERINIT.EXE > [2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 06:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe [2006.02.28 03:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: WINLOGON.EXE > [2006.02.28 03:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=66EF8ABDE16AC4D7057A32A24FAB1D5A -- C:\WINDOWS\system32\winlogon.exe [2008.04.14 06:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe < MD5 for: WS2IFSL.SYS > [2006.02.28 03:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2006.05.04 23:27:28 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2006.05.04 23:27:28 | 000,663,552 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2006.05.04 23:27:28 | 000,405,504 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [4 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < End of report > OTL Extras logfileOTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 22.11.2010 12:47:10 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = L:\ Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 74,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 88,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 133,03 Gb Total Space | 117,41 Gb Free Space | 88,26% Space Free | Partition Type: NTFS Drive D: | 16,00 Gb Total Space | 11,72 Gb Free Space | 73,27% Space Free | Partition Type: NTFS Drive L: | 1,88 Gb Total Space | 0,10 Gb Free Space | 5,11% Space Free | Partition Type: FAT Computer Name: HP11977682828 | User Name: Administrator | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_USERS\S-1-5-21-1361850054-40047553-1010693534-500\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation) htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "EnableFirewall" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe" = C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe:*:Enabled:Managed Services Agent -- File not found "C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.) "C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\SMINST\Scheduler.exe" = C:\WINDOWS\SMINST\Scheduler.exe:*:Enabled:Scheduler -- () "C:\Programme\TeamViewer\Version5\TeamViewer.exe" = C:\Programme\TeamViewer\Version5\TeamViewer.exe:*:Enabled:Teamviewer Remote Control Application -- (TeamViewer GmbH) "C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation) "C:\Programme\ICQ7.2\ICQ.exe" = C:\Programme\ICQ7.2\ICQ.exe:*:Enabled:ICQ7.2 -- (ICQ, LLC.) "C:\Programme\ICQ7.2\aolload.exe" = C:\Programme\ICQ7.2\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{00010407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Professional "{028ED9C4-25EE-4DEE-9CF4-91034BC89B18}" = Microsoft SQL Server 2005 Express Edition (MSSMLBIZ) "{07629207-FAA0-4F1A-8092-BF5085BE511F}" = Unterstützungsdateien für das Microsoft SQL Server-Setup (Englisch) "{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2 "{1D1D8ADC-BF08-4E61-9393-5FA305B16864}" = Microsoft SQL Server Native Client "{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18 "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{3F9F7336-6DF8-476F-ABF6-C70A17FAF619}" = HP Backup and Recovery Manager "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{4cb9f93c-9edc-4be9-ae61-af128ddbecfa}" = Business Contact Manager für Outlook 2007 "{5C759B74-34F4-43C6-A5D9-039CB754C5E9}" = Microsoft SQL Server VSS Writer "{5FEBF468-5AC2-4C66-AD80-DF85C085AA73}" = InterVideo WinDVD 8 "{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2 "{7D8DBB7C-1C55-4950-A107-043C164F379A}" = Software Virtualization Agent "{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU "{909B62B0-8ACA-4061-A83B-09CAEF609619}" = MSXML 6.0 Parser "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable "{A93C4E94-1005-489D-BEAA-B873C1AA6CFC}" = HP Help and Support "{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch "{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9 "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C63E7C60-25EB-11D3-8EDA-00A0C911E8E5}" = Microsoft Outlook-Sicherung für Persönliche Ordner "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D58CCA0A-43D8-4DC7-80C8-F715FC4D7C72}" = TOSHIBA e-STUDIO451c Series Client "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "AGFEO TK-Soft 32" = AGFEO TK-Soft 32 "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "Business Contact Manager für Outlook 2007" = Business Contact Manager für Outlook 2007 "HDMI" = Intel(R) Graphics Media Accelerator Driver "ie8" = Windows Internet Explorer 8 "InstallShield_{5FEBF468-5AC2-4C66-AD80-DF85C085AA73}" = InterVideo WinDVD 8 "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Microsoft SQL Server 2005" = Microsoft SQL Server 2005 "Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12) "PDF Complete" = PDF Complete "TeamViewer 5" = TeamViewer 5 "Windows XP Service Pack" = Windows XP Service Pack 3 ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 22.11.2010 07:03:26 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 22.11.2010 07:08:01 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b. Error - 22.11.2010 07:20:41 | Computer Name = HP11977682828 | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung setup.exe, Version 1.0.0.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 22.11.2010 07:22:25 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b. Error - 22.11.2010 07:23:20 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b. Error - 22.11.2010 07:23:35 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b. Error - 22.11.2010 07:28:52 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 22.11.2010 07:31:46 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 22.11.2010 07:32:13 | Computer Name = HP11977682828 | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung guardgui.exe, Version 9.0.3.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 22.11.2010 07:12:35 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . [ Application Events ] Error - 22.11.2010 07:03:26 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 22.11.2010 07:08:01 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b. Error - 22.11.2010 07:20:41 | Computer Name = HP11977682828 | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung setup.exe, Version 1.0.0.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 22.11.2010 07:22:25 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b. Error - 22.11.2010 07:23:20 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b. Error - 22.11.2010 07:23:35 | Computer Name = HP11977682828 | Source = Application Error | ID = 1000 Description = Fehlgeschlagene Anwendung outlook.exe, Version 9.0.0.2416, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x31e4b10b. Error - 22.11.2010 07:28:52 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 22.11.2010 07:31:46 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 22.11.2010 07:32:13 | Computer Name = HP11977682828 | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung guardgui.exe, Version 9.0.3.0, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Error - 22.11.2010 07:12:35 | Computer Name = HP11977682828 | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . [ System Events ] Error - 22.11.2010 06:38:33 | Computer Name = HP11977682828 | Source = Ftdisk | ID = 262189 Description = Das System konnte den Treiber für das Speicherabbild nicht laden. Error - 22.11.2010 06:38:33 | Computer Name = HP11977682828 | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. Error - 22.11.2010 06:44:59 | Computer Name = HP11977682828 | Source = DCOM | ID = 10010 Description = Der Server "{4991D34B-80A1-4291-83B6-3328366B9097}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Error - 22.11.2010 06:44:59 | Computer Name = HP11977682828 | Source = DCOM | ID = 10010 Description = Der Server "{8BC3F05E-D86B-11D0-A075-00C04FB68820}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden. Error - 22.11.2010 07:08:51 | Computer Name = HP11977682828 | Source = Ftdisk | ID = 262189 Description = Das System konnte den Treiber für das Speicherabbild nicht laden. Error - 22.11.2010 07:08:51 | Computer Name = HP11977682828 | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. Error - 22.11.2010 07:12:15 | Computer Name = HP11977682828 | Source = Ftdisk | ID = 262189 Description = Das System konnte den Treiber für das Speicherabbild nicht laden. Error - 22.11.2010 07:12:15 | Computer Name = HP11977682828 | Source = Ftdisk | ID = 262193 Description = Die Konfiguration der Auslagerungsdatei für das Speicherabbild ist fehlgeschlagen. Stellen Sie sicher, dass eine Auslagerungsdatei auf der Startpartition vorhanden ist und dass diese groß genug ist, um den gesamten physikalischen Speicher abbilden zu können. Error - 22.11.2010 07:47:34 | Computer Name = HP11977682828 | Source = SRService | ID = 104 Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen. Error - 22.11.2010 07:47:34 | Computer Name = HP11977682828 | Source = Service Control Manager | ID = 7023 Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler beendet: %%2 < End of report > |
22.11.2010, 14:27 | #4 |
/// Malware-holic | AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! rechtsklick avira schirm, guard deaktivieren. • Starte bitte die OTL.exe • Kopiere nun das Folgende in die Textbox. :OTL PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe () PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svchost.exe () PRC - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dwm.exe () SRV - (SSHNAS) -- C:\WINDOWS\System32\sshnas21.dll File not found SRV - (0293411250701732mcinstcleanup) McAfee Application Installer Cleanup (0293411250701732) -- C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\029341~1.EXE File not found O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [{7B4FF62B-C9F3-52B3-DE9B-EE4AE5F6FD2A}] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa\cyinn.exe () O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [ugsoacgsco.exe] C:\ugsoacgsco.exe\ugsoacgsco.exe () F3 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 WinNT: Load - (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dwm.exe) - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dwm.exe () O20 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe () [2010.11.19 12:33:35 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server [2010.11.22 12:46:00 | 000,000,262 | -H-- | M] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job [2010.11.22 12:14:02 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010.11.22 12:13:48 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2010.11.19 12:33:54 | 000,000,214 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\scgdfgasfbh.bat [2010.06.06 22:48:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa [2010.11.22 12:22:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yxetc O4 - HKLM..\Run: [uPc+MV0NblcaXms] C:\WINDOWS\System32\x3fz2zomin.DLL File not found O4 - HKLM..\Run: [uPc+MV0NopbCxl] C:\WINDOWS\System32\xblkaudp.DLL File not found O4 - HKLM..\Run: [uPc+MV0NpKJsiv] C:\WINDOWS\System32\vglf3.DLL File not found O4 - HKLM..\Run: [viA3dSfc5ix] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wzLyM.exe File not found O4 - HKU\.DEFAULT..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found O4 - HKU\.DEFAULT..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found O4 - HKU\.DEFAULT..\Run: [shitspykid.exe] C:\shitspykid.exe\shitspykid.exe File not found O4 - HKU\S-1-5-18..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found O4 - HKU\S-1-5-18..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found O4 - HKU\S-1-5-18..\Run: [shitspykid.exe] C:\shitspykid.exe\shitspykid.exe File not found O4 - HKU\S-1-5-19..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found O4 - HKU\S-1-5-20..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] • Schliesse bitte nun alle Programme. • Klicke nun bitte auf den Fix Button. • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen. • Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten. öffne den arbeitsplatz, c: dann _OTL dort rechtsklick auf moved files wähle zu moved files.rar oder zip hinzufügen. lade das archiv in unserem upload channel hoch. http://www.trojaner-board.de/54791-a...ner-board.html
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
22.11.2010, 14:51 | #5 |
| AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! Es klappt zwar, dass der PC neu startet, aber irgendwie öffnet sich keine Textdatei bzw. der Ordner mit moved files ist leer. Kann das sein? Ich gehe eher davon aus, dass ich etwas falsch gemacht habe! Bei der Anleitung für Upload channel für Windows XP kann ich unter Extras keine Ordneroptionen finden sondern nur synchronisieren und Netzlaufwerk verbinden oder trennen?!? |
22.11.2010, 14:55 | #6 |
/// Malware-holic | AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! ordneroptionen können so bleiben :OTL PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe () PRC - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svchost.exe () PRC - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dwm.exe () SRV - (SSHNAS) -- C:\WINDOWS\System32\sshnas21.dll File not found SRV - (0293411250701732mcinstcleanup) McAfee Application Installer Cleanup (0293411250701732) -- C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\029341~1.EXE File not found O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [{7B4FF62B-C9F3-52B3-DE9B-EE4AE5F6FD2A}] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa\cyinn.exe () O4 - HKU\S-1-5-21-1361850054-40047553-1010693534-500..\Run: [ugsoacgsco.exe] C:\ugsoacgsco.exe\ugsoacgsco.exe () F3 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 WinNT: Load - (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\dwm.exe) - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dwm.exe () O20 - HKU\S-1-5-21-1361850054-40047553-1010693534-500 Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe () [2010.11.19 12:33:35 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server [2010.11.22 12:46:00 | 000,000,262 | -H-- | M] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job [2010.11.22 12:14:02 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010.11.22 12:13:48 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2010.11.19 12:33:54 | 000,000,214 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\scgdfgasfbh.bat [2010.06.06 22:48:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa [2010.11.22 12:22:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yxetc O4 - HKLM..\Run: [uPc+MV0NblcaXms] C:\WINDOWS\System32\x3fz2zomin.DLL File not found O4 - HKLM..\Run: [uPc+MV0NopbCxl] C:\WINDOWS\System32\xblkaudp.DLL File not found O4 - HKLM..\Run: [uPc+MV0NpKJsiv] C:\WINDOWS\System32\vglf3.DLL File not found O4 - HKLM..\Run: [viA3dSfc5ix] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wzLyM.exe File not found O4 - HKU\.DEFAULT..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found O4 - HKU\.DEFAULT..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found O4 - HKU\.DEFAULT..\Run: [shitspykid.exe] C:\shitspykid.exe\shitspykid.exe File not found O4 - HKU\S-1-5-18..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found O4 - HKU\S-1-5-18..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found O4 - HKU\S-1-5-18..\Run: [shitspykid.exe] C:\shitspykid.exe\shitspykid.exe File not found O4 - HKU\S-1-5-19..\Run: [driversxxx.exe] C:\driversxxx.exe\driversxxx.exe File not found O4 - HKU\S-1-5-20..\Run: [reasrvxxxx.exe] C:\reasrvxxxx.exe\reasrvxxxx.exe File not found :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] das wie beschrieben reinkopieren und auf fix klicken, dann sollte es los gehen. wenn nicht, starte mal im abgesichertem modus ohne netzwerk, sollte die f8-taste sein, dann abgesicherter modus wählen, und noch mal probieren
__________________ --> AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! |
22.11.2010, 15:34 | #7 |
| AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! So, ich habe es jetzt im abgesicherten Modus durchgeführt, weil im normalen Modus ist er nicht ausgegangen! Aber irgendwie scheint die Datei trotzdem leer zu sein?!? Ich habe sie jetzt mal hochgeladen! |
22.11.2010, 15:44 | #8 |
/// Malware-holic | AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! versuchen wirs anders bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
22.11.2010, 16:28 | #9 |
| AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! So, also ich habe combofix mehrmals runtergeladen und versucht es auszuführen. Vorher habe ich natürlich alle Programme geschlossen, combofix auf dem Desktop runtergeladen, aber combofix startet einfach nicht Soll ich es wieder im abgesicherten Modus probieren oder bringt es hier nichts? |
22.11.2010, 16:36 | #10 |
/// Malware-holic | AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! lade den avenger, kopiere das script ein wie beschrieben Avenger Files to delete: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Windows\shell.exe C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\svchost.exe C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\dwm.exe folders to delete: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uqsa C:\ugsoacgsco.exe C:\Dokumente und Einstellungen\All Users\Dokumente\Server C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Yxetc führe das programm wie beschrieben aus, nach neustart sollte ein log geöffnet werden, dessen inhalt posten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
22.11.2010, 16:47 | #11 |
| AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! Ok, hab ich gemacht. PC wurde herunter gefahren und jetzt versucht er den neu zu starten. Ich glaube mittlerweile schon zum 6ten oder 7ten mal. Ist das normal, dass das so lange dauert und er den PC mehrfach neu startet? |
22.11.2010, 16:48 | #12 |
/// Malware-holic | AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! nein, gibts ne fehlermeldung? cd rom laufwerk + roling zur verfügung?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
22.11.2010, 16:54 | #13 |
| AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! ja, cd-rom-laufwerk und rohling vorhanden, aber kein brenner! was nun? |
22.11.2010, 16:56 | #14 |
/// Malware-holic | AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! naja wir müssen aber wohl was brennen, damit wir den pc zum laufen bekommen, der ist sowieso so stark verseucht, da müssen wir erst mal schauen ob wir den überhaupt noch säubern sollen. keinen bekannten mit brenner in der nähe?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
22.11.2010, 16:58 | #15 |
| AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! Achso. Der Brenner muss jetzt nicht in meinem PC sein? Der PC meiner Kollegin, an dem ich gerade sitze hat einen Brenner. So verseucht??? Was habe ich mir denn da eingefangen und wie??? Mein Chef bringt mich um |
Themen zu AVIRA meldet andauernd Trojaner TR/Fakealert.LH und TR/Dldr.Agent.fdbj und vieles mehr! |
.dll, arbeitsplatz, avira, datei, dateien, explorer, fehlermeldung, firefox, funktioniert, internet, internet explorer, löschen, mozilla, neu, nicht mehr, problem, programm, programme, rechner, seite, senden, starten, super, tipps, trojaner, zugriff |