|
Plagegeister aller Art und deren Bekämpfung: TR/Spy.51302422 in winlogon.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.11.2010, 14:42 | #1 |
| TR/Spy.51302422 in winlogon.exe Hallo, vor kurzem habe ich mir einen Virus eingefangen der sich RKIT/Bubnix.abd.1 schimpfte, dieser wurde aber erfolgreich gelöscht, folglich hatte ich danach eine Zeit lang Ruhe, auch nach dem rebooten, nun allerdings meldet mir Antivir bereits beim Start folgende Trojaner: TR/Spy.51302422 in der winlogon.exe / explorer.exe TR/PSW.LDPinch.agkv RKIT/Bubnix.abd.1 ich habe versucht MBAM durchlaufen zu lassen allerdings meldet es mir das mein PC in Ordnung sei, aktualisieren kann ich MBAM allerdings nicht da ich während der Aktualisierung einen Blue Screen bekomme. Daher kann ich leider nur einen HijackThis logfile anbieten. Hoffe ihr könnt mir helfen, bin für jede Hilfe dankbar! Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 13:27:50, on 22.11.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\o2flash.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Pando Networks\Media Booster\PMB.exe C:\Dokumente und Einstellungen\Sphirex\Startmenü\Programme\Autostart\algdyw32.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\alg.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: algdyw32.exe O8 - Extra context menu item: Suche - hxxp://edits.myway.com/menusearch.jhtml?s=100000379&p=YI&si=&a=9306CC2F-1DF4-44F7-9E3E-34BC07395E94&n=2010081211 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1279027909359 O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe -- End of file - 6150 bytes |
22.11.2010, 14:58 | #2 |
/// Malwareteam | TR/Spy.51302422 in winlogon.exeEine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Schritt 1 CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs drivers32 /all %SYSTEMDRIVE%\*.* %systemroot%\system32\*.wt %systemroot%\system32\*.ruy %systemroot%\Fonts\*.com %systemroot%\Fonts\*.dll %systemroot%\Fonts\*.ini %systemroot%\Fonts\*.ini2 %systemroot%\system32\spool\prtprocs\w32x86\*.* %systemroot%\REPAIR\*.bak1 %systemroot%\REPAIR\*.ini %systemroot%\system32\*.jpg %systemroot%\*.scr %systemroot%\*._sy %APPDATA%\Adobe\Update\*.* %ALLUSERSPROFILE%\Favorites\*.* %APPDATA%\Microsoft\*.* %PROGRAMFILES%\*.* %APPDATA%\Update\*.* %systemroot%\*. /mp /s CREATERESTOREPOINT %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\user32.dll /md5 %systemroot%\system32\ws2_32.dll /md5 %systemroot%\system32\ws2help.dll /md5 /md5start explorer.exe winlogon.exe wininit.exe /md5stop HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
Schritt 2 Rootkit-Suche mit Gmer Was sind Rootkits? Wichtig: Bei jedem Rootkit-Scans soll/en:
Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Nun das Logfile in Code-Tags posten. |
22.11.2010, 15:32 | #3 |
| TR/Spy.51302422 in winlogon.exe Erstmal danke für die schnelle und ausführliche Hilfe!
__________________Habe alles wie beschrieben durchgeführt, hier die logfiles: OTL Code:
ATTFilter OTL logfile created on: 22.11.2010 15:10:05 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\Sphirex\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 894,00 Mb Total Physical Memory | 480,00 Mb Available Physical Memory | 54,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free Paging file location(s): C:\pagefile.sys 1344 2688 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 93,15 Gb Total Space | 48,04 Gb Free Space | 51,58% Space Free | Partition Type: NTFS Computer Name: ALEXANDE-455B05 | User Name: Sphirex | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe PRC - [2010.10.08 17:43:05 | 002,969,496 | ---- | M] () -- C:\Programme\Pando Networks\Media Booster\PMB.exe PRC - [2010.06.10 20:03:08 | 000,144,176 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe PRC - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2008.04.14 03:23:05 | 000,513,024 | ---- | M] () -- C:\WINDOWS\system32\winlogon.exe PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] () -- C:\WINDOWS\explorer.exe PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe PRC - [2005.01.27 16:33:58 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\o2flash.exe ========== Modules (SafeList) ========== MOD - [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe MOD - [2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\system32\charonce.dll ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt) SRV - [2010.09.23 09:34:53 | 002,950,744 | ---- | M] () [Auto | Running] -- c:\Programme\Gemeinsame Dateien\Akamai\netsession_win_062a651.dll -- (Akamai) SRV - [2010.06.10 20:03:08 | 000,144,176 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2005.01.27 16:33:58 | 000,036,864 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\o2flash.exe -- (O2Flash) SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany) DRV - [2009.11.25 11:19:02 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.05.11 09:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.03.30 09:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2008.04.13 19:45:12 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbaudio.sys -- (usbaudio) USB-Audiotreiber (WDM) DRV - [2008.04.13 18:40:58 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\changer.sys -- (Changer) DRV - [2008.04.13 18:40:26 | 000,034,688 | ---- | M] (Toshiba Corp.) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\lbrtfdc.sys -- (lbrtfdc) DRV - [2008.04.13 17:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus) DRV - [2006.12.21 17:05:22 | 001,294,336 | ---- | M] (C-Media Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cm108.sys -- (CM1083264) DRV - [2006.05.10 11:27:00 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8) DRV - [2006.04.17 16:31:26 | 004,262,912 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2006.04.04 21:58:44 | 001,536,000 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2006.03.23 01:27:10 | 000,488,992 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211) DRV - [2006.02.27 15:00:50 | 000,034,880 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\o2media.sys -- (O2MDRDR) DRV - [2006.02.20 16:01:06 | 000,029,056 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\o2sd.sys -- (O2SDRDR) DRV - [2006.01.20 12:44:42 | 000,862,340 | ---- | M] (Motorola Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\smserial.sys -- (smserial) DRV - [2005.09.30 11:11:42 | 000,078,720 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp) DRV - [2004.08.03 22:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {B770C2A8-19D4-4A43-8F35-801F5EFBB275}:1.9.1 FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=" FF - HKLM\software\mozilla\Firefox\Extensions\\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}: C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275} [2010.10.09 15:09:59 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.19 17:17:08 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.09.16 19:42:14 | 000,000,000 | ---D | M] [2010.02.25 20:16:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Extensions [2010.08.12 21:28:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\extensions [2010.07.02 18:49:57 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}(2) [2010.10.15 11:18:05 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.07.08 07:21:40 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.07.08 07:21:40 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.07.08 07:21:40 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.07.08 07:21:40 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.07.08 07:21:40 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.) O4 - HKCU..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe () O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0 O9 - Extra Button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (PokerStars) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1279027909359 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe () O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.02.25 13:37:12 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: bootyi64 - (C:\WINDOWS\system32\charonce.dll) - C:\WINDOWS\system32\charonce.dll () O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - C:\WINDOWS\System32\appmgmts.dll File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: aux1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: aux2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midi1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midi2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midi3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation) Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: mixer1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: mixer2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: mixer3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation) Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation) Drivers32: msacm.l3acm - C:\Programme\GameHi_USA\SuddenAttackNA\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS) Drivers32: msacm.lameacm - C:\WINDOWS\System32\lameACM.acm (hxxp://www.mp3dev.org/) Drivers32: msacm.lhacm - C:\WINDOWS\System32\lhacm.acm (Microsoft Corporation) Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation) Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation) Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation) Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation) Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation) Drivers32: msacm.siren - C:\WINDOWS\System32\sirenacm.dll (Microsoft Corporation) Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.) Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.) Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.) Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.) Drivers32: vidc.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation) Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll () Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation) Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation) Drivers32: vidc.iyuv - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation) Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation) Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation) Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation) Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation) Drivers32: vidc.uyvy - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: vidc.yuy2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.) Drivers32: vidc.yvu9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation) Drivers32: vidc.yvyu - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation) Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: wave1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: wave2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: wave3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation) Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation) CREATERESTOREPOINT Restore point Set: OTL Restore Point (15776209447157760) ========== Files/Folders - Created Within 30 Days ========== [2010.11.22 13:10:15 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe [2010.11.22 13:10:12 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe [2010.11.22 13:10:10 | 006,153,352 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\mbam-setup-1.46.exe [2010.10.09 15:14:06 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2010.10.09 15:13:59 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2010.10.09 14:21:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server [2010.10.09 10:38:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\Logs [2010.08.16 14:35:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\microsoft [2010.07.13 15:08:56 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates [2010.07.13 15:08:36 | 000,000,000 | ---D | C] -- C:\WINDOWS\WBEM [2010.07.13 15:06:40 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8 [33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.11.22 15:14:36 | 000,840,192 | ---- | M] () -- C:\WINDOWS\System32\drivers\bxsevl.sys [2010.11.22 15:14:35 | 000,565,248 | ---- | M] () -- C:\WINDOWS\System32\drivers\dkbuoqmj.sys [2010.11.22 15:08:14 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.11.22 15:05:16 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe [2010.11.22 13:56:45 | 003,426,432 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.11.22 13:11:12 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job [2010.11.22 13:10:50 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe [2010.11.22 13:06:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.11.22 13:05:14 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe [2010.11.22 13:00:10 | 006,153,352 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\mbam-setup-1.46.exe [2010.11.20 15:23:00 | 000,496,152 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.11.20 15:23:00 | 000,472,176 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.11.20 15:23:00 | 000,100,610 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.11.20 15:23:00 | 000,084,048 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2010.10.15 16:12:32 | 000,053,248 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.10.15 15:18:18 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Jyucoweqoharu.dat [2010.10.15 11:13:35 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Yrumago.bin [2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\System32\charonce.dll [2010.10.05 19:13:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2010.08.23 20:24:34 | 000,000,740 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PokerStars.net.lnk [2010.08.20 00:20:01 | 000,000,667 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\paw·ned².lnk [2010.08.18 17:04:57 | 000,000,584 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GUILD WARS.lnk [2010.08.10 23:28:48 | 000,000,132 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe GIF Format CS5 Prefs [2010.08.10 22:54:31 | 000,000,132 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe PNG Format CS5 Prefs [2010.08.08 19:47:14 | 000,000,132 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe BMP Format CS5 Prefs [2010.08.05 14:46:38 | 000,000,048 | -H-- | M] () -- C:\WINDOWS\System32\ezsidmv.dat [2010.07.11 15:47:57 | 000,000,846 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Advanced SystemCare.lnk [2010.05.29 13:51:33 | 000,019,856 | -H-- | M] () -- C:\WINDOWS\System32\mlfcache.dat [33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.11.22 15:09:29 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe [2010.11.22 13:10:50 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.10.18 09:11:49 | 000,840,192 | ---- | C] () -- C:\WINDOWS\System32\drivers\bxsevl.sys [2010.10.09 15:28:01 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\drivers\dkbuoqmj.sys [2010.10.09 15:10:02 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Jyucoweqoharu.dat [2010.10.09 15:10:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Yrumago.bin [2010.10.09 15:08:08 | 000,050,688 | -H-- | C] () -- C:\WINDOWS\System32\charonce.dll [2010.10.09 15:08:06 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat [2010.08.23 20:24:34 | 000,000,740 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\PokerStars.net.lnk [2010.08.20 00:20:01 | 000,000,667 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\paw·ned².lnk [2010.08.17 16:08:00 | 000,000,584 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GUILD WARS.lnk [2010.08.14 15:52:48 | 000,000,422 | -H-- | C] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job [2010.08.10 22:54:31 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe PNG Format CS5 Prefs [2010.08.10 22:52:33 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe GIF Format CS5 Prefs [2010.08.08 19:47:14 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe BMP Format CS5 Prefs [2010.08.05 14:46:38 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2010.07.11 15:47:57 | 000,000,846 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Advanced SystemCare.lnk [2010.06.24 19:13:08 | 000,047,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativvpxx.vp [2010.06.24 19:13:08 | 000,002,096 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativdkxx.vp [2010.06.24 19:13:08 | 000,002,096 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativckxx.vp [2010.06.24 19:13:08 | 000,000,929 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativcaxx.vp [2010.06.24 19:13:07 | 000,370,049 | ---- | C] () -- C:\WINDOWS\System32\atmthaxx.hlx [2010.06.24 19:13:07 | 000,356,937 | ---- | C] () -- C:\WINDOWS\System32\atmtrkxx.hlx [2010.06.24 19:13:07 | 000,141,754 | ---- | C] () -- C:\WINDOWS\System32\attkorxx.hlx [2010.06.24 19:13:07 | 000,141,746 | ---- | C] () -- C:\WINDOWS\System32\atmsvexx.hlx [2010.06.24 19:13:07 | 000,124,376 | ---- | C] () -- C:\WINDOWS\System32\attjpnxx.hlx [2010.06.24 19:13:07 | 000,120,302 | ---- | C] () -- C:\WINDOWS\System32\atttrkxx.hlx [2010.06.24 19:13:07 | 000,045,991 | ---- | C] () -- C:\WINDOWS\System32\attchsxx.hlx [2010.06.24 19:13:07 | 000,045,762 | ---- | C] () -- C:\WINDOWS\System32\attellxx.hlx [2010.06.24 19:13:07 | 000,045,716 | ---- | C] () -- C:\WINDOWS\System32\atthunxx.hlx [2010.06.24 19:13:07 | 000,045,632 | ---- | C] () -- C:\WINDOWS\System32\atthebxx.hlx [2010.06.24 19:13:07 | 000,045,580 | ---- | C] () -- C:\WINDOWS\System32\attrusxx.hlx [2010.06.24 19:13:07 | 000,045,411 | ---- | C] () -- C:\WINDOWS\System32\attfraxx.hlx [2010.06.24 19:13:07 | 000,045,352 | ---- | C] () -- C:\WINDOWS\System32\attptbxx.hlx [2010.06.24 19:13:07 | 000,044,980 | ---- | C] () -- C:\WINDOWS\System32\attespxx.hlx [2010.06.24 19:13:07 | 000,044,814 | ---- | C] () -- C:\WINDOWS\System32\attdeuxx.hlx [2010.06.24 19:13:07 | 000,044,687 | ---- | C] () -- C:\WINDOWS\System32\attdanxx.hlx [2010.06.24 19:13:07 | 000,044,635 | ---- | C] () -- C:\WINDOWS\System32\attchtxx.hlx [2010.06.24 19:13:07 | 000,044,514 | ---- | C] () -- C:\WINDOWS\System32\attcsyxx.hlx [2010.06.24 19:13:07 | 000,044,430 | ---- | C] () -- C:\WINDOWS\System32\attplkxx.hlx [2010.06.24 19:13:07 | 000,044,109 | ---- | C] () -- C:\WINDOWS\System32\attitaxx.hlx [2010.06.24 19:13:07 | 000,043,526 | ---- | C] () -- C:\WINDOWS\System32\attnldxx.hlx [2010.06.24 19:13:07 | 000,043,310 | ---- | C] () -- C:\WINDOWS\System32\attfinxx.hlx [2010.06.24 19:13:07 | 000,043,288 | ---- | C] () -- C:\WINDOWS\System32\attnorxx.hlx [2010.06.24 19:13:07 | 000,043,070 | ---- | C] () -- C:\WINDOWS\System32\attaraxx.hlx [2010.06.24 19:13:07 | 000,041,943 | ---- | C] () -- C:\WINDOWS\System32\attthaxx.hlx [2010.06.24 19:13:07 | 000,041,265 | ---- | C] () -- C:\WINDOWS\System32\attsvexx.hlx [2010.06.24 19:13:07 | 000,040,651 | ---- | C] () -- C:\WINDOWS\System32\attenuxx.hlx [2010.06.24 19:13:06 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativvaxx.dat [2010.06.24 19:13:06 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat [2010.06.24 19:13:06 | 001,311,202 | ---- | C] () -- C:\WINDOWS\System32\drivers\ativcaxx.cpa [2010.06.24 19:13:06 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat [2010.06.24 19:13:06 | 000,473,475 | ---- | C] () -- C:\WINDOWS\System32\atmkorxx.hlx [2010.06.24 19:13:06 | 000,399,936 | ---- | C] () -- C:\WINDOWS\System32\atmjpnxx.hlx [2010.06.24 19:13:06 | 000,353,829 | ---- | C] () -- C:\WINDOWS\System32\atmrusxx.hlx [2010.06.24 19:13:06 | 000,189,356 | ---- | C] () -- C:\WINDOWS\System32\atmchsxx.hlx [2010.06.24 19:13:06 | 000,158,080 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat [2010.06.24 19:13:06 | 000,155,364 | ---- | C] () -- C:\WINDOWS\System32\atmaraxx.hlx [2010.06.24 19:13:06 | 000,148,616 | ---- | C] () -- C:\WINDOWS\System32\atmhunxx.hlx [2010.06.24 19:13:06 | 000,148,498 | ---- | C] () -- C:\WINDOWS\System32\atmplkxx.hlx [2010.06.24 19:13:06 | 000,148,083 | ---- | C] () -- C:\WINDOWS\System32\atmellxx.hlx [2010.06.24 19:13:06 | 000,147,444 | ---- | C] () -- C:\WINDOWS\System32\atmdeuxx.hlx [2010.06.24 19:13:06 | 000,145,641 | ---- | C] () -- C:\WINDOWS\System32\atmcsyxx.hlx [2010.06.24 19:13:06 | 000,145,421 | ---- | C] () -- C:\WINDOWS\System32\atmchtxx.hlx [2010.06.24 19:13:06 | 000,145,090 | ---- | C] () -- C:\WINDOWS\System32\atmfraxx.hlx [2010.06.24 19:13:06 | 000,144,323 | ---- | C] () -- C:\WINDOWS\System32\atmhebxx.hlx [2010.06.24 19:13:06 | 000,144,213 | ---- | C] () -- C:\WINDOWS\System32\atmfinxx.hlx [2010.06.24 19:13:06 | 000,142,359 | ---- | C] () -- C:\WINDOWS\System32\atmdanxx.hlx [2010.06.24 19:13:06 | 000,140,646 | ---- | C] () -- C:\WINDOWS\System32\atmitaxx.hlx [2010.06.24 19:13:06 | 000,140,307 | ---- | C] () -- C:\WINDOWS\System32\atmptbxx.hlx [2010.06.24 19:13:06 | 000,140,040 | ---- | C] () -- C:\WINDOWS\System32\atmespxx.hlx [2010.06.24 19:13:06 | 000,139,835 | ---- | C] () -- C:\WINDOWS\System32\atmnldxx.hlx [2010.06.24 19:13:06 | 000,139,810 | ---- | C] () -- C:\WINDOWS\System32\atmnorxx.hlx [2010.06.24 19:13:06 | 000,136,272 | ---- | C] () -- C:\WINDOWS\System32\atmenuxx.hlx [2010.06.24 19:13:06 | 000,066,161 | ---- | C] () -- C:\WINDOWS\System32\atfkorxx.hlx [2010.06.24 19:13:06 | 000,049,807 | ---- | C] () -- C:\WINDOWS\System32\atfjpnxx.hlx [2010.06.24 19:13:06 | 000,048,174 | ---- | C] () -- C:\WINDOWS\System32\atftrkxx.hlx [2010.06.24 19:13:06 | 000,027,697 | ---- | C] () -- C:\WINDOWS\System32\atfhebxx.hlx [2010.06.24 19:13:06 | 000,026,864 | ---- | C] () -- C:\WINDOWS\System32\atfchsxx.hlx [2010.06.24 19:13:06 | 000,026,138 | ---- | C] () -- C:\WINDOWS\System32\atfplkxx.hlx [2010.06.24 19:13:06 | 000,025,327 | ---- | C] () -- C:\WINDOWS\System32\atfrusxx.hlx [2010.06.24 19:13:06 | 000,025,224 | ---- | C] () -- C:\WINDOWS\System32\atfellxx.hlx [2010.06.24 19:13:06 | 000,024,892 | ---- | C] () -- C:\WINDOWS\System32\atfhunxx.hlx [2010.06.24 19:13:06 | 000,024,873 | ---- | C] () -- C:\WINDOWS\System32\atfthaxx.hlx [2010.06.24 19:13:06 | 000,024,712 | ---- | C] () -- C:\WINDOWS\System32\atfptbxx.hlx [2010.06.24 19:13:06 | 000,024,652 | ---- | C] () -- C:\WINDOWS\System32\atfaraxx.hlx [2010.06.24 19:13:06 | 000,024,640 | ---- | C] () -- C:\WINDOWS\System32\atffraxx.hlx [2010.06.24 19:13:06 | 000,024,589 | ---- | C] () -- C:\WINDOWS\System32\atfchtxx.hlx [2010.06.24 19:13:06 | 000,024,569 | ---- | C] () -- C:\WINDOWS\System32\atfcsyxx.hlx [2010.06.24 19:13:06 | 000,024,557 | ---- | C] () -- C:\WINDOWS\System32\atfdeuxx.hlx [2010.06.24 19:13:06 | 000,024,506 | ---- | C] () -- C:\WINDOWS\System32\atfitaxx.hlx [2010.06.24 19:13:06 | 000,024,382 | ---- | C] () -- C:\WINDOWS\System32\atfespxx.hlx [2010.06.24 19:13:06 | 000,024,260 | ---- | C] () -- C:\WINDOWS\System32\atffinxx.hlx [2010.06.24 19:13:06 | 000,024,229 | ---- | C] () -- C:\WINDOWS\System32\atfnorxx.hlx [2010.06.24 19:13:06 | 000,024,186 | ---- | C] () -- C:\WINDOWS\System32\atfnldxx.hlx [2010.06.24 19:13:06 | 000,024,065 | ---- | C] () -- C:\WINDOWS\System32\atfdanxx.hlx [2010.06.24 19:13:06 | 000,023,980 | ---- | C] () -- C:\WINDOWS\System32\atfsvexx.hlx [2010.06.24 19:13:06 | 000,023,224 | ---- | C] () -- C:\WINDOWS\System32\atfenuxx.hlx [2010.06.24 19:13:05 | 000,034,920 | ---- | C] () -- C:\WINDOWS\System32\omega_drivers.bmp [2010.06.24 19:13:05 | 000,011,717 | ---- | C] () -- C:\WINDOWS\atiogl.xml [2010.06.24 19:13:05 | 000,007,167 | ---- | C] () -- C:\WINDOWS\System32\atifglpf.xml [2010.06.08 18:04:14 | 000,049,448 | ---- | C] () -- C:\Programme\changelog.txt [2010.05.29 13:51:33 | 000,019,856 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat [2010.02.26 10:37:14 | 000,053,248 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.02.25 21:11:49 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\CM108rm.dll [2010.02.25 18:49:45 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56spn.dll [2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56itl.dll [2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56eng.dll [2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56brz.dll [2010.02.25 18:43:56 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56ger.dll [2010.02.25 18:43:56 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56fra.dll [2010.02.25 18:43:56 | 000,053,248 | ---- | C] () -- C:\WINDOWS\sm56jpn.dll [2010.02.25 18:43:56 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56cht.dll [2010.02.25 18:43:56 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56chs.dll [2010.02.25 13:48:06 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2010.02.25 13:40:24 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2010.02.25 13:27:27 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2005.01.21 12:02:28 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\RMDevice.dll [2001.03.30 21:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll ========== LOP Check ========== [2010.04.28 12:50:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CCP [2010.03.25 20:19:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IObit [2010.10.08 22:35:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files [2010.08.06 16:52:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe [2010.05.24 16:09:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2010.03.19 05:01:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} [2010.10.09 14:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669 [2010.08.11 11:36:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\DVDVideoSoftIEHelpers [2010.03.06 01:24:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\FileZilla [2010.02.25 23:51:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\GetRightToGo [2010.07.02 19:21:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\gtk-2.0 [2010.03.25 20:18:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\IObit [2010.08.05 14:27:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Notepad++ [2010.03.05 12:44:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\OpenOffice.org [2010.03.06 03:53:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PhotoFiltre [2010.10.09 09:15:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong [2010.03.27 23:00:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\SWiSH Max3 [2010.03.18 14:20:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Trillian [2010.03.18 19:21:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\TS3Client [2010.03.07 04:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\TweetDeckFast.FFF259DC0CE2657847BBB4AFF0E62062EFC56543.1 [2010.11.22 13:11:12 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*.* > [2010.02.25 13:37:12 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT [2010.03.25 17:24:44 | 000,000,223 | RHS- | M] () -- C:\boot.ini [2004.08.04 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin [2010.02.25 13:37:12 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS [2010.02.25 13:37:12 | 000,000,000 | RHS- | M] () -- C:\IO.SYS [2010.02.25 13:37:12 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS [2004.08.04 13:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM [2010.03.05 01:31:34 | 000,251,712 | RHS- | M] () -- C:\ntldr [2010.11.22 15:08:09 | 1409,286,144 | -HS- | M] () -- C:\pagefile.sys [1 C:\*.tmp files -> C:\*.tmp -> ] < %systemroot%\system32\*.wt > < %systemroot%\system32\*.ruy > < %systemroot%\Fonts\*.com > [2006.04.18 15:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont [2006.06.29 14:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont [2006.04.18 15:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont [2006.06.29 14:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont < %systemroot%\Fonts\*.dll > < %systemroot%\Fonts\*.ini > [2010.02.25 13:36:43 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini < %systemroot%\Fonts\*.ini2 > < %systemroot%\system32\spool\prtprocs\w32x86\*.* > [2008.07.06 13:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll [2008.07.06 11:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe < %systemroot%\REPAIR\*.bak1 > < %systemroot%\REPAIR\*.ini > < %systemroot%\system32\*.jpg > < %systemroot%\*.scr > < %systemroot%\*._sy > < %APPDATA%\Adobe\Update\*.* > < %ALLUSERSPROFILE%\Favorites\*.* > < %APPDATA%\Microsoft\*.* > < %PROGRAMFILES%\*.* > [2010.06.08 18:04:14 | 000,049,448 | ---- | M] () -- C:\Programme\changelog.txt < %APPDATA%\Update\*.* > < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < %systemroot%\Tasks\*.job /lockedfiles > < %systemroot%\System32\config\*.sav > [2010.02.25 14:25:15 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2010.02.25 14:25:15 | 000,638,976 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2010.02.25 14:25:14 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\system32\user32.dll /md5 > [2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < %systemroot%\system32\ws2_32.dll /md5 > [2008.04.14 03:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < %systemroot%\system32\ws2help.dll /md5 > [2008.04.14 03:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < MD5 for: EXPLORER.EXE > [2004.08.04 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\explorer.exe < MD5 for: WINLOGON.EXE > [2004.08.04 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > < > < End of report > Code:
ATTFilter OTL Extras logfile created on: 22.11.2010 15:10:05 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\Sphirex\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 894,00 Mb Total Physical Memory | 480,00 Mb Available Physical Memory | 54,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free Paging file location(s): C:\pagefile.sys 1344 2688 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 93,15 Gb Total Space | 48,04 Gb Free Space | 51,58% Space Free | Partition Type: NTFS Computer Name: ALEXANDE-455B05 | User Name: Sphirex | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = htmlfile] -- Reg Error: Key error. File not found ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [find] -- %SystemRoot%\Explorer.exe () Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Directory [Winamp.Bookmark] -- Reg Error: Value error. Directory [Winamp.Enqueue] -- Reg Error: Value error. Directory [Winamp.Play] -- Reg Error: Value error. Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L () Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L () Drive [find] -- %SystemRoot%\Explorer.exe () ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "57835:TCP" = 57835:TCP:*:Enabled:Pando Media Booster "57835:UDP" = 57835:UDP:*:Enabled:Pando Media Booster [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "57835:TCP" = 57835:TCP:*:Enabled:Pando Media Booster "57835:UDP" = 57835:UDP:*:Enabled:Pando Media Booster "1564:TCP" = 1564:TCP:*:Enabled:Akamai NetSession Interface "5000:UDP" = 5000:UDP:*:Enabled:Akamai NetSession Interface ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- () [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\Kamuse\KCSTrayDownloader\KCSTrayDownloaderEngine.exe" = C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\Kamuse\KCSTrayDownloader\KCSTrayDownloaderEngine.exe:*:Enabled:KCSTrayDownloaderEngine -- (Kamuse, Incorporated) "C:\Programme\Java\jre6\bin\java.exe" = C:\Programme\Java\jre6\bin\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.) "C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.) "C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- () ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}" = Microsoft_VC90_ATL_x86 "{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu "{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86 "{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour "{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}" = Microsoft_VC80_ATL_x86 "{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter "{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool "{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT "{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18 "{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform "{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{38C7CB9E-1451-38D5-BB97-B7FC59E1A8B8}" = Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Web - deu "{3C3D696B-0DB7-3C6D-A356-3DB8CE541918}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729 "{3D9892BB-A751-4E48-ADC8-E4289956CE1D}" = QuickTime "{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}" = Microsoft_VC90_MFC_x86 "{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{732799C0-7785-43C5-8496-71546A062992}" = SuddenAttackNA "{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{85991ED2-010C-4930-96FA-52F43C2CE98A}" = Apple Mobile Device Support "{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player "{8D70145A-3BD3-4DBF-9CBF-223EF4A43257}" = ATI Parental Control & Encoder "{91CA8C77-30FC-4AAF-B2EE-F51B0746D95C}" = ATI Catalyst Control Center "{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86 "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A4394612-D02F-11DC-9BFF-D18556D89593}" = Microsoft ASP.NET MVC 1.0 "{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder "{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter "{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3 - Deutsch "{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger "{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder "{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter "{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support "{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{C1E11C46-E6EB-4BD2-9ADF-2A98ACBEB216}" = iTunes "{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU "{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU "{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86 "{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call "{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86 "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{EB1B0104-6A57-446F-B855-FDF49151BE0C}" = O2Micro Flash Memory Card Windows Driver V2.04 "{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "7-Zip" = 7-Zip 4.65 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Advanced SystemCare 3_is1" = Advanced SystemCare 3 "Akamai" = Akamai NetSession Interface "All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software "ATI Display Driver" = ATI Display Driver "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CCleaner" = CCleaner "CFF5FD902CAD8828AC62E155C542E69D5439C37A" = Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (04/28/2006 1.3.1.0) "DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters "Game Booster_is1" = Game Booster "Generic USB 108 Sound" = C-Media USB 108 Sound "Guild Wars" = GUILD WARS "ie8" = Windows Internet Explorer 8 "InstallShield_{EB1B0104-6A57-446F-B855-FDF49151BE0C}" = O2Micro Flash Memory Card Windows Driver V2.04 "LameACM" = LameACM "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10) "paw·ned²" = paw·ned² v1.3 "PokerStars.net" = PokerStars.net "SMSERIAL" = Motorola SM56 Data Fax Modem "Uninstall_is1" = Uninstall 1.0.0.1 "VLC media player" = VLC media player 1.0.5 "WIC" = Windows Imaging Component "Windows XP Service Pack" = Windows XP Service Pack 3 "WinLiveSuite_Wave3" = Windows Live Essentials "XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "PhotoFiltre" = PhotoFiltre ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 20.11.2010 10:20:54 | Computer Name = ALEXANDE-455B05 | Source = PerfNet | ID = 2004 Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen werden nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0. Error - 22.11.2010 08:07:20 | Computer Name = ALEXANDE-455B05 | Source = WmiAdapter | ID = 4099 Description = Dienst konnte nicht geöffnet werden. [ System Events ] Error - 22.11.2010 08:08:43 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7031 Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Starten Sie den Dienst neu.. Error - 22.11.2010 08:28:45 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7031 Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist bereits 2 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Starten Sie den Dienst neu.. Error - 22.11.2010 08:28:53 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7034 Description = Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist bereits 3 Mal passiert. Error - 22.11.2010 08:56:33 | Computer Name = ALEXANDE-455B05 | Source = ati2mtag | ID = 52225 Description = CPLIB :: Open Session - Failed to load the library Error - 22.11.2010 09:10:10 | Computer Name = ALEXANDE-455B05 | Source = ati2mtag | ID = 52225 Description = CPLIB :: Open Session - Failed to load the library Error - 22.11.2010 09:11:28 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7031 Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Starten Sie den Dienst neu.. Error - 22.11.2010 09:11:39 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7031 Description = Der Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist bereits 2 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 0 Millisekunden durchgeführt: Starten Sie den Dienst neu.. Error - 22.11.2010 09:11:58 | Computer Name = ALEXANDE-455B05 | Source = Service Control Manager | ID = 7034 Description = Dienst "Avira AntiVir Guard" wurde unerwartet beendet. Dies ist bereits 3 Mal passiert. Error - 22.11.2010 09:14:07 | Computer Name = ALEXANDE-455B05 | Source = ati2mtag | ID = 52225 Description = CPLIB :: Open Session - Failed to load the library Error - 22.11.2010 10:08:42 | Computer Name = ALEXANDE-455B05 | Source = ati2mtag | ID = 52225 Description = CPLIB :: Open Session - Failed to load the library < End of report > Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net Rootkit quick scan 2010-11-22 15:22:45 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 FUJITSU_MHV2100BH rev.00000029 Running: 2tu2mzmd.exe; Driver: C:\DOKUME~1\Sphirex\LOKALE~1\Temp\uwwyqpow.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 84B40050 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \Driver\Tcpip \Device\Ip 8488F508 Device \Driver\Tcpip \Device\Tcp 8488F508 Device \Driver\Tcpip \Device\Udp 8488F508 Device \Driver\Tcpip \Device\RawIp 8488F508 ---- Services - GMER 1.0.15 ---- Service (*** hidden *** ) [BOOT] bxsevl <-- ROOTKIT !!! Service (*** hidden *** ) [BOOT] dkbuoqmj <-- ROOTKIT !!! ---- EOF - GMER 1.0.15 ---- |
22.11.2010, 16:02 | #4 |
/// Malwareteam | TR/Spy.51302422 in winlogon.exe Schritt 1 Deine Javaversion ist veraltet. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, muss Java aktualisiert werden und alte Versionen müssen vom System entfernt werden, da die alten Versionen ein Sicherheitsrisiko darstellen. Lade JavaRa von prm753 herunter und entpacke es auf den Desktop. JavaRA ist geeignet für Windows 9x, 2k, XP und Vista (mit deaktivierter Benuterkontensteuerung).
Schritt 2 Lade dir das Tool Avenger und speichere es auf dem Desktop:
Schritt 3
Code:
ATTFilter :OTL MOD - [2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\system32\charonce.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06) O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18) O36 - AppCertDlls: bootyi64 - (C:\WINDOWS\system32\charonce.dll) - C:\WINDOWS\system32\charonce.dll () [2010.10.18 09:11:49 | 000,840,192 | ---- | C] () -- C:\WINDOWS\System32\drivers\bxsevl.sys [2010.10.09 15:28:01 | 000,565,248 | ---- | C] () -- C:\WINDOWS\System32\drivers\dkbuoqmj.sys [2010.10.09 15:10:02 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Jyucoweqoharu.dat [2010.10.09 15:10:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Yrumago.bin [2010.10.09 15:08:08 | 000,050,688 | -H-- | C] () -- C:\WINDOWS\System32\charonce.dll [2010.10.09 15:08:06 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat [2010.11.22 15:05:16 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe [2010.10.09 14:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669 FF - HKLM\software\mozilla\Firefox\Extensions\\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}: C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275} [2010.10.09 15:09:59 | 000,000,000 | ---D | M] [2010.10.09 14:21:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server [2010.10.09 09:15:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong :Commands [purity] [emptytemp]
Schritt 4 CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs drivers32 /all %SYSTEMDRIVE%\*.* %systemroot%\system32\*.wt %systemroot%\system32\*.ruy %systemroot%\Fonts\*.com %systemroot%\Fonts\*.dll %systemroot%\Fonts\*.ini %systemroot%\Fonts\*.ini2 %systemroot%\system32\spool\prtprocs\w32x86\*.* %systemroot%\REPAIR\*.bak1 %systemroot%\REPAIR\*.ini %systemroot%\system32\*.jpg %systemroot%\*.scr %systemroot%\*._sy %APPDATA%\Adobe\Update\*.* %ALLUSERSPROFILE%\Favorites\*.* %APPDATA%\Microsoft\*.* %PROGRAMFILES%\*.* %APPDATA%\Update\*.* %systemroot%\*. /mp /s CREATERESTOREPOINT %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\user32.dll /md5 %systemroot%\system32\ws2_32.dll /md5 %systemroot%\system32\ws2help.dll /md5 /md5start explorer.exe winlogon.exe wininit.exe /md5stop HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
Geändert von Swisstreasure (22.11.2010 um 16:21 Uhr) |
22.11.2010, 17:37 | #5 |
| TR/Spy.51302422 in winlogon.exe Bin wie gewünscht den Anleitungen gefolgt, allerdings bekam ich bei Schritt 3 einen Blue Screen. Bei Schritt 4 bekam ich beim ersten Scan, beim Punkt "Creating restore point" folgenden Error: "Access violation at adress 0040295B in module 'OTL.exe'. Road of address 001D7000. Bei einem erneuten Scan mit selbigen Einstellungen funktionierte es dann aber, nur die Extra.txt hab ich nicht, keine Ahnung warum. JavaRa.log Code:
ATTFilter JavaRa 1.16 Removal Log. Report follows after line. ------------------------------------ The JavaRa removal process was started on Mon Nov 22 16:42:52 2010 Found and removed: C:\Programme\Java\jre1.5.0_06 Found and removed: Software\JavaSoft\Java2D\1.5.0_06 Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D510006 Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D510006 Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D510006 Found and removed: SOFTWARE\Classes\JavaPlugin.150_06 Found and removed: SOFTWARE\Classes\JavaWebStart.isInstalled.1.5.0.0 Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0_06 Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5 Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0_06 Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D510006 Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D510006 Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150060} Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBC} Found and removed: SOFTWARE\Classes\JavaPlugin.160_18 Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_18 Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_18 Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1 Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02 Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03 Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04 Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.5.0_06 Found and removed: Software\Classes\JavaPlugin.160_18 Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA} Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2 Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01 Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_18 Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_18 Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA} Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB} Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500} ------------------------------------ Finished reporting. Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 hxxp://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "bxsevl" deleted successfully. Driver "dkbuoqmj" deleted successfully. File "C:\WINDOWS\System32\drivers\bxsevl.sys" deleted successfully. File "C:\WINDOWS\System32\drivers\dkbuoqmj.sys" deleted successfully. Completed script processing. ******************* Finished! Terminate. Code:
ATTFilter OTL logfile created on: 22.11.2010 17:19:51 - Run 2 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Dokumente und Einstellungen\Sphirex\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 894,00 Mb Total Physical Memory | 506,00 Mb Available Physical Memory | 57,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 81,00% Paging File free Paging file location(s): C:\pagefile.sys 1344 2688 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 93,15 Gb Total Space | 47,54 Gb Free Space | 51,04% Space Free | Partition Type: NTFS Computer Name: ALEXANDE-455B05 | User Name: Sphirex | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe PRC - [2010.10.08 17:43:05 | 002,969,496 | ---- | M] () -- C:\Programme\Pando Networks\Media Booster\PMB.exe PRC - [2010.06.10 20:03:08 | 000,144,176 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe PRC - [2010.05.14 11:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2008.04.14 03:23:05 | 000,513,024 | ---- | M] () -- C:\WINDOWS\system32\winlogon.exe PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] () -- C:\WINDOWS\explorer.exe PRC - [2006.01.02 17:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe PRC - [2005.01.27 16:33:58 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\o2flash.exe ========== Modules (SafeList) ========== MOD - [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe MOD - [2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\system32\charonce.dll ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt) SRV - [2010.09.23 09:34:53 | 002,950,744 | ---- | M] () [Auto | Running] -- c:\Programme\Gemeinsame Dateien\Akamai\netsession_win_062a651.dll -- (Akamai) SRV - [2010.06.10 20:03:08 | 000,144,176 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2005.01.27 16:33:58 | 000,036,864 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\o2flash.exe -- (O2Flash) SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany) DRV - [2009.11.25 11:19:02 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009.05.11 09:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.03.30 09:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2008.04.13 19:45:12 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbaudio.sys -- (usbaudio) USB-Audiotreiber (WDM) DRV - [2008.04.13 18:40:58 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\changer.sys -- (Changer) DRV - [2008.04.13 18:40:26 | 000,034,688 | ---- | M] (Toshiba Corp.) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\lbrtfdc.sys -- (lbrtfdc) DRV - [2008.04.13 17:36:05 | 000,144,384 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus) DRV - [2006.12.21 17:05:22 | 001,294,336 | ---- | M] (C-Media Inc) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cm108.sys -- (CM1083264) DRV - [2006.05.10 11:27:00 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8) DRV - [2006.04.17 16:31:26 | 004,262,912 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2006.04.04 21:58:44 | 001,536,000 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag) DRV - [2006.03.23 01:27:10 | 000,488,992 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ar5211.sys -- (AR5211) DRV - [2006.02.27 15:00:50 | 000,034,880 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\o2media.sys -- (O2MDRDR) DRV - [2006.02.20 16:01:06 | 000,029,056 | ---- | M] (O2Micro ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\o2sd.sys -- (O2SDRDR) DRV - [2006.01.20 12:44:42 | 000,862,340 | ---- | M] (Motorola Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\smserial.sys -- (smserial) DRV - [2005.09.30 11:11:42 | 000,078,720 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp) DRV - [2004.08.03 22:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398" FF - prefs.js..extensions.enabledItems: {B770C2A8-19D4-4A43-8F35-801F5EFBB275}:1.9.1 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=" FF - HKLM\software\mozilla\Firefox\Extensions\\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}: C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275} [2010.10.09 15:09:59 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.09.19 17:17:08 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.11.22 16:56:07 | 000,000,000 | ---D | M] [2010.02.25 20:16:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Extensions [2010.08.12 21:28:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\extensions [2010.07.02 18:49:57 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}(2) [2010.11.22 16:59:48 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions [2010.11.22 16:56:09 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2010.11.22 16:55:48 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.07.08 07:21:40 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.07.08 07:21:40 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.07.08 07:21:40 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.07.08 07:21:40 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.07.08 07:21:40 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKCU..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe () O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 0 O9 - Extra Button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe (PokerStars) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1279027909359 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe () O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010.02.25 13:37:12 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O36 - AppCertDlls: bootyi64 - (C:\WINDOWS\system32\charonce.dll) - C:\WINDOWS\system32\charonce.dll () O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* CREATERESTOREPOINT Restore point Set: OTL Restore Point (15776209447157760) ========== Files/Folders - Created Within 30 Days ========== [2010.11.22 17:07:54 | 000,000,000 | ---D | C] -- C:\_OTL [2010.11.22 17:02:56 | 000,000,000 | ---D | C] -- C:\Avenger [2010.11.22 16:57:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\LogFiles [2010.11.22 16:51:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sphirex\Desktop\Alte Logs [2010.11.22 13:10:15 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe [2010.11.22 13:10:12 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe [33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.11.22 17:08:46 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2010.11.22 16:40:28 | 000,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\avenger.exe [2010.11.22 16:40:03 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job [2010.11.22 15:05:16 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe [2010.11.22 13:56:45 | 003,426,432 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2010.11.22 13:10:50 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.11.22 13:07:12 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\OTL.exe [2010.11.22 13:06:51 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2010.11.22 13:05:14 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Sphirex\Desktop\HiJackThis204.exe [2010.11.20 15:23:00 | 000,496,152 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2010.11.20 15:23:00 | 000,472,176 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2010.11.20 15:23:00 | 000,100,610 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2010.11.20 15:23:00 | 000,084,048 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [33 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.11.22 16:40:26 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\avenger.exe [2010.11.22 15:09:29 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Desktop\2tu2mzmd.exe [2010.11.22 13:10:50 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2010.10.09 15:08:08 | 000,050,688 | -H-- | C] () -- C:\WINDOWS\System32\charonce.dll [2010.10.09 15:08:06 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat [2010.08.10 22:54:31 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe PNG Format CS5 Prefs [2010.08.10 22:52:33 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe GIF Format CS5 Prefs [2010.08.08 19:47:14 | 000,000,132 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Adobe BMP Format CS5 Prefs [2010.06.08 18:04:14 | 000,049,448 | ---- | C] () -- C:\Programme\changelog.txt [2010.02.26 10:37:14 | 000,053,248 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.02.25 21:11:49 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\CM108rm.dll [2010.02.25 18:49:45 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll [2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56spn.dll [2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56itl.dll [2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56eng.dll [2010.02.25 18:43:56 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56brz.dll [2010.02.25 18:43:56 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56ger.dll [2010.02.25 18:43:56 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56fra.dll [2010.02.25 18:43:56 | 000,053,248 | ---- | C] () -- C:\WINDOWS\sm56jpn.dll [2010.02.25 18:43:56 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56cht.dll [2010.02.25 18:43:56 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56chs.dll [2010.02.25 13:48:06 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2010.02.25 13:40:24 | 000,001,124 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2010.02.25 13:27:27 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2005.01.21 12:02:28 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\RMDevice.dll [2001.03.30 21:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll ========== LOP Check ========== [2010.04.28 12:50:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CCP [2010.03.25 20:19:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IObit [2010.10.08 22:35:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files [2010.08.06 16:52:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe [2010.05.24 16:09:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2010.03.19 05:01:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD} [2010.10.09 14:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669 [2010.08.11 11:36:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\DVDVideoSoftIEHelpers [2010.03.06 01:24:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\FileZilla [2010.02.25 23:51:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\GetRightToGo [2010.07.02 19:21:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\gtk-2.0 [2010.03.25 20:18:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\IObit [2010.08.05 14:27:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Notepad++ [2010.03.05 12:44:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\OpenOffice.org [2010.03.06 03:53:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PhotoFiltre [2010.10.09 09:15:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong [2010.03.27 23:00:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\SWiSH Max3 [2010.03.18 14:20:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\Trillian [2010.03.18 19:21:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\TS3Client [2010.03.07 04:48:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\TweetDeckFast.FFF259DC0CE2657847BBB4AFF0E62062EFC56543.1 [2010.11.22 16:40:03 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*.* > [2010.02.25 13:37:12 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT [2010.11.22 17:02:56 | 000,001,326 | ---- | M] () -- C:\avenger.txt [2010.03.25 17:24:44 | 000,000,223 | RHS- | M] () -- C:\boot.ini [2004.08.04 13:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin [2010.02.25 13:37:12 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS [2010.02.25 13:37:12 | 000,000,000 | RHS- | M] () -- C:\IO.SYS [2010.11.22 16:43:00 | 000,007,960 | ---- | M] () -- C:\JavaRa.log [2010.02.25 13:37:12 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS [2004.08.04 13:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM [2010.03.05 01:31:34 | 000,251,712 | RHS- | M] () -- C:\ntldr [2010.11.22 17:08:41 | 1409,286,144 | -HS- | M] () -- C:\pagefile.sys [1 C:\*.tmp files -> C:\*.tmp -> ] < %systemroot%\system32\*.wt > < %systemroot%\system32\*.ruy > < %systemroot%\Fonts\*.com > [2006.04.18 15:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont [2006.06.29 14:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont [2006.04.18 15:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont [2006.06.29 14:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont < %systemroot%\Fonts\*.dll > < %systemroot%\Fonts\*.ini > [2010.02.25 13:36:43 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini < %systemroot%\Fonts\*.ini2 > < %systemroot%\system32\spool\prtprocs\w32x86\*.* > [2008.07.06 13:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll [2008.07.06 11:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe < %systemroot%\REPAIR\*.bak1 > < %systemroot%\REPAIR\*.ini > < %systemroot%\system32\*.jpg > < %systemroot%\*.scr > < %systemroot%\*._sy > < %APPDATA%\Adobe\Update\*.* > < %ALLUSERSPROFILE%\Favorites\*.* > < %APPDATA%\Microsoft\*.* > < %PROGRAMFILES%\*.* > [2010.06.08 18:04:14 | 000,049,448 | ---- | M] () -- C:\Programme\changelog.txt < %APPDATA%\Update\*.* > < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < %systemroot%\Tasks\*.job /lockedfiles > < %systemroot%\System32\config\*.sav > [2010.02.25 14:25:15 | 000,094,208 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav [2010.02.25 14:25:15 | 000,638,976 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav [2010.02.25 14:25:14 | 000,430,080 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav < %systemroot%\system32\user32.dll /md5 > [2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < %systemroot%\system32\ws2_32.dll /md5 > [2008.04.14 03:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < %systemroot%\system32\ws2help.dll /md5 > [2008.04.14 03:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll [1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < MD5 for: EXPLORER.EXE > [2004.08.04 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\explorer.exe < MD5 for: WINLOGON.EXE > [2004.08.04 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > < > < End of report > |
22.11.2010, 19:59 | #6 |
/// Malwareteam | TR/Spy.51302422 in winlogon.exe Versuch nochmal ein OTL Fix:
Code:
ATTFilter :OTL MOD - [2010.10.09 15:08:08 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\system32\charonce.dll O36 - AppCertDlls: bootyi64 - (C:\WINDOWS\system32\charonce.dll) - C:\WINDOWS\system32\charonce.dll () [2010.10.09 15:08:08 | 000,050,688 | -H-- | C] () -- C:\WINDOWS\System32\charonce.dll [2010.10.09 15:08:06 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present [2010.10.09 14:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669 FF - prefs.js..extensions.enabledItems: {B770C2A8-19D4-4A43-8F35-801F5EFBB275}:1.9.1 [2010.10.09 09:15:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong :Commands [purity] [emptytemp]
|
22.11.2010, 20:16 | #7 |
| TR/Spy.51302422 in winlogon.exe Hier das gewünschte Logfile: 11222010_200752.log Code:
ATTFilter All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\\bootyi64:C:\WINDOWS\system32\charonce.dll deleted successfully. C:\WINDOWS\system32\charonce.dll moved successfully. File C:\WINDOWS\System32\charonce.dll not found. C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\cnmkat.dat moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found. Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Infodelivery\ deleted successfully. C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\5F66CF01F20AE1D1ED79A549649DB669 folder moved successfully. Prefs.js: {B770C2A8-19D4-4A43-8F35-801F5EFBB275}:1.9.1 removed from extensions.enabledItems C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong\Data folder moved successfully. C:\Dokumente und Einstellungen\Sphirex\Anwendungsdaten\PriceGong folder moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 0 bytes User: Gast2 ->Temp folder emptied: 3472199 bytes ->Temporary Internet Files folder emptied: 132579032 bytes ->Java cache emptied: 4450 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 5811 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 13577862 bytes ->Flash cache emptied: 893 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 7570434 bytes ->Flash cache emptied: 803 bytes User: Sphirex ->Temp folder emptied: 489918 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 2748330 bytes ->Flash cache emptied: 456 bytes %systemdrive% .tmp files removed: 285013466 bytes %systemroot% .tmp files removed: 2503692 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1502673 bytes RecycleBin emptied: 6159622 bytes Total Files Cleaned = 435,00 mb OTL by OldTimer - Version 3.2.17.3 log created on 11222010_200752 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\Perflib_Perfdata_668.dat not found! Registry entries deleted on Reboot... |
22.11.2010, 20:28 | #8 |
/// Malwareteam | TR/Spy.51302422 in winlogon.exe Gib mir bitte einen Zwischenbericht. |
22.11.2010, 20:43 | #9 |
| TR/Spy.51302422 in winlogon.exe Gerne, also von den oben genannten Viren meldet mir mein Antivir nur noch 2, wie gehabt bereits beim Start, hierbei handelt es sich weiterhin um TR/Spy.51302422 in der winlogo.exe TR/Spy.10368008 in der explorer.exe diese meldet er mir aber jemals 2x, sie haben definitiv den selben Namen und sind, laut Antivir, in der selben Datei. Ansonsten ist mir nur aufgefallen das sich mein Firefox von der Optik her verändert hat. Nichts besonderes hatte da nur ne Spielerei zur WM drin. Gelegentlich beim booten fehlte mir die untere Windowsleiste, dies passiert nun nicht mehr. OTL lief beim letzten Fix ohne Probleme. Ich hoffe das ist ein brauchbarer Bericht und das du mit Zwischenbericht nicht weitere logfiles meintest, sonst steh ich ziemlich dumm da! =) |
22.11.2010, 21:43 | #10 |
/// Malwareteam | TR/Spy.51302422 in winlogon.exe Nein ich meinte genau solch einen Bericht Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**
|
22.11.2010, 22:23 | #11 |
| TR/Spy.51302422 in winlogon.exe Sieht sehr gut aus, daher schonmal ein Danke! Antivir meldete bisher nichts! =) Hier noch das logfile: log Code:
ATTFilter ComboFix 10-11-20.05 - Sphirex 22.11.2010 22:05:45.1.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.894.389 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Sphirex\Desktop\Combo-Fix.exe AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Dokumente\Server\admin.txt c:\dokumente und einstellungen\All Users\Dokumente\Server\server.dat c:\dokumente und einstellungen\Gast2\Anwendungsdaten\PriceGong c:\dokumente und einstellungen\Gast2\Anwendungsdaten\PriceGong\Data\mru.xml c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48} c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}\chrome.manifest c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}\chrome\content\_cfg.js c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}\chrome\content\overlay.xul c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\{A25F98E6-3223-47A9-8F35-C627A515FC48}\install.rdf c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275} c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}\chrome.manifest c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}\chrome\content\_cfg.js c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}\chrome\content\overlay.xul c:\dokumente und einstellungen\Sphirex\Lokale Einstellungen\Anwendungsdaten\{B770C2A8-19D4-4A43-8F35-801F5EFBB275}\install.rdf Infizierte Kopie von c:\windows\system32\winlogon.exe wurde gefunden und desinfiziert Kopie von - c:\windows\ServicePackFiles\i386\winlogon.exe wurde wiederhergestellt Infizierte Kopie von c:\windows\explorer.exe wurde gefunden und desinfiziert Kopie von - c:\windows\ServicePackFiles\i386\explorer.exe wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2010-10-22 bis 2010-11-22 )))))))))))))))))))))))))))))) . 2010-11-22 16:07 . 2010-11-22 16:07 -------- d-----w- C:\_OTL 2010-11-22 15:57 . 2010-11-22 15:57 -------- d-----w- c:\windows\system32\LogFiles 2010-11-22 15:56 . 2010-11-22 15:55 472808 ----a-w- c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll 2010-11-22 15:56 . 2010-11-22 15:55 472808 ----a-w- c:\windows\system32\deployJava1.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-22 15:55 . 2010-03-05 11:23 73728 ----a-w- c:\windows\system32\javacpl.cpl 2010-10-16 08:10 . 2010-10-15 12:14 0 ----a-w- c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\Yrumago.bin . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2010-10-08 2969496] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-07-16 141608] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-06-09 08:06 976832 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2009-12-22 00:57 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] 2005-05-03 17:43 69632 ----a-w- c:\windows\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] 2006-01-02 16:41 45056 ----a-w- c:\programme\ATI Technologies\ATI.ACE\CLI.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] 2009-03-02 11:08 209153 ----a-w- c:\programme\Avira\AntiVir Desktop\avgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2010-07-16 05:41 141608 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-03-18 20:16 421888 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] 2006-04-17 14:34 16143872 ----a-w- c:\windows\RTHDCPL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL] 2006-01-20 11:34 544768 ----a-w- c:\windows\sm56hlpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-05-14 10:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Dokumente und Einstellungen\\Sphirex\\Lokale Einstellungen\\Anwendungsdaten\\Kamuse\\KCSTrayDownloader\\KCSTrayDownloaderEngine.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "57835:TCP"= 57835:TCP:Pando Media Booster "57835:UDP"= 57835:UDP:Pando Media Booster "1119:TCP"= 1119:TCP:Akamai NetSession Interface "5000:UDP"= 5000:UDP:Akamai NetSession Interface R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [27.02.2006 15:00 34880] R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [20.02.2006 16:01 29056] R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [04.08.2004 13:00 14336] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.02.2010 20:31 108289] S3 11b2d3f572337f44;11b2d3f572337f44;\??\c:\windows\TEMP\7960c1d0b5bf --> c:\windows\TEMP\7960c1d0b5bf [?] S3 1ac5fb4e9cd43414;1ac5fb4e9cd43414;\??\c:\windows\TEMP\79606099335 --> c:\windows\TEMP\79606099335 [?] S3 1c828f53abd14cff;1c828f53abd14cff;\??\c:\windows\TEMP\78808698bb22 --> c:\windows\TEMP\78808698bb22 [?] S3 1d0dce389fd8f96a;1d0dce389fd8f96a;\??\c:\windows\TEMP\79603fb1a415 --> c:\windows\TEMP\79603fb1a415 [?] S3 2822679e01e7ff95;2822679e01e7ff95;\??\c:\windows\TEMP\78808ad35256 --> c:\windows\TEMP\78808ad35256 [?] S3 2c4e8fb70f3822ed;2c4e8fb70f3822ed;\??\c:\windows\TEMP\7920a5ccf144 --> c:\windows\TEMP\7920a5ccf144 [?] S3 2e2af4be3b188899;2e2af4be3b188899;\??\c:\windows\TEMP\7880194e135 --> c:\windows\TEMP\7880194e135 [?] S3 3f5afb82796e75b1;3f5afb82796e75b1;\??\c:\windows\TEMP\7960f5839e60 --> c:\windows\TEMP\7960f5839e60 [?] S3 45f271c300cce432;45f271c300cce432;\??\c:\windows\TEMP\8000b20e956b --> c:\windows\TEMP\8000b20e956b [?] S3 4b42c1f1b7f8cb44;4b42c1f1b7f8cb44;\??\c:\windows\TEMP\7880ae831fba --> c:\windows\TEMP\7880ae831fba [?] S3 6043a0a029271876;6043a0a029271876;\??\c:\windows\TEMP\788088a4337e --> c:\windows\TEMP\788088a4337e [?] S3 6b43baa971c633ed;6b43baa971c633ed;\??\c:\windows\TEMP\796085b81c03 --> c:\windows\TEMP\796085b81c03 [?] S3 81f9f4291525978d;81f9f4291525978d;\??\c:\windows\TEMP\8240cb72d24b --> c:\windows\TEMP\8240cb72d24b [?] S3 CM1083264;C-Media CM108 Like Sound UDAX Interface;c:\windows\system32\drivers\cm108.sys [25.02.2010 21:11 1294336] S3 f727aa1268385c2a;f727aa1268385c2a;\??\c:\windows\TEMP\78802270e804 --> c:\windows\TEMP\78802270e804 [?] S3 vtany;vtany;\??\c:\windows\vtany.sys --> c:\windows\vtany.sys [?] S3 xhunter1;xhunter1;\??\c:\windows\xhunter1.sys --> c:\windows\xhunter1.sys [?] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Akamai REG_MULTI_SZ Akamai . Inhalt des "geplante Tasks" Ordners 2010-11-22 c:\windows\Tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job - c:\windows\system32\msfeedssync.exe [2009-03-08 02:31] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyOverride = *.local IE: Suche - hxxp://edits.myway.com/menusearch.jhtml?s=100000379&p=YI&si=&a=9306CC2F-1DF4-44F7-9E3E-34BC07395E94&n=2010081211 IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe FF - ProfilePath - c:\dokumente und einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\ FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) MSConfigStartUp-CM108Sound - CM108.cpl MSConfigStartUp-SearchSettings - c:\programme\pdfforge Toolbar\SearchSettings.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-11-22 22:14 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\11b2d3f572337f44] "ImagePath"="\??\c:\windows\TEMP\7960c1d0b5bf" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1ac5fb4e9cd43414] "ImagePath"="\??\c:\windows\TEMP\79606099335" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1c828f53abd14cff] "ImagePath"="\??\c:\windows\TEMP\78808698bb22" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\1d0dce389fd8f96a] "ImagePath"="\??\c:\windows\TEMP\79603fb1a415" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2822679e01e7ff95] "ImagePath"="\??\c:\windows\TEMP\78808ad35256" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2c4e8fb70f3822ed] "ImagePath"="\??\c:\windows\TEMP\7920a5ccf144" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\2e2af4be3b188899] "ImagePath"="\??\c:\windows\TEMP\7880194e135" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\3f5afb82796e75b1] "ImagePath"="\??\c:\windows\TEMP\7960f5839e60" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\45f271c300cce432] "ImagePath"="\??\c:\windows\TEMP\8000b20e956b" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\4b42c1f1b7f8cb44] "ImagePath"="\??\c:\windows\TEMP\7880ae831fba" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\6043a0a029271876] "ImagePath"="\??\c:\windows\TEMP\788088a4337e" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\6b43baa971c633ed] "ImagePath"="\??\c:\windows\TEMP\796085b81c03" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\81f9f4291525978d] "ImagePath"="\??\c:\windows\TEMP\8240cb72d24b" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f727aa1268385c2a] "ImagePath"="\??\c:\windows\TEMP\78802270e804" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(728) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(3492) c:\windows\system32\msi.dll c:\windows\system32\webcheck.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Java\jre6\bin\jqs.exe c:\windows\system32\o2flash.exe c:\windows\system32\Ati2evxx.exe c:\windows\system32\wscntfy.exe c:\programme\iPod\bin\iPodService.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-11-22 22:19:27 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-11-22 21:19 Vor Suchlauf: 11 Verzeichnis(se), 50.690.060.288 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 50.648.260.608 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer - - End Of File - - 1FBA9FFEED5C3F5D3DAB2FFB13C3BDB3 |
22.11.2010, 23:34 | #12 |
/// Malwareteam | TR/Spy.51302422 in winlogon.exe Schritt 1 Combofix mit Skript laufen lassen
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen! |
23.11.2010, 07:50 | #13 |
| TR/Spy.51302422 in winlogon.exe Danke das du dir um die Uhrzeit noch die Mühe gibts mir zu helfen. =) Sind wir schon auf der Zielgeraden? Antivir ist so ruhig, so ungewohnt, fast schon beängstigend! Combo-Fix + CFScript.txt log Code:
ATTFilter ComboFix 10-11-22.05 - Sphirex 23.11.2010 7:29.2.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.894.388 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Sphirex\Desktop\Combo-Fix.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Sphirex\Desktop\CFScript.txt AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} FILE :: "c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\Yrumago.bin" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Gast2\Lokale Einstellungen\Anwendungsdaten\Yrumago.bin . ((((((((((((((((((((((( Dateien erstellt von 2010-10-23 bis 2010-11-23 )))))))))))))))))))))))))))))) . 2010-11-22 16:07 . 2010-11-22 16:07 -------- d-----w- C:\_OTL 2010-11-22 15:57 . 2010-11-22 15:57 -------- d-----w- c:\windows\system32\LogFiles 2010-11-22 15:56 . 2010-11-22 15:55 472808 ----a-w- c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll 2010-11-22 15:56 . 2010-11-22 15:55 472808 ----a-w- c:\windows\system32\deployJava1.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-11-22 15:55 . 2010-03-05 11:23 73728 ----a-w- c:\windows\system32\javacpl.cpl . ((((((((((((((((((((((((((((( SnapShot@2010-11-22_21.14.30 ))))))))))))))))))))))))))))))))))))))))) . + 2010-11-23 06:21 . 2010-11-23 06:21 16384 c:\windows\Temp\Perflib_Perfdata_6b4.dat + 2010-11-23 06:21 . 2010-11-23 06:21 16384 c:\windows\Temp\Perflib_Perfdata_658.dat - 2010-11-22 21:13 . 2010-11-22 21:13 16384 c:\windows\Temp\Perflib_Perfdata_658.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2010-10-08 2969496] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888] "iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-07-16 141608] "SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2010-06-09 08:06 976832 ----a-w- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2009-12-22 00:57 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] 2005-05-03 17:43 69632 ----a-w- c:\windows\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] 2006-01-02 16:41 45056 ----a-w- c:\programme\ATI Technologies\ATI.ACE\CLI.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt] 2009-03-02 11:08 209153 ----a-w- c:\programme\Avira\AntiVir Desktop\avgnt.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2010-07-16 05:41 141608 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2010-03-18 20:16 421888 ----a-w- c:\programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] 2006-04-17 14:34 16143872 ----a-w- c:\windows\RTHDCPL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL] 2006-01-20 11:34 544768 ----a-w- c:\windows\sm56hlpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-05-14 10:44 248552 ----a-w- c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Dokumente und Einstellungen\\Sphirex\\Lokale Einstellungen\\Anwendungsdaten\\Kamuse\\KCSTrayDownloader\\KCSTrayDownloaderEngine.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Java\\jre6\\bin\\java.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= "c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "57835:TCP"= 57835:TCP:Pando Media Booster "57835:UDP"= 57835:UDP:Pando Media Booster "1082:TCP"= 1082:TCP:Akamai NetSession Interface "5000:UDP"= 5000:UDP:Akamai NetSession Interface R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [27.02.2006 15:00 34880] R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [20.02.2006 16:01 29056] R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [04.08.2004 13:00 14336] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [25.02.2010 20:31 108289] S3 CM1083264;C-Media CM108 Like Sound UDAX Interface;c:\windows\system32\drivers\cm108.sys [25.02.2010 21:11 1294336] S3 vtany;vtany;\??\c:\windows\vtany.sys --> c:\windows\vtany.sys [?] S3 xhunter1;xhunter1;\??\c:\windows\xhunter1.sys --> c:\windows\xhunter1.sys [?] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Akamai REG_MULTI_SZ Akamai . Inhalt des "geplante Tasks" Ordners 2010-11-23 c:\windows\Tasks\User_Feed_Synchronization-{524C8077-C968-49F2-9512-C1AF44A4A536}.job - c:\windows\system32\msfeedssync.exe [2009-03-08 02:31] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyOverride = *.local IE: Suche - hxxp://edits.myway.com/menusearch.jhtml?s=100000379&p=YI&si=&a=9306CC2F-1DF4-44F7-9E3E-34BC07395E94&n=2010081211 IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\programme\PokerStars.NET\PokerStarsUpdate.exe FF - ProfilePath - c:\dokumente und einstellungen\Sphirex\Anwendungsdaten\Mozilla\Firefox\Profiles\v7sz7wkl.default\ FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2010-11-23 07:39 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(728) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2010-11-23 07:46:09 ComboFix-quarantined-files.txt 2010-11-23 06:46 ComboFix2.txt 2010-11-22 21:19 Vor Suchlauf: 11 Verzeichnis(se), 50.635.784.192 Bytes frei Nach Suchlauf: 12 Verzeichnis(se), 50.624.905.216 Bytes frei - - End Of File - - 4F462420293C4F229259E5C366920124 |
23.11.2010, 13:04 | #14 |
/// Malwareteam | TR/Spy.51302422 in winlogon.exe Ja auf der Zielgeraden aber noch nicht am Ziel Schritt 1 ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Schritt 2 Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
|
23.11.2010, 16:02 | #15 |
| TR/Spy.51302422 in winlogon.exe ESET Online Scanner hängte sich vermutlich auf, infos dazu im Log, habe nach einer Stunde abgebrochen. Kaspersky ladete knapp 2 Stunden die aktuelle Database um mir dann zu sagen das die Lizenz ungültig sei, zudem folgende Meldung: Code:
ATTFilter Update has failed The program could not be started. Please close the window of Kaspersky Online Scanner 7.0 and start the program again from the web site of Kaspersky Lab. Successful updating of Kaspersky Online Scanner 7.0 and scanning of your computer requires uninterrupted Internet connection. Please make sure that the Internet connection is established. [ERROR: Anti-virus database was updated after license expiry] Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6211 # api_version=3.0.2 # EOSSerial=ba3b70ecf36cc44ebfa2e72f67857007 # end=stopped # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2010-11-23 01:17:03 # local_time=2010-11-23 02:17:03 (+0100, Westeuropäische Normalzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=512 16777215 100 0 0 0 0 0 # compatibility_mode=1797 16775141 100 94 3735 66030720 0 0 # compatibility_mode=8192 67108863 100 0 3837 3837 0 0 # scanned=17276 # found=0 # cleaned=0 # scan_time=2812 |
Themen zu TR/Spy.51302422 in winlogon.exe |
adobe, antivir, antivir guard, avira, bho, bonjour, desktop, einstellungen, explorer.exe, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet, internet explorer, logfile, microsoft, pando media booster, plug-in, programme, rkit/bubnix.abd.1, software, suche, system, tr/psw.ldpinch.agkv, tr/spy., tr/spy.51302422, trojaner, virus, virus eingefangen, windows, windows xp, winlogon.exe |