|
Plagegeister aller Art und deren Bekämpfung: Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.11.2010, 20:31 | #1 |
| Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Hallo, da ich schon viele positive Erfahrungen mit eurem Board hab, hab ich erneut eine Bitte an euch. Ich hatte mir den Trojaner Backdoor:Win32/Cycbot.B eingefangen. Der Windows Defender meldete sich nach jedem Neustart zu Wort. Jetzt hab ich gestern und heute mit diversen Programmen (MBAM, Dr. Web CureIt, SuperAntiSpyware) diesen Trojaner bekämpft und auch im Internet (hier: hxxp://blog.teesupport.com/how-to-remove-cycbot-b-cycbotb-removal-instructions/) gefunden, welche Dateien/Reg-Einträge er erstellt und diese gelöscht (shell.exe, svchost.exe, dwm.exe (..) im AppData Ordner). Jedoch ist mein System momentan teilweise merkwürdig mit >20% ausgelastet, aber laut Taskmanger/Prozesse verursacht das kein Programm? Aber nur zeitweise, im Moment liegts zw. 0-6%. Ich weiß, dass es das Beste ist, wenn man das System neu aufsetzt.. das tu ich aber nur ungern, wie ihr vielleicht verstehen könnt. Darum wollte ich euch bitten, euch mal meine Logs anzuschauen und vielleicht noch weitere Anweisungen zu geben, falls doch noch was übrig geblieben ist. Hier mein OTL Log: [CODE]WOTL Logfile: Code:
ATTFilter OTL logfile created on: 24.11.2010 20:05:06 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Users\***\Desktop 64bit- An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 65,00% Memory free 8,00 Gb Paging File | 6,00 Gb Available in Paging File | 81,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 45,65 Gb Total Space | 16,74 Gb Free Space | 36,66% Space Free | Partition Type: NTFS Drive D: | 410,00 Gb Total Space | 287,95 Gb Free Space | 70,23% Space Free | Partition Type: NTFS Drive G: | 7,39 Gb Total Space | 2,95 Gb Free Space | 39,83% Space Free | Partition Type: FAT32 Computer Name: *** | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Users\***\Desktop\OTL.exe (OldTimer Tools) PRC - D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - D:\Programme\TeamViewer\Version5\TeamViewer.exe (TeamViewer GmbH) PRC - D:\Programme\TeamViewer\Version5\TeamViewer_Service.exe (TeamViewer GmbH) PRC - D:\Programme\Opera\opera.exe (Opera Software) PRC - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Program Files (x86)\Sony\VAIO Event Service\VESMgr.exe (Sony Corporation) PRC - C:\Program Files (x86)\Sony\VAIO Event Service\VESMgrSub.exe (Sony Corporation) PRC - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation) PRC - C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe (Sony Corporation) PRC - D:\Programme\Virtual Clone Drive\VCDDaemon.exe (Elaborate Bytes AG) ========== Modules (SafeList) ========== MOD - C:\Users\***\Desktop\OTL.exe (OldTimer Tools) MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV:64bit: - (LckFldService) -- C:\Windows\SysNative\LckFldService.exe File not found SRV:64bit: - (VAIO Power Management) -- C:\Program Files\Sony\VAIO Power Management\SPMService.exe (Sony Corporation) SRV:64bit: - (VSNService) -- C:\Program Files\Sony\VAIO Smart Network\VSNService.exe (Sony Corporation) SRV:64bit: - (TurboBoost) -- C:\Program Files\Intel\TurboBoost\TurboBoost.exe (Intel(R) Corporation) SRV:64bit: - (SampleCollector) -- C:\Program Files\Sony\VAIO Care\collsvc.exe (Intel Corporation) SRV:64bit: - (yksvc) -- C:\Windows\SysNative\yk62x64.dll (Marvell) SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation) SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (TeamViewer5) -- D:\Programme\TeamViewer\Version5\TeamViewer_Service.exe (TeamViewer GmbH) SRV - (Apple Mobile Device) -- C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation) SRV - (VAIO Event Service) -- C:\Program Files (x86)\Sony\VAIO Event Service\VESMgr.exe (Sony Corporation) SRV - (IAANTMON) Intel(R) -- C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe (Intel Corporation) SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation) SRV - (RegSrvc) Intel(R) -- C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation) SRV - (btwdins) -- C:\Programme\WIDCOMM\Bluetooth Software\btwdins.exe (Broadcom Corporation.) SRV - (WinHttpAutoProxySvc) -- winhttp.dll (Microsoft Corporation) SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV:64bit: - (ZTEusbser6k) -- C:\Windows\SysNative\DRIVERS\ZTEusbser6k.sys File not found DRV:64bit: - (ZTEusbnmea) -- C:\Windows\SysNative\DRIVERS\ZTEusbnmea.sys File not found DRV:64bit: - (ZTEusbmdm6k) -- C:\Windows\SysNative\DRIVERS\ZTEusbmdm6k.sys File not found DRV:64bit: - (massfilter) -- C:\Windows\SysNative\drivers\massfilter.sys File not found DRV:64bit: - (DFUBTUSB) -- C:\Windows\SysNative\Drivers\frmupgr.sys File not found DRV:64bit: - (avgntflt) -- C:\Windows\SysNative\drivers\avgntflt.sys (Avira GmbH) DRV:64bit: - (TVICHW64) -- C:\Windows\SysNative\drivers\TVicHW64.sys (EnTech Taiwan) DRV:64bit: - (USBAAPL64) -- C:\Windows\SysNative\drivers\usbaapl64.sys (Apple, Inc.) DRV:64bit: - (avipbb) -- C:\Windows\SysNative\drivers\avipbb.sys (Avira GmbH) DRV:64bit: - (rimspci) -- C:\Windows\SysNative\drivers\rimssne64.sys (REDC) DRV:64bit: - (SFEP) -- C:\Windows\SysNative\drivers\SFEP.sys (Sony Corporation) DRV:64bit: - (ElbyCDIO) -- C:\Windows\SysNative\drivers\ElbyCDIO.sys (Elaborate Bytes AG) DRV:64bit: - (btwrchid) -- C:\Windows\SysNative\drivers\btwrchid.sys (Broadcom Corporation.) DRV:64bit: - (btwavdt) -- C:\Windows\SysNative\drivers\btwavdt.sys (Broadcom Corporation.) DRV:64bit: - (btwaudio) -- C:\Windows\SysNative\drivers\btwaudio.sys (Broadcom Corporation.) DRV:64bit: - (btusbflt) -- C:\Windows\SysNative\drivers\btusbflt.sys (Broadcom Corporation.) DRV:64bit: - (btwl2cap) -- C:\Windows\SysNative\drivers\btwl2cap.sys (Broadcom Corporation.) DRV:64bit: - (NVHDA) -- C:\Windows\SysNative\drivers\nvhda64v.sys (NVIDIA Corporation) DRV:64bit: - (ApfiltrService) -- C:\Windows\SysNative\drivers\Apfiltr.sys (Alps Electric Co., Ltd.) DRV:64bit: - (TurboB) -- C:\Windows\SysNative\drivers\TurboB.sys () DRV:64bit: - (iaStor) -- C:\Windows\SysNative\drivers\iaStor.sys (Intel Corporation) DRV:64bit: - (sdbus) -- C:\Windows\SysNative\drivers\sdbus.sys (Microsoft Corporation) DRV:64bit: - (NETw5s64) Intel(R) -- C:\Windows\SysNative\drivers\NETw5s64.sys (Intel Corporation) DRV:64bit: - (VClone) -- C:\Windows\SysNative\drivers\VClone.sys (Elaborate Bytes AG) DRV:64bit: - (yukonw7) -- C:\Windows\SysNative\drivers\yk62x64.sys (Marvell) DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices) DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices) DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.) DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation) DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company) DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology) DRV:64bit: - (ROOTMODEM) -- C:\Windows\SysNative\drivers\rootmdm.sys (Microsoft Corporation) DRV:64bit: - (Ntfs) -- C:\Windows\SysNative\wbem\ntfs.mof () DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation) DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation) DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation) DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.) DRV:64bit: - (GEARAspiWDM) -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys (GEAR Software Inc.) DRV:64bit: - (RimVSerPort) -- C:\Windows\SysNative\drivers\RimSerial_AMD64.sys (Research in Motion Ltd) DRV:64bit: - (RimUsb) -- C:\Windows\SysNative\drivers\RimUsb_AMD64.sys (Research In Motion Limited) DRV:64bit: - (ElbyCDFL) -- C:\Windows\SysNative\drivers\ElbyCDFL.sys (SlySoft, Inc.) DRV - (ElbyCDFL) -- C:\Windows\SysWOW64\drivers\ElbyCDFL.sys (SlySoft, Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = F2 E7 67 FE 76 8B CB 01 [binary data] IE - HKCU\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local;*.local ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de" FF - prefs.js..extensions.enabledItems: keyconfig@dorando:20080929 FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.1 FF - prefs.js..extensions.enabledItems: {73a6fe31-595d-460b-a920-fcc0f8843232}:2.0.5.1 FF - prefs.js..extensions.enabledItems: {cf47767d-5f3a-4e32-9fce-5d79565c9702}:1.1.1 FF - prefs.js..network.proxy.type: 0 FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Components: D:\Programme\Mozilla Firefox\components [2010.11.13 19:39:47 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins [2010.11.21 16:32:03 | 000,000,000 | ---D | M] [2010.02.01 00:23:07 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Extensions [2010.11.24 18:51:36 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions [2010.11.24 18:51:33 | 000,000,000 | ---D | M] (NoScript) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232} [2010.07.24 01:15:00 | 000,000,000 | ---D | M] (MR Tech Toolkit) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\{9669CC8F-B388-42FE-86F4-CB5E7F5A8BDC} [2010.11.24 18:51:33 | 000,000,000 | ---D | M] (LinkExtend) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\{cf47767d-5f3a-4e32-9fce-5d79565c9702} [2010.11.15 00:54:58 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [2010.07.05 20:30:06 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\{dc572301-7619-498c-a57d-39143191b318} [2010.04.27 14:14:29 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\keyconfig@dorando [2010.07.05 20:30:06 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\linky@gemal.dk [2010.07.24 01:02:11 | 000,000,000 | ---D | M] -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\x80j4zda.default\extensions\undoclosedtabsbutton@supernova00.biz O1 HOSTS File: ([2010.11.24 02:48:08 | 000,000,808 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office12\GR469A~1.DLL (Microsoft Corporation) O4:64bit: - HKLM..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe (Alps Electric Co., Ltd.) O4:64bit: - HKLM..\Run: [IAAnotif] C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe (Intel Corporation) O4:64bit: - HKLM..\Run: [NvCplDaemon] C:\Windows\SysNative\NvCpl.DLL (NVIDIA Corporation) O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor) O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [BrMfcWnd] C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.) O4 - HKLM..\Run: [ISBMgr.exe] C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe (Sony Corporation) O4 - HKLM..\Run: [VirtualCloneDrive] D:\Programme\Virtual Clone Drive\VCDDaemon.exe (Elaborate Bytes AG) O4 - HKCU..\Run: [ICQ] D:\Programme\ICQ 7\ICQ7.2\ICQ.exe (ICQ, LLC.) O4 - HKCU..\Run: [RESTART_STICKY_NOTES] C:\Windows\SysWow64\StikyNot.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0 O8:64bit: - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm () O8:64bit: - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm () O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9:64bit: - Extra Button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9:64bit: - Extra 'Tools' menuitem : @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - D:\Programme\ICQ 7\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - D:\Programme\ICQ 7\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL (Microsoft Corporation) O9 - Extra Button: Senden an Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra 'Tools' menuitem : Senden an &Bluetooth-Gerät... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.) O13 - gopher Prefix: missing O13 - gopher Prefix: missing O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18:64bit: - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~1\Office12\GRA32A~1.DLL (Microsoft Corporation) O18:64bit: - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18:64bit: - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18:64bit: - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18:64bit: - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O18 - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18 - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18 - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~2\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - explorer.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - SystemPropertiesPerformance.exe (Microsoft Corporation) O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - HKLM Winlogon: Shell - (explorer.exe) - explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - SystemPropertiesPerformance.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - Winlogon\Notify\VESWinlogon: DllName - VESWinlogon.dll - VESWinlogon.dll (Sony Corporation) O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~2\MICROS~1\Office12\GR469A~1.DLL (Microsoft Corporation) O29:64bit: - HKLM SecurityProviders - (credssp.dll) - credssp.dll (Microsoft Corporation) O29 - HKLM SecurityProviders - (credssp.dll) - credssp.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{a3f3637e-130c-11df-ac6b-0024beb51428}\Shell - "" = AutoRun O33 - MountPoints2\{a3f3637e-130c-11df-ac6b-0024beb51428}\Shell\AutoRun\command - "" = I:\Launcher.exe -- File not found O33 - MountPoints2\{a3f36380-130c-11df-ac6b-0024beb51428}\Shell - "" = AutoRun O33 - MountPoints2\{a3f36380-130c-11df-ac6b-0024beb51428}\Shell\AutoRun\command - "" = G:\Setup.exe -- File not found O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35:64bit: - HKLM\..comfile [open] -- "%1" %* O35:64bit: - HKLM\..exefile [open] -- "%1" %* O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %* O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2010.11.24 20:04:35 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Users\Pat\Desktop\OTL.exe [2010.11.24 16:49:25 | 000,000,000 | ---D | C] -- C:\ProgramData\SUPERAntiSpyware.com [2010.11.24 02:32:30 | 000,000,000 | ---D | C] -- C:\Users\***\DoctorWeb [2010.11.24 02:06:47 | 000,000,000 | ---D | C] -- C:\ProgramData\TEMP [2010.11.24 02:02:35 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools [2010.11.24 00:47:19 | 000,049,752 | ---- | C] (Sunbelt Software) -- C:\Windows\SysNative\drivers\SBREDrv.sys [2010.11.24 00:44:27 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Sunbelt Software [2010.11.24 00:43:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Lavasoft [2010.11.22 16:54:20 | 000,000,000 | ---D | C] -- C:\Users\***\Documents\ICQ 7 History 22.11.2010 [2010.11.13 23:29:38 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\TeamViewer [2010.11.12 23:35:24 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\mkvtoolnix [2010.11.09 13:06:25 | 000,000,000 | ---D | C] -- C:\Users\***\Documents\ICQ 6.5 History 09.11.2010 [2010.11.04 19:21:31 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\unlocker [2010.11.04 19:00:10 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\ProcessExplorer [2010.11.03 17:05:26 | 000,000,000 | ---D | C] -- C:\Users\Pat\Desktop\Mechanik 3 (Dynamik) VL [2010.11.03 16:54:27 | 000,000,000 | ---D | C] -- C:\Users\Pat\Desktop\Mechanik Skripte [2010.11.03 00:49:49 | 000,000,000 | ---D | C] -- C:\Users\Pat\Documents\OneNote-Notizbücher [2010.11.02 20:08:12 | 000,000,000 | ---D | C] -- C:\Windows\rescache [2010.11.02 14:13:10 | 000,961,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\CPFilters.dll [2010.11.02 14:13:10 | 000,641,536 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\CPFilters.dll [2010.11.02 14:13:10 | 000,552,960 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msdri.dll [2010.11.02 14:13:10 | 000,288,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\MSNP.ax [2010.11.02 14:13:10 | 000,258,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mpg2splt.ax [2010.11.02 14:13:10 | 000,204,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\MSNP.ax [2010.11.02 14:13:10 | 000,199,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mpg2splt.ax [2010.11.02 14:13:07 | 000,027,008 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\Diskdump.sys [2010.11.01 16:15:27 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\freecom programme [2010.10.28 23:43:25 | 000,000,000 | ---D | C] -- C:\Users\***\Logitech [2010.10.28 23:42:05 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Remote Control Software Common [2010.10.28 23:42:00 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Logitech [2010.10.28 23:41:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\Remote Control USB Driver [2010.10.27 16:52:08 | 000,000,000 | ---D | C] -- C:\Users\***\Desktop\Übungen + Lösungen [2 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2010.11.24 20:07:31 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI [2010.11.24 20:07:31 | 000,654,166 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat [2010.11.24 20:07:31 | 000,616,008 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat [2010.11.24 20:07:31 | 000,130,006 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat [2010.11.24 20:07:31 | 000,106,388 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat [2010.11.24 20:04:37 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe [2010.11.24 20:00:54 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2010.11.24 20:00:49 | 3156,807,680 | -HS- | M] () -- C:\hiberfil.sys [2010.11.24 18:00:10 | 000,013,248 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2010.11.24 18:00:10 | 000,013,248 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2010.11.24 17:48:20 | 000,296,448 | ---- | M] () -- C:\Users\***\Desktop\x5vslq3v.exe [2010.11.24 10:23:53 | 267,860,118 | ---- | M] () -- C:\Users\***\Documents\Registry Sicherung 24.11.10.reg [2010.11.24 02:48:08 | 000,000,808 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts [2010.11.24 02:31:53 | 052,429,296 | ---- | M] () -- C:\Users\***\Desktop\b957z6h4.exe [2010.11.24 02:24:19 | 042,730,616 | ---- | M] () -- C:\Users\***\Desktop\4k8t247w.exe [2010.11.24 02:02:27 | 000,511,968 | ---- | M] () -- C:\Users\***\Desktop\sdsetup2011.exe [2010.11.24 00:47:09 | 000,049,752 | ---- | M] (Sunbelt Software) -- C:\Windows\SysNative\drivers\SBREDrv.sys [2010.11.23 16:19:00 | 000,000,432 | ---- | M] () -- C:\Windows\BRWMARK.INI [2010.11.22 19:26:13 | 000,000,793 | ---- | M] () -- C:\Users\Public\Desktop\ICQ7.2.lnk [2010.11.21 16:32:04 | 000,001,731 | ---- | M] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk [2010.11.15 00:50:51 | 000,067,072 | ---- | M] () -- C:\Users\***\Desktop\Stundenplan.xls [2010.11.14 17:10:42 | 000,057,687 | ---- | M] () -- C:\Users\***\Documents\RG773121848.pdf [2010.11.13 23:29:38 | 000,000,791 | ---- | M] () -- C:\Users\Public\Desktop\TeamViewer 5.lnk [2010.11.13 14:19:19 | 000,050,054 | ---- | M] () -- C:\test.xml [2010.11.12 23:35:02 | 000,000,715 | ---- | M] () -- C:\Users\Public\Desktop\mkvmerge GUI.lnk [2010.11.10 12:58:36 | 000,000,600 | ---- | M] () -- C:\Users\***\AppData\Roaming\winscp.rnd [2010.11.05 14:20:16 | 000,000,847 | ---- | M] () -- C:\Users\***\Desktop\Subtitle Workshop.lnk [2010.11.03 16:52:46 | 008,508,066 | ---- | M] () -- C:\Users\***\Desktop\umdrucke.exe [2010.11.03 16:42:54 | 000,076,800 | ---- | M] () -- C:\Users\***\Desktop\Stundenplan_drittes_Semester_WS1011.xls [2010.11.02 14:19:59 | 000,081,584 | ---- | M] (Avira GmbH) -- C:\Windows\SysNative\drivers\avgntflt.sys [2010.11.01 23:56:32 | 000,000,162 | -H-- | M] () -- C:\Users\***\Desktop\~$undenplan_Anmerkungen_3sem.doc [2010.10.28 23:43:23 | 000,002,361 | ---- | M] () -- C:\Users\Public\Desktop\Logitech Harmony Remote Software 7.lnk [2 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2010.11.24 17:48:20 | 000,296,448 | ---- | C] () -- C:\Users\***\Desktop\x5vslq3v.exe [2010.11.24 10:23:44 | 267,860,118 | ---- | C] () -- C:\Users\***\Documents\Registry Sicherung 24.11.10.reg [2010.11.24 02:31:42 | 052,429,296 | ---- | C] () -- C:\Users\***\Desktop\b957z6h4.exe [2010.11.24 02:24:19 | 042,730,616 | ---- | C] () -- C:\Users\***\Desktop\4k8t247w.exe [2010.11.24 02:02:35 | 000,511,968 | ---- | C] () -- C:\Users\***\Desktop\sdsetup2011.exe [2010.11.22 19:26:13 | 000,000,793 | ---- | C] () -- C:\Users\Public\Desktop\ICQ7.2.lnk [2010.11.21 16:32:04 | 000,001,731 | ---- | C] () -- C:\Users\Public\Desktop\Adobe Reader 9.lnk [2010.11.14 22:57:13 | 000,067,072 | ---- | C] () -- C:\Users\***\Desktop\Stundenplan.xls [2010.11.14 17:10:40 | 000,057,687 | ---- | C] () -- C:\Users\***\Documents\RG773121848.pdf [2010.11.13 23:29:38 | 000,000,791 | ---- | C] () -- C:\Users\Public\Desktop\TeamViewer 5.lnk [2010.11.12 23:35:02 | 000,000,715 | ---- | C] () -- C:\Users\Public\Desktop\mkvmerge GUI.lnk [2010.11.05 14:20:16 | 000,000,847 | ---- | C] () -- C:\Users\***\Desktop\Subtitle Workshop.lnk [2010.11.01 23:56:32 | 000,000,162 | -H-- | C] () -- C:\Users\***\Desktop\~$undenplan_Anmerkungen_3sem.doc [2010.10.28 23:43:23 | 000,002,361 | ---- | C] () -- C:\Users\Public\Desktop\Logitech Harmony Remote Software 7.lnk [2010.09.04 13:51:04 | 000,000,600 | ---- | C] () -- C:\Users\***\AppData\Roaming\winscp.rnd [2010.08.06 19:54:51 | 000,007,609 | ---- | C] () -- C:\Users\***\AppData\Local\Resmon.ResmonCfg [2010.06.01 13:55:46 | 000,000,016 | ---- | C] () -- C:\Windows\SysWow64\Mlkf.dll [2010.05.17 17:07:46 | 000,000,432 | ---- | C] () -- C:\Windows\BRWMARK.INI [2010.05.17 17:06:07 | 000,045,056 | ---- | C] () -- C:\Windows\SysWow64\BRTCPCON.DLL [2010.05.17 17:06:05 | 000,000,114 | ---- | C] () -- C:\Windows\SysWow64\BRLMW03A.INI [2010.04.26 15:30:44 | 000,000,990 | -HS- | C] () -- C:\Users\***\AppData\Roaming\systemfl.$dk [2010.02.24 19:33:29 | 000,007,168 | ---- | C] () -- C:\Users\***\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll [2009.07.13 22:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll [2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\Windows\SysWow64\physxcudart_20.dll [2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelTraditionalChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSwedish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSpanish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelSimplifiedChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelPortugese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelKorean.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelJapanese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelGerman.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\SysWow64\AgCPanelFrench.dll ========== Files - Unicode (All) ========== [2010.09.06 23:47:43 | 000,077,744 | ---- | M] ()(C:\Users\***\Desktop\?t_was_all_a_dream_biggie.jpg) -- C:\Users\***\Desktop\ןt_was_all_a_dream_biggie.jpg [2010.09.06 23:47:42 | 000,077,744 | ---- | C] ()(C:\Users\***\Desktop\?t_was_all_a_dream_biggie.jpg) -- C:\Users\***\Desktop\ןt_was_all_a_dream_biggie.jpg ========== Alternate Data Streams ========== @Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:DFC5A2B2 < End of report > Hier das Extra-Log: OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 24.11.2010 20:05:06 - Run 1 OTL by OldTimer - Version 3.2.17.3 Folder = C:\Users\***\Desktop 64bit- An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 65,00% Memory free 8,00 Gb Paging File | 6,00 Gb Available in Paging File | 81,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 45,65 Gb Total Space | 16,74 Gb Free Space | 36,66% Space Free | Partition Type: NTFS Drive D: | 410,00 Gb Total Space | 287,95 Gb Free Space | 70,23% Space Free | Partition Type: NTFS Drive G: | 7,39 Gb Total Space | 2,95 Gb Free Space | 39,83% Space Free | Partition Type: FAT32 Computer Name: *** | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .url[@ = InternetShortcut] -- C:\Windows\System32\ieframe.DLL (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation) .url [@ = InternetShortcut] -- C:\Windows\System32\ieframe.DLL (Microsoft Corporation) [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- D:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* File not found cmdfile [open] -- "%1" %* File not found comfile [open] -- "%1" %* File not found exefile [open] -- "%1" %* File not found helpfile [open] -- Reg Error: Key error. inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation) InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation) piffile [open] -- "%1" %* File not found regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" File not found scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S File not found txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found Directory [AddToPlaylistVLC] -- "D:\Programme\VLC Player\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [Browse with &IrfanView] -- "D:\Programme\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan) Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [OneNote.Open] -- C:\PROGRA~2\MICROS~1\Office12\ONENOTE.EXE "%L" File not found Directory [PlayWithVLC] -- "D:\Programme\VLC Player\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation) InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [AddToPlaylistVLC] -- "D:\Programme\VLC Player\vlc.exe" --started-from-file --playlist-enqueue "%1" () Directory [Browse with &IrfanView] -- "D:\Programme\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan) Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [OneNote.Open] -- C:\PROGRA~2\MICROS~1\Office12\ONENOTE.EXE "%L" File not found Directory [PlayWithVLC] -- "D:\Programme\VLC Player\vlc.exe" --started-from-file --no-playlist-enqueue "%1" () Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "VistaSp1" = 28 4D B2 76 41 04 CA 01 [binary data] "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe" = C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7 -- () "C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe" = C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7 -- () [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe" = C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7 -- () "C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe" = C:\Program Files (x86)\Logitech\Logitech Harmony Remote Software 7\HarmonyRemote.exe:*:Enabled:Logitech Harmony Remote Software 7 -- () ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "{23B45E10-0CA5-43E9-BD6D-C2BD6CBE11AC}" = iTunes "{3156336D-8E44-3671-A6FE-AE51D3D6564E}" = Microsoft Windows SDK for Windows 7 (7.1) "{328CC232-CFDC-468B-A214-2E21300E4CB5}" = Apple Mobile Device Support "{39F4C6F9-618A-4E5B-8FB2-6BD661174E32}" = Überwachungstool für die Intel® Turbo-Boost-Technik "{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll "{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17 "{90120000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2007 "{90120000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2007 "{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager "{9CC5470D-6C5A-4835-8CDE-CD590FB26329}" = UGS NX 5.0 Documentation "{9E9D49A4-1DF4-4138-B7DB-5D87A893088E}" = WIDCOMM Bluetooth Software "{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Alps Pointing-device for VAIO "{B91110FB-33B4-468B-90C2-4D5E8AE3FAE1}" = Bonjour "{CCAFF072-4DDB-4846-963D-15F02A8E9472}" = Intel(R) PROSet/Wireless WiFi-Software "{DA5E371C-6333-3D8A-93A4-6FD5B20BCC6E}" = Microsoft Visual C++ 2010 x64 Redistributable - 10.0.30319 "{DBFC6AAE-DCCB-4C23-B01C-3EDDDC03298B}" = Debugging Tools for Windows (x64) "{E7F9E526-2324-437B-A609-E8C5309465CB}" = Microsoft Windows Performance Toolkit "{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile "3BA80AB4C7E9F8497C115C844953A3D4BEB84D21" = Windows Driver Package - Broadcom HIDClass (07/28/2009 6.2.0.9800) "930E4792BDAEAFB62A9514EE7578775658A5D07C" = Windows Driver Package - Broadcom Bluetooth (09/09/2009 6.2.0.9405) "Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile "Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "NVIDIA Drivers" = NVIDIA Drivers "ProInst" = Intel PROSet Wireless "Redirection Port Monitor" = RedMon - Redirection Port Monitor "SDKSetup_7.1.7600.0.30514" = Microsoft Windows SDK for Windows 7 (7.1) "WinRAR archiver" = WinRAR [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{048DB60B-5AD7-40D3-ACDA-6E8B233829FA}" = Logitech Harmony Remote Software 7 "{0899D75A-C2FC-42EA-A702-5B9A5F24EAD5}" = VAIO Smart Network "{0A35B15C-9CCD-4C0C-BD5B-34ABF8C95813}_is1" = ICQ 7.2 Build #3159 Banner Remover 1.0 "{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter "{196BB40D-1578-3D01-B289-BEFC77A11A1E}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 "{1CF704EF-627B-4957-8B50-5AE4B07EF7B9}_is1" = Omega 1.1 "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java(TM) 6 Update 15 "{3360D505-B0AA-4284-92DF-F872AF90A448}" = BlackBerry Device Software Updater "{36C5BBF0-E5BF-4DE1-B684-7E90B0C93FB5}" = VAIO Care "{3D9892BB-A751-4E48-ADC8-E4289956CE1D}" = QuickTime "{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker "{46E1B1F2-A279-4356-9B17-029F9CC72EAE}" = Brother MFL-Pro Suite DCP-7030 "{4E765B16-84C0-40FD-A33D-D58CC7C75603}" = UGS NX 5.0 "{52B65911-1559-4ED5-9461-46957FDD48CD}" = Borderlands "{5C6F884D-680C-448B-B4C9-22296EE1B206}" = Logitech Harmony Remote Software 7 "{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053 "{70991E0A-1108-437E-BA7D-085702C670C0}" = "{72042FA6-5609-489F-A8EA-3C2DD650F667}" = VAIO Control Center "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{72EFBFE4-C74F-4187-AEFD-73EA3BE968D6}" = ICQ7.2 "{803E4FA5-A940-4420-B89D-A8BC2E160247}" = VAIO Energie Verwaltung "{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable "{8471021C-F529-43DE-84DF-3612E10F58C4}" = Remote Control USB Driver "{87CC8013-56D1-43E1-A0A5-AD406B4EBA95}" = Opera 10.63 "{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007 "{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007 "{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007 "{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007 "{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007 "{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007 "{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007 "{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007 "{97298C5E-64D9-4957-8027-2E5B3705C185}" = BlackBerry Device Software v5.0.0 für das BlackBerry 8900-Smartphone "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{A7DA438C-2E43-4C20-BFDA-C1F4A6208558}" = Setting Utility Series "{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.1 - Deutsch "{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter "{B2D328BE-45AD-4D92-96F9-2151490A203E}" = Apple Application Support "{BEE64C14-BEF1-4610-8A68-A16EAA47B882}" = Futuremark SystemInfo "{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update "{C7477742-DDB4-43E5-AC8D-0259E1E661B1}" = VAIO Event Service "{CE86E2F5-850C-4207-94A3-A58D647B1733}" = BlackBerry Desktop Software 5.0.1 "{D56B0E27-4A3E-46C9-B5C1-D93D580C099C}" = NVIDIA PhysX v8.10.29 "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729) "{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01 "{FC1F75C6-760C-4F4B-912F-1F213C4F7550}" = UGS NX 5.0 CAST "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "BlackBerry_{CE86E2F5-850C-4207-94A3-A58D647B1733}" = BlackBerry Desktop Software 5.0.1 "Call of Duty Modern Warfare 2_is1" = Call of Duty Modern Warfare 2 "CCleaner" = CCleaner "CloneCD" = CloneCD "Dev-C++" = Dev-C++ 5 beta 9 release (4.9.9.2) "DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters "DivX Setup.divx.com" = DivX-Setup "ENTERPRISE" = Microsoft Office Enterprise 2007 "FreePDF_XP" = FreePDF (Remove only) "GPL Ghostscript 8.71" = GPL Ghostscript 8.71 "IrfanView" = IrfanView (remove only) "JDownloader" = JDownloader "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "MKVtoolnix" = MKVtoolnix 4.4.0 "Mozilla Firefox (3.6)" = Mozilla Firefox (3.6) "ST6UNST #1" = Magic Berry "SubtitleWorkshop" = Subtitle Workshop 2.51 "TeamViewer 5" = TeamViewer 5 "VirtualCloneDrive" = VirtualCloneDrive "VLC media player" = VLC media player 1.1.2 "VLC Setup Helper_is1" = VLC Setup Helper 3.01 "Winamp" = Winamp "winscp3_is1" = WinSCP 4.2.8 ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12) "Winamp Detect" = Winamp Erkennungs-Plug-in ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 23.11.2010 06:11:05 | Computer Name = *** | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: Continuously busy for more than a second Error - 23.11.2010 06:11:05 | Computer Name = *** | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledEvent 39144410 Error - 23.11.2010 06:11:05 | Computer Name = *** | Source = Bonjour Service | ID = 100 Description = Task Scheduling Error: m->NextScheduledSPRetry 39144410 Error - 23.11.2010 17:33:11 | Computer Name = *** | Source = VSS | ID = 8194 Description = Error - 23.11.2010 19:44:20 | Computer Name = *** | Source = Lavasoft Ad-Aware Service | ID = 0 Description = Error - 23.11.2010 21:05:44 | Computer Name = *** | Source = PerfNet | ID = 2004 Description = Error - 23.11.2010 21:07:46 | Computer Name = *** | Source = PerfNet | ID = 2004 Description = Error - 23.11.2010 21:13:18 | Computer Name = *** | Source = Microsoft-Windows-CAPI2 | ID = 4107 Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 23.11.2010 21:13:18 | Computer Name = *** | Source = Microsoft-Windows-CAPI2 | ID = 4107 Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 23.11.2010 21:14:24 | Computer Name = *** | Source = pctsSvc.exe | ID = 0 Description = [ System Events ] Error - 17.10.2010 09:11:02 | Computer Name = *** | Source = volsnap | ID = 393252 Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte. Error - 18.10.2010 16:27:52 | Computer Name = *** | Source = volsnap | ID = 393252 Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte. Error - 20.10.2010 19:54:22 | Computer Name = *** | Source = volsnap | ID = 393252 Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte. Error - 23.10.2010 10:28:42 | Computer Name = *** | Source = volsnap | ID = 393252 Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte. Error - 27.10.2010 12:10:50 | Computer Name = *** | Source = Server | ID = 2505 Description = Aufgrund eines doppelten Netzwerknamens konnte zu der Transportschicht \Device\NetBT_Tcpip_{E2E23454-143E-46F8-9920-6ABE24B8F1BD} vom Serverdienst nicht gebunden werden. Der Serverdienst konnte nicht gestartet werden. Error - 31.10.2010 18:52:11 | Computer Name = *** | Source = volsnap | ID = 393252 Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte. Error - 03.11.2010 07:07:20 | Computer Name = *** | Source = EventLog | ID = 6008 Description = Das System wurde zuvor am ?03.?11.?2010 um 01:24:54 unerwartet heruntergefahren. Error - 03.11.2010 07:08:22 | Computer Name = *** | Source = DCOM | ID = 10010 Description = Error - 05.11.2010 07:22:46 | Computer Name = *** | Source = EventLog | ID = 6008 Description = Das System wurde zuvor am ?05.?11.?2010 um 00:46:22 unerwartet heruntergefahren. Error - 07.11.2010 19:30:44 | Computer Name = *** | Source = EventLog | ID = 6008 Description = Das System wurde zuvor am ?08.?11.?2010 um 00:29:42 unerwartet heruntergefahren. < End of report > Das sind übrigens Namen von Dr. Web CureIT und GMER: Code:
ATTFilter \x5vslq3v.exe \b957z6h4.exe \4k8t247w.exe |
24.11.2010, 22:04 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden?Zitat:
__________________ |
24.11.2010, 22:18 | #3 |
| Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Unklugerweise hab ich nur noch die von MBAM (hatte bei CureIT ein Problem mit dem Speichern und es waren 3 Uhr nachts, da hatte ich nur noch wenig Nerven..):
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5178 Windows 6.1.7600 (Safe Mode) Internet Explorer 8.0.7600.16385 24.11.2010 16:21:51 mbam-log-2010-11-24 (16-21-51).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 144153 Laufzeit: 3 Minute(n), 16 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Users\Pat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Users\Pat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully. C:\Users\Pat\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antimalware Doctor\Uninstall.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully. Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5178 Windows 6.1.7600 (Safe Mode) Internet Explorer 8.0.7600.16385 24.11.2010 01:56:33 mbam-log-2010-11-24 (01-56-33).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 121438 Laufzeit: 26 Minute(n), 54 Sekunde(n) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: C:\Users\Pat\AppData\Local\Temp\dwm.exe (Backdoor.GBot) -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.GBot) -> Data: c:\users\pat\appdata\local\temp\dwm.exe -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\Pat\AppData\Local\Temp\dwm.exe (Backdoor.GBot) -> Quarantined and deleted successfully. C:\jdsfjsdijf.exe\jdsfjsdijf.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. |
24.11.2010, 23:55 | #4 |
| Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Kann man im Nachhinein nicht mehr editieren oder bin ich blind? Falls letzteres, seht mir das bitte nach. Hab noch einen AntiVir Scan vergessen: Code:
ATTFilter Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 24. November 2010 17:53 Es wird nach 3073245 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 x64 Windowsversion : (plain) [6.1.7600] Boot Modus : Normal gebootet Benutzername : *** Computername : *** Versionsinformationen: BUILD.DAT : 10.0.0.592 31823 Bytes 09.08.2010 10:49:00 AVSCAN.EXE : 10.0.3.1 434344 Bytes 02.11.2010 13:19:59 AVSCAN.DLL : 10.0.3.0 56168 Bytes 19.04.2010 09:09:00 LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52 VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 23:19:51 VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 23:20:40 VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 23:20:59 VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:30:21 VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 11:21:09 VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 19:12:59 VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 17:31:18 VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 16:42:02 VBASE009.VDF : 7.10.13.80 2265600 Bytes 02.11.2010 11:26:53 VBASE010.VDF : 7.10.13.81 2048 Bytes 02.11.2010 11:26:53 VBASE011.VDF : 7.10.13.82 2048 Bytes 02.11.2010 11:26:53 VBASE012.VDF : 7.10.13.83 2048 Bytes 02.11.2010 11:26:53 VBASE013.VDF : 7.10.13.116 147968 Bytes 04.11.2010 11:26:54 VBASE014.VDF : 7.10.13.147 146944 Bytes 07.11.2010 10:05:02 VBASE015.VDF : 7.10.13.180 123904 Bytes 09.11.2010 15:05:44 VBASE016.VDF : 7.10.13.211 122368 Bytes 11.11.2010 15:05:44 VBASE017.VDF : 7.10.13.243 147456 Bytes 15.11.2010 23:52:35 VBASE018.VDF : 7.10.14.15 142848 Bytes 17.11.2010 10:37:32 VBASE019.VDF : 7.10.14.41 134144 Bytes 19.11.2010 12:57:07 VBASE020.VDF : 7.10.14.42 2048 Bytes 19.11.2010 12:57:07 VBASE021.VDF : 7.10.14.43 2048 Bytes 19.11.2010 12:57:07 VBASE022.VDF : 7.10.14.44 2048 Bytes 19.11.2010 12:57:08 VBASE023.VDF : 7.10.14.45 2048 Bytes 19.11.2010 12:57:08 VBASE024.VDF : 7.10.14.46 2048 Bytes 19.11.2010 12:57:08 VBASE025.VDF : 7.10.14.47 2048 Bytes 19.11.2010 12:57:08 VBASE026.VDF : 7.10.14.48 2048 Bytes 19.11.2010 12:57:08 VBASE027.VDF : 7.10.14.49 2048 Bytes 19.11.2010 12:57:08 VBASE028.VDF : 7.10.14.50 2048 Bytes 19.11.2010 12:57:09 VBASE029.VDF : 7.10.14.51 2048 Bytes 19.11.2010 12:57:09 VBASE030.VDF : 7.10.14.52 2048 Bytes 19.11.2010 12:57:09 VBASE031.VDF : 7.10.14.56 54784 Bytes 21.11.2010 00:14:07 Engineversion : 8.2.4.98 AEVDF.DLL : 8.1.2.1 106868 Bytes 29.07.2010 17:29:32 AESCRIPT.DLL : 8.1.3.46 1364347 Bytes 04.11.2010 11:26:58 AESCN.DLL : 8.1.6.1 127347 Bytes 13.05.2010 01:52:14 AESBX.DLL : 8.1.3.1 254324 Bytes 23.04.2010 15:42:41 AERDL.DLL : 8.1.9.2 635252 Bytes 22.09.2010 12:20:26 AEPACK.DLL : 8.2.3.11 471416 Bytes 11.10.2010 13:37:55 AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21.07.2010 17:26:14 AEHEUR.DLL : 8.1.2.41 3043703 Bytes 12.11.2010 15:06:39 AEHELP.DLL : 8.1.14.0 246134 Bytes 11.10.2010 13:37:32 AEGEN.DLL : 8.1.3.24 401781 Bytes 04.11.2010 11:26:55 AEEMU.DLL : 8.1.2.0 393588 Bytes 23.04.2010 15:42:38 AECORE.DLL : 8.1.17.0 196982 Bytes 25.09.2010 11:10:11 AEBB.DLL : 8.1.1.0 53618 Bytes 23.04.2010 15:42:37 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 02.11.2010 13:19:59 AVSCPLR.DLL : 10.0.3.1 83816 Bytes 02.11.2010 13:19:59 AVARKT.DLL : 10.0.0.14 227176 Bytes 19.04.2010 09:09:00 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 02.11.2010 13:19:58 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: D:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Mittwoch, 24. November 2010 17:53 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer.exe' - '84' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '97' Modul(e) wurden durchsucht Durchsuche Prozess 'VESMgrSub.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'DllHost.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'IAANTMon.exe' - '36' Modul(e) wurden durchsucht Durchsuche Prozess 'reader_sl.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'VCDDaemon.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'VESMgr.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '64' Modul(e) wurden durchsucht Durchsuche Prozess 'ISBMgr.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer_Service.exe' - '89' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'ICQ.exe' - '111' Modul(e) wurden durchsucht Durchsuche Prozess 'IAAnotif.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '105' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Users\***\AppData\Local\Temp\jar_cache7268862762375443631.tmp [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Remote.B --> LwlzJs.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Remote.B --> S__T_Ij.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.abj --> vjOAPpiYCQB.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.A C:\Users\***\DoctorWeb\Quarantine\401ce568-11556580 [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.A --> bpac/Bombapack.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.A C:\Users\***\DoctorWeb\Quarantine\5982fcbe-2b9aa040 [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agen.NA.1 --> AppletX.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agen.NA.1 C:\Users\***\DoctorWeb\Quarantine\6fa8deaa-1929b2f0 [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212 --> bpac/a.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212 C:\Users\***\DoctorWeb\Quarantine\jar_cache1943627153099591050.tmp [0] Archivtyp: ZIP [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212 --> bpac/a.class [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212 Beginne mit der Suche in 'D:\' Beginne mit der Desinfektion: C:\Users\***\DoctorWeb\Quarantine\jar_cache1943627153099591050.tmp [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a5ced11.qua' verschoben! C:\Users\***\DoctorWeb\Quarantine\6fa8deaa-1929b2f0 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Agent.2212 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52dac2b3.qua' verschoben! C:\Users\***\DoctorWeb\Quarantine\5982fcbe-2b9aa040 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agen.NA.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '00ee9876.qua' verschoben! C:\Users\***\DoctorWeb\Quarantine\401ce568-11556580 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenStream.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '66e2d7af.qua' verschoben! C:\Users\***\AppData\Local\Temp\jar_cache7268862762375443631.tmp [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rowindal.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2327faa2.qua' verschoben! Ende des Suchlaufs: Mittwoch, 24. November 2010 18:20 Benötigte Zeit: 26:17 Minute(n) Der Suchlauf wurde abgebrochen! 20226 Verzeichnisse wurden überprüft 331838 Dateien wurden geprüft 7 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 331831 Dateien ohne Befall 2596 Archive wurden durchsucht 0 Warnungen 5 Hinweise |
25.11.2010, 13:18 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL O32 - HKLM CDRom: AutoRun - 1 O33 - MountPoints2\{a3f3637e-130c-11df-ac6b-0024beb51428}\Shell - "" = AutoRun O33 - MountPoints2\{a3f3637e-130c-11df-ac6b-0024beb51428}\Shell\AutoRun\command - "" = I:\Launcher.exe -- File not found O33 - MountPoints2\{a3f36380-130c-11df-ac6b-0024beb51428}\Shell - "" = AutoRun O33 - MountPoints2\{a3f36380-130c-11df-ac6b-0024beb51428}\Shell\AutoRun\command - "" = G:\Setup.exe -- File not found @Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:DFC5A2B2 :Commands [purity] [resethosts] [emptytemp] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________ Logfiles bitte immer in CODE-Tags posten |
25.11.2010, 18:31 | #6 |
| Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Gesagt, getan Code:
ATTFilter All processes killed ========== OTL ========== HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a3f3637e-130c-11df-ac6b-0024beb51428}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a3f3637e-130c-11df-ac6b-0024beb51428}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a3f3637e-130c-11df-ac6b-0024beb51428}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a3f3637e-130c-11df-ac6b-0024beb51428}\ not found. File I:\Launcher.exe not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a3f36380-130c-11df-ac6b-0024beb51428}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a3f36380-130c-11df-ac6b-0024beb51428}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a3f36380-130c-11df-ac6b-0024beb51428}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a3f36380-130c-11df-ac6b-0024beb51428}\ not found. File G:\Setup.exe not found. ADS C:\ProgramData\TEMP:DFC5A2B2 deleted successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Pat ->Temp folder emptied: 65412743 bytes ->Temporary Internet Files folder emptied: 15843666 bytes ->Java cache emptied: 17993143 bytes ->FireFox cache emptied: 101537044 bytes ->Opera cache emptied: 98235 bytes ->Flash cache emptied: 41981 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 155648 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 179957 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67698 bytes RecycleBin emptied: 893667161 bytes Total Files Cleaned = 1.044,00 mb OTL by OldTimer - Version 3.2.17.3 log created on 11252010_182633 Files\Folders moved on Reboot... C:\Users\Pat\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. Registry entries deleted on Reboot... |
26.11.2010, 18:57 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
26.11.2010, 19:06 | #8 |
| Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Ok Code:
ATTFilter MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows 7 Professional Windows Information: (build 7600), 64-bit Base Board Manufacturer: Sony Corporation BIOS Manufacturer: American Megatrends Inc. System Manufacturer: Sony Corporation System Product Name: VPCF11M1E Logical Drives Mask: 0x0000007c Kernel Drivers (total 206): 0x03065000 \SystemRoot\system32\ntoskrnl.exe 0x0301C000 \SystemRoot\system32\hal.dll 0x00B9F000 \SystemRoot\system32\kdcom.dll 0x00C66000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x00CAA000 \SystemRoot\system32\PSHED.dll 0x00CBE000 \SystemRoot\system32\CLFS.SYS 0x00D1C000 \SystemRoot\system32\CI.dll 0x00E0D000 \SystemRoot\system32\drivers\Wdf01000.sys 0x00EB1000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x00EC0000 \SystemRoot\system32\DRIVERS\ACPI.sys 0x00F17000 \SystemRoot\system32\DRIVERS\WMILIB.SYS 0x00F20000 \SystemRoot\system32\DRIVERS\msisadrv.sys 0x00F2A000 \SystemRoot\system32\DRIVERS\pci.sys 0x00F5D000 \SystemRoot\system32\DRIVERS\vdrvroot.sys 0x00F6A000 \SystemRoot\System32\drivers\partmgr.sys 0x00F7F000 \SystemRoot\system32\DRIVERS\compbatt.sys 0x00F88000 \SystemRoot\system32\DRIVERS\BATTC.SYS 0x00F94000 \SystemRoot\system32\DRIVERS\volmgr.sys 0x00C00000 \SystemRoot\System32\drivers\volmgrx.sys 0x00FA9000 \SystemRoot\System32\drivers\mountmgr.sys 0x0106F000 \SystemRoot\system32\DRIVERS\iaStor.sys 0x0118B000 \SystemRoot\system32\DRIVERS\atapi.sys 0x01194000 \SystemRoot\system32\DRIVERS\ataport.SYS 0x011BE000 \SystemRoot\system32\DRIVERS\msahci.sys 0x011C9000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS 0x011D9000 \SystemRoot\system32\DRIVERS\amdxata.sys 0x01000000 \SystemRoot\system32\drivers\fltmgr.sys 0x0104C000 \SystemRoot\system32\drivers\fileinfo.sys 0x01230000 \SystemRoot\System32\Drivers\Ntfs.sys 0x01422000 \SystemRoot\System32\Drivers\msrpc.sys 0x01480000 \SystemRoot\System32\Drivers\ksecdd.sys 0x0149A000 \SystemRoot\System32\Drivers\cng.sys 0x0150D000 \SystemRoot\System32\drivers\pcw.sys 0x0151E000 \SystemRoot\System32\Drivers\Fs_Rec.sys 0x016D9000 \SystemRoot\system32\drivers\ndis.sys 0x01600000 \SystemRoot\system32\drivers\NETIO.SYS 0x01660000 \SystemRoot\System32\Drivers\ksecpkg.sys 0x01802000 \SystemRoot\System32\drivers\tcpip.sys 0x0168B000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x017CB000 \SystemRoot\system32\DRIVERS\vmstorfl.sys 0x01528000 \SystemRoot\system32\DRIVERS\volsnap.sys 0x017DB000 \SystemRoot\System32\Drivers\spldr.sys 0x01574000 \SystemRoot\System32\drivers\rdyboost.sys 0x017E3000 \SystemRoot\System32\Drivers\mup.sys 0x017F5000 \SystemRoot\System32\drivers\hwpolicy.sys 0x015AE000 \SystemRoot\System32\DRIVERS\fvevol.sys 0x015E8000 \SystemRoot\system32\DRIVERS\disk.sys 0x01200000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS 0x02D8E000 \SystemRoot\system32\DRIVERS\cdrom.sys 0x02DB8000 \SystemRoot\System32\Drivers\Null.SYS 0x02DC1000 \SystemRoot\System32\Drivers\Beep.SYS 0x02DC8000 \SystemRoot\System32\drivers\vga.sys 0x02DD6000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x02C00000 \SystemRoot\System32\drivers\watchdog.sys 0x02C10000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x02C19000 \SystemRoot\system32\drivers\rdpencdd.sys 0x02C22000 \SystemRoot\system32\drivers\rdprefmp.sys 0x02C2B000 \SystemRoot\System32\Drivers\Msfs.SYS 0x02C36000 \SystemRoot\System32\Drivers\Npfs.SYS 0x013D3000 \SystemRoot\system32\DRIVERS\tdx.sys 0x02C47000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x03A88000 \SystemRoot\system32\drivers\afd.sys 0x03B12000 \SystemRoot\System32\DRIVERS\netbt.sys 0x03B57000 \SystemRoot\system32\DRIVERS\wfplwf.sys 0x03B60000 \SystemRoot\system32\DRIVERS\pacer.sys 0x03B86000 \SystemRoot\system32\DRIVERS\vwififlt.sys 0x03B9C000 \SystemRoot\system32\DRIVERS\netbios.sys 0x03BAB000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x03BC6000 \SystemRoot\system32\DRIVERS\termdd.sys 0x03A00000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x03A51000 \SystemRoot\system32\drivers\nsiproxy.sys 0x03A5D000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0x03A68000 \SystemRoot\System32\Drivers\ElbyCDIO.sys 0x03A73000 \SystemRoot\System32\drivers\discache.sys 0x040A2000 \SystemRoot\system32\drivers\csc.sys 0x04125000 \SystemRoot\System32\Drivers\dfsc.sys 0x04143000 \SystemRoot\system32\DRIVERS\blbdrive.sys 0x04154000 \SystemRoot\system32\DRIVERS\avipbb.sys 0x04176000 \SystemRoot\system32\DRIVERS\tunnel.sys 0x0486F000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys 0x05393000 \SystemRoot\system32\DRIVERS\nvBridge.kmd 0x04222000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x04316000 \SystemRoot\System32\drivers\dxgmms1.sys 0x0435C000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0x04380000 \SystemRoot\system32\DRIVERS\usbehci.sys 0x04391000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0x056FA000 \SystemRoot\system32\DRIVERS\NETw5s64.sys 0x05DA7000 \SystemRoot\system32\DRIVERS\vwifibus.sys 0x05DB4000 \SystemRoot\system32\DRIVERS\sdbus.sys 0x05DD4000 \SystemRoot\system32\DRIVERS\rimssne64.sys 0x05600000 \SystemRoot\system32\DRIVERS\1394ohci.sys 0x0563E000 \SystemRoot\system32\DRIVERS\yk62x64.sys 0x056A2000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0x056C0000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x05395000 \SystemRoot\system32\DRIVERS\Apfiltr.sys 0x056CF000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x056DE000 \SystemRoot\system32\DRIVERS\SFEP.sys 0x056E1000 \SystemRoot\System32\Drivers\ElbyCDFL.sys 0x043E7000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0x04200000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x056EF000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0x053D9000 \SystemRoot\system32\DRIVERS\CompositeBus.sys 0x05DF4000 \SystemRoot\System32\Drivers\RootMdm.sys 0x053E9000 \SystemRoot\system32\drivers\modem.sys 0x04800000 \SystemRoot\system32\DRIVERS\AgileVpn.sys 0x04816000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x04216000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x0483A000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x0419C000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x041B7000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x041D8000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x043F4000 \SystemRoot\system32\DRIVERS\RimSerial_AMD64.sys 0x041F2000 \SystemRoot\system32\DRIVERS\rdpbus.sys 0x04000000 \SystemRoot\system32\DRIVERS\VClone.sys 0x0400F000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS 0x05DFC000 \SystemRoot\system32\DRIVERS\swenum.sys 0x0403E000 \SystemRoot\system32\DRIVERS\ks.sys 0x04081000 \SystemRoot\system32\DRIVERS\umbus.sys 0x06064000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x060BE000 \SystemRoot\system32\DRIVERS\sffp_sd.sys 0x060C7000 \SystemRoot\system32\DRIVERS\sffdisk.sys 0x060D0000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x060E5000 \SystemRoot\system32\drivers\nvhda64v.sys 0x060FD000 \SystemRoot\system32\drivers\portcls.sys 0x0613A000 \SystemRoot\system32\drivers\drmk.sys 0x0615C000 \SystemRoot\system32\drivers\ksthunk.sys 0x07877000 \SystemRoot\system32\drivers\RTKVHD64.sys 0x07A92000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0x07AAF000 \SystemRoot\system32\DRIVERS\USBD.SYS 0x07AB1000 \SystemRoot\System32\Drivers\usbvideo.sys 0x07ADF000 \SystemRoot\System32\Drivers\fastfat.SYS 0x00020000 \SystemRoot\System32\win32k.sys 0x07B15000 \SystemRoot\System32\drivers\Dxapi.sys 0x07B21000 \SystemRoot\system32\DRIVERS\hidusb.sys 0x07B2F000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0x07B48000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0x07B51000 \SystemRoot\system32\DRIVERS\mouhid.sys 0x07B5E000 \SystemRoot\system32\DRIVERS\monitor.sys 0x00470000 \SystemRoot\System32\TSDDD.dll 0x006B0000 \SystemRoot\System32\cdd.dll 0x07B6C000 \SystemRoot\System32\Drivers\crashdmp.sys 0x02C54000 \SystemRoot\System32\Drivers\dump_iaStor.sys 0x07B7A000 \SystemRoot\System32\Drivers\dump_dumpfve.sys 0x07B8D000 \SystemRoot\system32\drivers\luafv.sys 0x07BB0000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0x07BCD000 \SystemRoot\system32\drivers\WudfPf.sys 0x07800000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x07815000 \SystemRoot\system32\DRIVERS\nwifi.sys 0x06162000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x06175000 \SystemRoot\system32\DRIVERS\rspndr.sys 0x07868000 \SystemRoot\system32\DRIVERS\TurboB.sys 0x03C33000 \SystemRoot\system32\drivers\HTTP.sys 0x03CFB000 \SystemRoot\system32\DRIVERS\bowser.sys 0x03D19000 \SystemRoot\System32\drivers\mpsdrv.sys 0x03D31000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0x03D5E000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0x03DAC000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0x07CF6000 \SystemRoot\system32\drivers\peauth.sys 0x07D9C000 \SystemRoot\System32\Drivers\secdrv.SYS 0x07DA7000 \SystemRoot\System32\DRIVERS\srvnet.sys 0x07DD4000 \SystemRoot\System32\drivers\tcpipreg.sys 0x07DE6000 \SystemRoot\system32\DRIVERS\vwifimp.sys 0x07C00000 \SystemRoot\System32\DRIVERS\srv2.sys 0x082DA000 \SystemRoot\System32\DRIVERS\srv.sys 0x08370000 \SystemRoot\system32\DRIVERS\WUDFRd.sys 0x08271000 \SystemRoot\system32\DRIVERS\asyncmac.sys 0x77710000 \Windows\System32\ntdll.dll 0x48040000 \Windows\System32\smss.exe 0xFFA30000 \Windows\System32\apisetschema.dll 0xFF4A0000 \Windows\System32\autochk.exe 0x778E0000 \Windows\System32\normaliz.dll 0xFF810000 \Windows\System32\ole32.dll 0x775F0000 \Windows\System32\kernel32.dll 0xFF7C0000 \Windows\System32\Wldap32.dll 0xFF770000 \Windows\System32\ws2_32.dll 0xFF700000 \Windows\System32\gdi32.dll 0xFF6E0000 \Windows\System32\imagehlp.dll 0xFF480000 \Windows\System32\iertutil.dll 0xFF470000 \Windows\System32\nsi.dll 0xFF460000 \Windows\System32\lpk.dll 0xFF380000 \Windows\System32\advapi32.dll 0x778D0000 \Windows\System32\psapi.dll 0xFF2A0000 \Windows\System32\oleaut32.dll 0x774F0000 \Windows\System32\user32.dll 0xFF270000 \Windows\System32\imm32.dll 0xFF160000 \Windows\System32\msctf.dll 0xFEFE0000 \Windows\System32\urlmon.dll 0xFEF10000 \Windows\System32\usp10.dll 0xFEE70000 \Windows\System32\clbcatq.dll 0xFEDD0000 \Windows\System32\msvcrt.dll 0xFED50000 \Windows\System32\difxapi.dll 0xFDFC0000 \Windows\System32\shell32.dll 0xFDFA0000 \Windows\System32\sechost.dll 0xFDE70000 \Windows\System32\wininet.dll 0xFDDF0000 \Windows\System32\shlwapi.dll 0xFDCC0000 \Windows\System32\rpcrt4.dll 0xFDC20000 \Windows\System32\comdlg32.dll 0xFDA40000 \Windows\System32\setupapi.dll 0xFD8D0000 \Windows\System32\crypt32.dll 0xFD860000 \Windows\System32\KernelBase.dll 0xFD820000 \Windows\System32\cfgmgr32.dll 0xFD780000 \Windows\System32\comctl32.dll 0xFD760000 \Windows\System32\devobj.dll 0xFD720000 \Windows\System32\wintrust.dll 0xFD710000 \Windows\System32\msasn1.dll 0x76C60000 \Windows\SysWOW64\normaliz.dll Processes (total 73): 0 System Idle Process 4 System 316 C:\Windows\System32\smss.exe 544 csrss.exe 604 C:\Windows\System32\wininit.exe 632 csrss.exe 668 C:\Windows\System32\services.exe 692 C:\Windows\System32\lsass.exe 700 C:\Windows\System32\lsm.exe 804 C:\Windows\System32\svchost.exe 904 C:\Windows\System32\nvvsvc.exe 944 C:\Windows\System32\svchost.exe 1004 C:\Windows\System32\svchost.exe 288 C:\Windows\System32\svchost.exe 364 C:\Windows\System32\svchost.exe 696 C:\Windows\System32\audiodg.exe 1140 C:\Windows\System32\svchost.exe 1248 C:\Windows\System32\svchost.exe 1308 C:\Windows\System32\winlogon.exe 1416 C:\Windows\System32\nvvsvc.exe 1464 C:\Windows\System32\wlanext.exe 1472 C:\Windows\System32\conhost.exe 1572 C:\Windows\System32\spoolsv.exe 1608 D:\Programme\Avira\AntiVir Desktop\sched.exe 1628 C:\Windows\System32\svchost.exe 1688 C:\Windows\System32\svchost.exe 1756 D:\Programme\Avira\AntiVir Desktop\avguard.exe 1836 C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe 1856 C:\Program Files (x86)\Bonjour\mDNSResponder.exe 1888 C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe 1924 C:\Program Files\Intel\WiFi\bin\EvtEng.exe 1976 D:\Programme\Avira\AntiVir Desktop\avshadow.exe 1984 C:\Windows\System32\conhost.exe 1224 C:\Windows\System32\taskhost.exe 2068 C:\Windows\System32\dwm.exe 2100 C:\Windows\explorer.exe 2136 C:\Windows\System32\taskeng.exe 2152 C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe 2216 C:\Windows\System32\taskeng.exe 2248 C:\Program Files\Sony\VAIO Care\VAIOCareService.exe 2260 C:\Program Files\Sony\VAIO Power Management\SPMgr.exe 2368 D:\Programme\TeamViewer\Version5\TeamViewer_Service.exe 2568 C:\Program Files (x86)\Sony\VAIO Event Service\VESMgr.exe 2736 dllhost.exe 2836 unsecapp.exe 2856 C:\Program Files\Sony\VAIO Power Management\SPMService.exe 2916 C:\Program Files (x86)\Sony\VAIO Event Service\VESMgrSub.exe 2096 WmiPrvSE.exe 2116 WUDFHost.exe 3188 D:\Programme\TeamViewer\Version5\TeamViewer.exe 3312 C:\Windows\System32\SearchIndexer.exe 3544 C:\Program Files\Apoint\Apoint.exe 3568 C:\Program Files\Windows Sidebar\sidebar.exe 3628 C:\Windows\System32\StikyNot.exe 3912 C:\Program Files\Apoint\ApMsgFwd.exe 3952 C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe 4020 D:\Programme\Avira\AntiVir Desktop\avgnt.exe 4052 D:\Programme\Virtual Clone Drive\VCDDaemon.exe 3096 C:\Program Files\Apoint\Apvfb.exe 3452 C:\Program Files\Intel\TurboBoost\TurboBoost.exe 3668 C:\Program Files\Apoint\ApntEx.exe 3704 C:\Windows\System32\conhost.exe 3936 D:\Programme\Opera\opera.exe 4464 C:\Program Files\Sony\VAIO Care\VCsystray.exe 4320 C:\Windows\System32\svchost.exe 4640 C:\Windows\System32\taskmgr.exe 4892 C:\Windows\System32\SearchProtocolHost.exe 4080 C:\Windows\System32\SearchFilterHost.exe 2456 C:\Windows\System32\mobsync.exe 1816 dllhost.exe 3028 dllhost.exe 4520 C:\Users\Pat\Desktop\MBRCheck.exe 4196 C:\Windows\System32\conhost.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`86b00000 (NTFS) \\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000d`f0900000 (NTFS) PhysicalDrive0 Model Number: FUJITSUMJA2500BHG1, Rev: 0041001A Size Device Name MBR Status -------------------------------------------- 465 GB \\.\PhysicalDrive0 Windows 7 MBR code detected SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79 Done! |
26.11.2010, 19:25 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
27.11.2010, 16:50 | #10 |
| Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden?Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 11/27/2010 at 04:45 PM Application Version : 4.46.1000 Core Rules Database Version : 5919 Trace Rules Database Version: 3731 Scan type : Complete Scan Total Scan Time : 01:51:32 Memory items scanned : 638 Memory threats detected : 0 Registry items scanned : 14285 Registry threats detected : 0 File items scanned : 301295 File threats detected : 0 Code:
ATTFilter Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5199 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 27.11.2010 14:39:11 mbam-log-2010-11-27 (14-39-11).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 436714 Laufzeit: 50 Minute(n), 29 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Kann/Soll ich sonst noch irgendwas machen? Ansonsten auf jeden Fall schon mal ein dickes Dankeschön! |
27.11.2010, 17:19 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Sieht ok aus. Noch Probleme oder weitere Funde in der Zwischenzeit?
__________________ Logfiles bitte immer in CODE-Tags posten |
27.11.2010, 18:14 | #12 |
| Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Hm, bin jetzt zum ersten mal wieder richtig mit dem PC online gegangen und die Windows Firewall hatte nachgefragt, ob ich ICQ zulassen will. Weiß nicht, ob das was zu sagen hat. Fands nur etwas komisch, da ICQ halt schon immer zugelassen war und ich an der Einstellung nichts geändert habe. Oder hat vielleicht eines der Antiviren-Programme die Einstellungen zur Sicherheit geändert? Ansonsten siehts prima aus |
27.11.2010, 18:28 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Dann wären wir durch! Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
27.11.2010, 19:47 | #14 |
| Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? Okay, Anweisungen befolgt Super, ich bedanke mich nochmal recht herzlich! --> Erledigt |
Themen zu Backdoor:Win32/Cycbot.B - bin ich ihn losgeworden? |
64-bit, ad-aware, adblock, alternate, antivir, ausgelastet, avgntflt.sys, avira, backdoor, backdoor:win32/cycbot.b, bho, bonjour, c:\windows\system32\rundll32.exe, call of duty, dwm.exe, error, excel, fehler, firefox, firefox.exe, flash player, helper, iastor.sys, ieframe.dll, install.exe, internet, jdownloader, langs, location, logfile, microsoft office word, mozilla, object, oldtimer, opera.exe, otl log, otl.exe, plug-in, programdata, realtek, registry, remote control, remote software, saver, scan, schattenkopien, sched.exe, shell32.dll, shortcut, software, svchost.exe, system, system neu, syswow64, trojaner, usbaapl64, vlc media player, webcheck, windows |