|
Log-Analyse und Auswertung: 7 Malwarebytes Funde ("cxlacuxatx.exe")Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.01.2011, 22:36 | #1 |
| 7 Malwarebytes Funde ("cxlacuxatx.exe") Hallo Forum Team, habe folgendes Problem: Habe mein System lange Zeit eigt. ausschließlich mit AntiVir geschützt. Selbstverständlich darauf geachtet dass regelmäßig die neuesten Updates da sind und es auch ab und zu mal drüberlaufen lassen. In letzter Zeit habe ich mich aus gegebenem Anlass (Online-Banking) allerdings etwas mehr mit dem Thema PC-Sicherheit beschäftigt und bin zum Schluss gekommen, dass wohl zusätzlicher Schutz angebracht wäre. Durch Empfehlung bin ich auf das Programm Malwarebytes gestoßen und habe es heute runtergeladen und ausgeführt. Prompt gab es 7 Funde. Die Funde wurden erfolgreich gelöscht, trotzdem würde ich ganz gerne ein paar Meinungen dazu hören was ich mir da eingefangen habe, wie gefährlich das (ist) war und wie sicher mein System jetzt noch ist. Besonders komisch kommt mir, allein wegen des Namens, cxlacuxatx.exe vor. Kenne mich aber wie gesagt nicht aus und bräuchte dringend fachkundige Hilfe. Dazu hier einmal das Log-File von Malwarebytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5477 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 07.01.2011 22:01:50 mbam-log-2011-01-07 (22-01-50).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Durchsuchte Objekte: 521687 Laufzeit: 2 Stunde(n), 14 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 1 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\Users\***\AppData\Roaming\Microsoft\Windows\shell.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: c:\cxlacuxatx.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully. Infizierte Dateien: c:\program files\MATLAB\R2009a\toolbox\rtw\targets\xpc\target\build\xpcblocks\adbbpci20019.mexw32 (Trojan.Agent) -> Quarantined and deleted successfully. c:\program files\MATLAB\R2009a\toolbox\rtw\targets\xpc\target\build\xpcblocks\adbbpci20023.mexw32 (Trojan.Agent) -> Quarantined and deleted successfully. c:\program files\MATLAB\R2009a\toolbox\rtw\targets\xpc\target\build\xpcblocks\encadapci1710.mexw32 (Trojan.Agent) -> Quarantined and deleted successfully. c:\Users\***\AppData\Roaming\microsoft\stor.cfg (Malware.Trace) -> Quarantined and deleted successfully. c:\cxlacuxatx.exe\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully. SoLeMio |
08.01.2011, 00:14 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 7 Malwarebytes Funde ("cxlacuxatx.exe") Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.
__________________
__________________ |
08.01.2011, 00:19 | #3 |
| 7 Malwarebytes Funde ("cxlacuxatx.exe") Nein leider nicht.
__________________Habe Malwarebytes heute erst runtergeladen und erst einen vollständigen Suchlauf durchgeführt. |
08.01.2011, 00:53 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 7 Malwarebytes Funde ("cxlacuxatx.exe") Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten |
08.01.2011, 01:48 | #5 |
| 7 Malwarebytes Funde ("cxlacuxatx.exe") Ok, vielen Dank für die schnelle Antwort. Hier die beiden Log-Files: Code:
ATTFilter OTL logfile created on: 08.01.2011 01:25:08 - Run 1 OTL by OldTimer - Version 3.2.20.1 Folder = C:\Users\***\Desktop An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 71,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 76,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 222,34 Gb Total Space | 166,29 Gb Free Space | 74,79% Space Free | Partition Type: NTFS Computer Name: *** | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Users\***\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Users\***\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation) PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation) PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation) PRC - C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe (Elaborate Bytes AG) PRC - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation) PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.) PRC - C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation) PRC - C:\Windows\System32\stacsv.exe (IDT, Inc.) PRC - C:\Programme\Dassault Systemes\B18\intel_a\code\bin\CATSysDemon.exe (Dassault Systemes) ========== Modules (SafeList) ========== MOD - C:\Users\***\Desktop\OTL.exe (OldTimer Tools) MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16661_none_420fe3fa2b8113bd\comctl32.dll (Microsoft Corporation) MOD - C:\Windows\System32\sspicli.dll (Microsoft Corporation) MOD - C:\Windows\System32\sechost.dll (Microsoft Corporation) MOD - C:\Windows\System32\samcli.dll (Microsoft Corporation) MOD - C:\Windows\System32\profapi.dll (Microsoft Corporation) MOD - C:\Windows\System32\netutils.dll (Microsoft Corporation) MOD - C:\Windows\System32\KernelBase.dll (Microsoft Corporation) MOD - C:\Windows\System32\dwmapi.dll (Microsoft Corporation) MOD - C:\Windows\System32\devobj.dll (Microsoft Corporation) MOD - C:\Windows\System32\cryptbase.dll (Microsoft Corporation) MOD - C:\Windows\System32\cfgmgr32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (aspnet_state) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe (Microsoft Corporation) SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation) SRV - (NetTcpPortSharing) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation) SRV - (NetTcpActivator) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation) SRV - (NetPipeActivator) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation) SRV - (NetMsmqActivator) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation) SRV - (WwanSvc) -- C:\Windows\System32\wwansvc.dll (Microsoft Corporation) SRV - (WbioSrvc) -- C:\Windows\System32\wbiosrvc.dll (Microsoft Corporation) SRV - (Power) -- C:\Windows\System32\umpo.dll (Microsoft Corporation) SRV - (Themes) -- C:\Windows\System32\themeservice.dll (Microsoft Corporation) SRV - (sppuinotify) -- C:\Windows\System32\sppuinotify.dll (Microsoft Corporation) SRV - (StorSvc) -- C:\Windows\System32\StorSvc.dll (Microsoft Corporation) SRV - (RpcEptMapper) -- C:\Windows\System32\RpcEpMap.dll (Microsoft Corporation) SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation) SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation) SRV - (PNRPsvc) -- C:\Windows\System32\pnrpsvc.dll (Microsoft Corporation) SRV - (p2pimsvc) -- C:\Windows\System32\pnrpsvc.dll (Microsoft Corporation) SRV - (HomeGroupProvider) -- C:\Windows\System32\provsvc.dll (Microsoft Corporation) SRV - (PNRPAutoReg) -- C:\Windows\System32\pnrpauto.dll (Microsoft Corporation) SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation) SRV - (HomeGroupListener) -- C:\Windows\System32\ListSvc.dll (Microsoft Corporation) SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation) SRV - (Dhcp) -- C:\Windows\System32\dhcpcore.dll (Microsoft Corporation) SRV - (defragsvc) -- C:\Windows\System32\defragsvc.dll (Microsoft Corporation) SRV - (BDESVC) -- C:\Windows\System32\bdesvc.dll (Microsoft Corporation) SRV - (AxInstSV) ActiveX-Installer (AxInstSV) -- C:\Windows\System32\AxInstSv.dll (Microsoft Corporation) SRV - (AppIDSvc) -- C:\Windows\System32\appidsvc.dll (Microsoft Corporation) SRV - (sppsvc) -- C:\Windows\System32\sppsvc.exe (Microsoft Corporation) SRV - (CVPND) -- C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.) SRV - (STacSV) -- C:\Windows\System32\stacsv.exe (IDT, Inc.) SRV - (BBDemon) -- C:\Program Files\Dassault Systemes\B18\intel_a\code\bin\CATSysDemon.exe (Dassault Systemes) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH) DRV - (ElbyCDIO) -- C:\Windows\System32\drivers\ElbyCDIO.sys (Elaborate Bytes AG) DRV - (KSecPkg) -- C:\Windows\System32\Drivers\ksecpkg.sys (Microsoft Corporation) DRV - (VSPerfDrv100) -- C:\Programme\Microsoft Visual Studio 10.0\Team Tools\Performance Tools\VSPerfDrv100.sys (Microsoft Corporation) DRV - (VClone) -- C:\Windows\System32\drivers\VClone.sys (Elaborate Bytes AG) DRV - (cmdide) -- C:\Windows\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.) DRV - (adpahci) -- C:\Windows\system32\DRIVERS\adpahci.sys (Adaptec, Inc.) DRV - (adp94xx) -- C:\Windows\system32\DRIVERS\adp94xx.sys (Adaptec, Inc.) DRV - (amdsbs) -- C:\Windows\system32\DRIVERS\amdsbs.sys (AMD Technologies Inc.) DRV - (adpu320) -- C:\Windows\system32\DRIVERS\adpu320.sys (Adaptec, Inc.) DRV - (arcsas) -- C:\Windows\system32\DRIVERS\arcsas.sys (Adaptec, Inc.) DRV - (amdsata) -- C:\Windows\system32\DRIVERS\amdsata.sys (Advanced Micro Devices) DRV - (arc) -- C:\Windows\system32\DRIVERS\arc.sys (Adaptec, Inc.) DRV - (amdxata) -- C:\Windows\system32\DRIVERS\amdxata.sys (Advanced Micro Devices) DRV - (aliide) -- C:\Windows\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.) DRV - (nvstor) -- C:\Windows\system32\DRIVERS\nvstor.sys (NVIDIA Corporation) DRV - (nvraid) -- C:\Windows\system32\DRIVERS\nvraid.sys (NVIDIA Corporation) DRV - (nfrd960) -- C:\Windows\system32\DRIVERS\nfrd960.sys (IBM Corporation) DRV - (LSI_SAS) -- C:\Windows\system32\DRIVERS\lsi_sas.sys (LSI Corporation) DRV - (iaStorV) -- C:\Windows\system32\DRIVERS\iaStorV.sys (Intel Corporation) DRV - (MegaSR) -- C:\Windows\system32\DRIVERS\MegaSR.sys (LSI Corporation, Inc.) DRV - (LSI_SCSI) -- C:\Windows\system32\DRIVERS\lsi_scsi.sys (LSI Corporation) DRV - (LSI_FC) -- C:\Windows\system32\DRIVERS\lsi_fc.sys (LSI Corporation) DRV - (LSI_SAS2) -- C:\Windows\system32\DRIVERS\lsi_sas2.sys (LSI Corporation) DRV - (iirsp) -- C:\Windows\system32\DRIVERS\iirsp.sys (Intel Corp./ICP vortex GmbH) DRV - (megasas) -- C:\Windows\system32\DRIVERS\megasas.sys (LSI Corporation) DRV - (hwpolicy) -- C:\Windows\System32\drivers\hwpolicy.sys (Microsoft Corporation) DRV - (elxstor) -- C:\Windows\system32\DRIVERS\elxstor.sys (Emulex) DRV - (aic78xx) -- C:\Windows\system32\DRIVERS\djsvs.sys (Adaptec, Inc.) DRV - (HpSAMD) -- C:\Windows\system32\DRIVERS\HpSAMD.sys (Hewlett-Packard Company) DRV - (FsDepends) -- C:\Windows\System32\drivers\fsdepends.sys (Microsoft Corporation) DRV - (vsmraid) -- C:\Windows\system32\DRIVERS\vsmraid.sys (VIA Technologies Inc.,Ltd) DRV - (vmbus) -- C:\Windows\system32\DRIVERS\vmbus.sys (Microsoft Corporation) DRV - (vhdmp) -- C:\Windows\system32\DRIVERS\vhdmp.sys (Microsoft Corporation) DRV - (storflt) -- C:\Windows\system32\DRIVERS\vmstorfl.sys (Microsoft Corporation) DRV - (vdrvroot) -- C:\Windows\system32\DRIVERS\vdrvroot.sys (Microsoft Corporation) DRV - (storvsc) -- C:\Windows\system32\DRIVERS\storvsc.sys (Microsoft Corporation) DRV - (WIMMount) -- C:\Windows\System32\drivers\wimmount.sys (Microsoft Corporation) DRV - (viaide) -- C:\Windows\system32\DRIVERS\viaide.sys (VIA Technologies, Inc.) DRV - (ql2300) -- C:\Windows\system32\DRIVERS\ql2300.sys (QLogic Corporation) DRV - (rdyboost) -- C:\Windows\System32\drivers\rdyboost.sys (Microsoft Corporation) DRV - (ql40xx) -- C:\Windows\system32\DRIVERS\ql40xx.sys (QLogic Corporation) DRV - (SiSRaid4) -- C:\Windows\system32\DRIVERS\sisraid4.sys (Silicon Integrated Systems) DRV - (pcw) -- C:\Windows\System32\drivers\pcw.sys (Microsoft Corporation) DRV - (SiSRaid2) -- C:\Windows\system32\DRIVERS\SiSRaid2.sys (Silicon Integrated Systems Corp.) DRV - (stexstor) -- C:\Windows\system32\DRIVERS\stexstor.sys (Promise Technology) DRV - (CNG) -- C:\Windows\System32\Drivers\cng.sys (Microsoft Corporation) DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\System32\Drivers\Brserid.sys (Brother Industries Ltd.) DRV - (rdpbus) -- C:\Windows\System32\drivers\rdpbus.sys (Microsoft Corporation) DRV - (RDPREFMP) -- C:\Windows\System32\drivers\RDPREFMP.sys (Microsoft Corporation) DRV - (RasAgileVpn) WAN Miniport (IKEv2) -- C:\Windows\System32\drivers\agilevpn.sys (Microsoft Corporation) DRV - (WfpLwf) -- C:\Windows\System32\drivers\wfplwf.sys (Microsoft Corporation) DRV - (NdisCap) -- C:\Windows\System32\drivers\ndiscap.sys (Microsoft Corporation) DRV - (vwifibus) -- C:\Windows\System32\drivers\vwifibus.sys (Microsoft Corporation) DRV - (1394ohci) -- C:\Windows\System32\drivers\1394ohci.sys (Microsoft Corporation) DRV - (UmPass) -- C:\Windows\system32\DRIVERS\umpass.sys (Microsoft Corporation) DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\Windows\System32\drivers\USBAUDIO.sys (Microsoft Corporation) DRV - (mshidkmdf) -- C:\Windows\System32\drivers\mshidkmdf.sys (Microsoft Corporation) DRV - (MTConfig) -- C:\Windows\system32\DRIVERS\MTConfig.sys (Microsoft Corporation) DRV - (CompositeBus) -- C:\Windows\System32\drivers\CompositeBus.sys (Microsoft Corporation) DRV - (AppID) -- C:\Windows\system32\drivers\appid.sys (Microsoft Corporation) DRV - (scfilter) -- C:\Windows\System32\drivers\scfilter.sys (Microsoft Corporation) DRV - (s3cap) -- C:\Windows\system32\DRIVERS\vms3cap.sys (Microsoft Corporation) DRV - (VMBusHID) -- C:\Windows\system32\DRIVERS\VMBusHID.sys (Microsoft Corporation) DRV - (discache) -- C:\Windows\System32\drivers\discache.sys (Microsoft Corporation) DRV - (AcpiPmi) -- C:\Windows\system32\DRIVERS\acpipmi.sys (Microsoft Corporation) DRV - (AmdPPM) -- C:\Windows\system32\DRIVERS\amdppm.sys (Microsoft Corporation) DRV - (hcw85cir) -- C:\Windows\system32\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.) DRV - (BrUsbMdm) -- C:\Windows\System32\Drivers\BrUsbMdm.sys (Brother Industries Ltd.) DRV - (BrUsbSer) -- C:\Windows\System32\Drivers\BrUsbSer.sys (Brother Industries Ltd.) DRV - (BrSerWdm) -- C:\Windows\System32\Drivers\BrSerWdm.sys (Brother Industries Ltd.) DRV - (BrFiltLo) -- C:\Windows\system32\DRIVERS\BrFiltLo.sys (Brother Industries, Ltd.) DRV - (BrFiltUp) -- C:\Windows\system32\DRIVERS\BrFiltUp.sys (Brother Industries, Ltd.) DRV - (SrvHsfV92) -- C:\Windows\System32\drivers\VSTDPV3.SYS (Conexant Systems, Inc.) DRV - (SrvHsfWinac) -- C:\Windows\System32\drivers\VSTCNXT3.SYS (Conexant Systems, Inc.) DRV - (SrvHsfHDA) -- C:\Windows\System32\drivers\VSTAZL3.SYS (Conexant Systems, Inc.) DRV - (yukonw7) -- C:\Windows\System32\drivers\yk62x86.sys (Marvell) DRV - (netw5v32) Intel(R) -- C:\Windows\System32\drivers\netw5v32.sys (Intel Corporation) DRV - (b57nd60x) -- C:\Windows\System32\drivers\b57nd60x.sys (Broadcom Corporation) DRV - (ebdrv) -- C:\Windows\system32\DRIVERS\evbdx.sys (Broadcom Corporation) DRV - (b06bdrv) -- C:\Windows\system32\DRIVERS\bxvbdx.sys (Broadcom Corporation) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (CVPNDRVA) -- C:\Windows\System32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.) DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.) DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation) DRV - (R5U870FLx86) -- C:\Windows\System32\drivers\R5U870FLx86.sys (Ricoh) DRV - (R5U870FUx86) -- C:\Windows\System32\drivers\R5U870FUx86.sys (Ricoh) DRV - (STHDA) -- C:\Windows\System32\drivers\stwrt.sys (IDT, Inc.) DRV - (SFEP) -- C:\Windows\System32\drivers\SFEP.sys (Sony Corporation) DRV - (LUMDriver) -- C:\Windows\System32\drivers\LUMDriver.sys (IBM) DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 21 59 93 38 6C 6C CA 01 [binary data] IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50370 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "Bing" FF - prefs.js..browser.search.defaulturl: "hxxp://www.bing.com/search?FORM=VE3D01&q=" FF - prefs.js..browser.search.selectedEngine: "Wikipedia (de)" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de:official" FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004 FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..keyword.URL: "hxxp://www.bing.com/search?FORM=VE3D01&q=" FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 50370 FF - prefs.js..network.proxy.type: 0 FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.12.11 17:28:54 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.12.11 17:28:54 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.1\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2010.01.29 20:24:12 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Thunderbird 3.0.1\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins [2010.01.30 12:03:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions [2010.01.30 12:03:05 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6} [2011.01.07 23:13:59 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ncu0nxty.default\extensions [2010.10.04 22:52:57 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ncu0nxty.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2010.01.03 11:48:30 | 000,000,000 | ---D | M] (Move Media Player) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\ncu0nxty.default\extensions\moveplayer@movenetworks.com [2009.11.23 20:02:02 | 000,002,172 | ---- | M] () -- C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\ncu0nxty.default\searchplugins\bing.xml [2010.11.14 00:15:29 | 000,001,330 | ---- | M] () -- C:\Users\***\AppData\Roaming\Mozilla\Firefox\Profiles\ncu0nxty.default\searchplugins\wikipedia-en.xml [2010.11.27 14:45:09 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010.11.24 01:20:58 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.01.30 18:13:39 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} [2010.11.24 01:20:58 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} [2010.09.15 04:50:38 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.12.11 17:28:51 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.12.11 17:28:51 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.12.11 17:28:51 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.12.11 17:28:51 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.12.11 17:28:51 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. O2 - BHO: (Microsoft-Webtestaufzeichnung 10.0-Hilfsprogramm) - {DDA57003-0068-4ed2-9D32-4D1EC707D94D} - C:\Programme\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll (Microsoft Corporation) O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [NvSvc] C:\Windows\System32\nvsvc.DLL (NVIDIA Corporation) O4 - HKLM..\Run: [VirtualCloneDrive] C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe (Elaborate Bytes AG) O4 - Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\***\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.) O4 - Startup: C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\***\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm () O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.) O13 - gopher Prefix: missing O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\application/xhtml+xml {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programme\Design Science\MathPlayer001\MathMLMimer.dll (Design Science, Inc.) O18 - Protocol\Filter\application/xhtml+xml; charset=iso-8859-1 {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programme\Design Science\MathPlayer001\MathMLMimer.dll (Design Science, Inc.) O18 - Protocol\Filter\application/xhtml+xml; charset=utf-8 {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programme\Design Science\MathPlayer001\MathMLMimer.dll (Design Science, Inc.) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml; charset=iso-8859-1 {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programme\Design Science\MathPlayer001\MathMLMimer.dll (Design Science, Inc.) O18 - Protocol\Filter\text/xml; charset=utf-8 {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programme\Design Science\MathPlayer001\MathMLMimer.dll (Design Science, Inc.) O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - HKCU Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O30 - LSA: Security Packages - (pku2u) - C:\Windows\System32\pku2u.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.01.08 01:23:28 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe [2011.01.07 18:54:23 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Malwarebytes [2011.01.07 18:53:52 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys [2011.01.07 18:53:52 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware [2011.01.07 18:53:51 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2011.01.07 18:53:48 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2011.01.07 18:53:47 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.01.04 22:05:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LucasArts [2011.01.04 20:44:17 | 000,000,000 | ---D | C] -- C:\Programme\Common Files\SWF Studio [2011.01.01 23:13:18 | 000,000,000 | ---D | C] -- C:\Programme\Paint.NET [2011.01.01 23:12:57 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\Paint.NET [2010.12.20 17:34:17 | 000,000,000 | R--D | C] -- C:\Users\***\Dropbox [2010.12.20 17:32:33 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox [2010.12.20 17:31:50 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Dropbox [2010.12.17 08:38:04 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tzres.dll [2010.12.17 08:37:54 | 000,606,208 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mstime.dll [2010.12.17 08:37:52 | 000,599,040 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll [2010.12.17 08:37:51 | 001,638,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb [2010.12.17 08:37:51 | 000,386,048 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\html.iec [2010.12.17 08:37:51 | 000,381,440 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iedkcs32.dll [2010.12.17 08:37:51 | 000,185,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\iepeers.dll [2010.12.17 08:37:51 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll [2010.12.17 08:37:51 | 000,064,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedsbs.dll [2010.12.17 08:37:51 | 000,048,128 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll [2010.12.17 08:37:51 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\licmgr10.dll [2010.12.17 08:37:51 | 000,012,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeedssync.exe [2010.12.17 08:37:46 | 000,496,128 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\taskschd.dll [2010.12.17 08:37:46 | 000,351,232 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wmicmiplugin.dll [2010.12.17 08:37:46 | 000,305,152 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\taskcomp.dll [2010.12.17 08:37:46 | 000,179,712 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\schtasks.exe [2010.12.17 08:37:42 | 000,294,400 | ---- | C] (Adobe Systems Incorporated) -- C:\Windows\System32\atmfd.dll [2010.12.17 08:37:42 | 000,034,304 | ---- | C] (Adobe Systems) -- C:\Windows\System32\atmlib.dll [2010.12.17 08:37:40 | 000,101,760 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\consent.exe [2010.12.17 08:37:39 | 000,314,368 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\webio.dll [2010.12.17 08:37:37 | 002,327,552 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys [2010.12.10 02:04:59 | 000,000,000 | ---D | C] -- C:\Programme\PDF Blender [2010.12.10 02:04:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Blender [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.01.08 01:23:59 | 000,068,599 | ---- | M] () -- C:\Users\***\AppData\Roaming\nvModes.001 [2011.01.08 01:23:34 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\***\Desktop\OTL.exe [2011.01.07 22:10:38 | 000,013,440 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2011.01.07 22:10:38 | 000,013,440 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2011.01.07 22:07:45 | 003,537,924 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2011.01.07 22:07:45 | 001,647,100 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2011.01.07 22:07:45 | 001,077,236 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2011.01.07 22:07:45 | 000,953,544 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2011.01.07 22:03:19 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2011.01.07 22:03:13 | 1609,375,744 | -HS- | M] () -- C:\hiberfil.sys [2011.01.05 13:31:05 | 000,068,599 | ---- | M] () -- C:\Users\***\AppData\Roaming\nvModes.dat [2011.01.01 23:48:34 | 000,000,006 | ---- | M] () -- C:\Users\***\Unbenannt.ico [2011.01.01 23:14:25 | 000,001,289 | ---- | M] () -- C:\Users\Public\Desktop\Paint.NET.lnk [2010.12.28 23:17:41 | 000,001,331 | ---- | M] () -- C:\Users\***\Desktop\INFO - Verknüpfung.lnk [2010.12.28 23:07:20 | 000,078,334 | ---- | M] () -- C:\Users\***\***.bmp [2010.12.27 17:23:48 | 000,012,545 | ---- | M] () -- C:\Users\***\Documents\***.docx [2010.12.27 16:51:04 | 000,390,215 | ---- | M] () -- C:\Users\***\Documents\PersonalausweisKopie.docx [2010.12.26 18:52:29 | 000,008,192 | ---- | M] () -- C:\Users\***\dummy.png [2010.12.20 19:10:00 | 000,275,239 | ---- | M] () -- C:\Users\***\Documents\PersonalausweisKopie.pdf [2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys [2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2010.12.20 17:34:17 | 000,001,044 | ---- | M] () -- C:\Users\***\Desktop\Dropbox.lnk [2010.12.20 17:32:40 | 000,001,024 | ---- | M] () -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk [2010.12.20 17:24:53 | 000,135,096 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avipbb.sys [2010.12.17 20:11:00 | 000,086,809 | ---- | M] () -- C:\Users\***\B4GE4P.pdf [2010.12.17 12:13:23 | 000,438,744 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT [2010.12.10 02:15:05 | 000,261,757 | ---- | M] () -- C:\Users\***\Documents\***.pdf [2010.12.10 02:12:10 | 000,354,304 | ---- | M] () -- C:\Users\***\Documents\Lebenslauf10-12-2010.doc [2010.12.10 01:49:19 | 000,012,247 | ---- | M] () -- C:\Users\***\Documents\***.docx [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.01.02 22:03:38 | 673,171,456 | ---- | C] () -- C:\Users\***\Desktop\Brügge sehen und sterben.avi [2011.01.01 23:48:23 | 000,000,006 | ---- | C] () -- C:\Users\***\Unbenannt.ico [2011.01.01 23:14:25 | 000,001,289 | ---- | C] () -- C:\Users\Public\Desktop\Paint.NET.lnk [2010.12.28 23:17:41 | 000,001,331 | ---- | C] () -- C:\Users\***\Desktop\INFO - Verknüpfung.lnk [2010.12.28 23:07:20 | 000,078,334 | ---- | C] () -- C:\Users\***\***.bmp [2010.12.27 20:37:04 | 726,886,400 | ---- | C] () -- C:\Users\***\Desktop\up in the air.avi [2010.12.27 15:53:05 | 000,012,545 | ---- | C] () -- C:\Users\***\Documents\***.docx [2010.12.26 18:52:29 | 000,008,192 | ---- | C] () -- C:\Users\***\dummy.png [2010.12.20 19:09:58 | 000,275,239 | ---- | C] () -- C:\Users\***\Documents\PersonalausweisKopie.pdf [2010.12.20 19:07:50 | 000,390,215 | ---- | C] () -- C:\Users\***\Documents\PersonalausweisKopie.docx [2010.12.20 17:34:17 | 000,001,044 | ---- | C] () -- C:\Users\***\Desktop\Dropbox.lnk [2010.12.20 17:32:40 | 000,001,024 | ---- | C] () -- C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk [2010.12.17 20:10:57 | 000,086,809 | ---- | C] () -- C:\Users\***\B4GE4P.pdf [2010.12.10 02:13:30 | 000,261,757 | ---- | C] () -- C:\Users\***\Documents\***.pdf [2010.12.10 01:49:19 | 000,012,247 | ---- | C] () -- C:\Users\***\Documents\***.docx [2010.12.10 01:04:43 | 000,354,304 | ---- | C] () -- C:\Users\***\Documents\Lebenslauf10-12-2010.doc [2010.11.22 14:39:06 | 000,446,464 | ---- | C] () -- C:\Windows\System32\Tx32.dll [2010.11.22 14:39:06 | 000,000,180 | ---- | C] () -- C:\Windows\System32\ic32.ini [2010.11.22 13:09:07 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll [2010.02.18 00:09:40 | 000,007,592 | ---- | C] () -- C:\Users\***\AppData\Local\Resmon.ResmonCfg [2009.11.24 23:08:48 | 000,022,328 | ---- | C] () -- C:\Windows\System32\drivers\PnkBstrK.sys [2009.11.24 23:08:48 | 000,022,328 | ---- | C] () -- C:\Users\***\AppData\Roaming\PnkBstrK.sys [2009.11.24 13:57:12 | 000,068,599 | ---- | C] () -- C:\Users\***\AppData\Roaming\nvModes.001 [2009.11.24 13:57:11 | 000,068,599 | ---- | C] () -- C:\Users\***\AppData\Roaming\nvModes.dat [2009.11.23 20:25:44 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat [2009.07.14 00:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll [2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll [2009.01.13 11:29:00 | 000,197,408 | ---- | C] () -- C:\Windows\System32\vpnapi.dll [2008.10.07 09:13:30 | 000,197,912 | ---- | C] () -- C:\Windows\System32\physxcudart_20.dll [2008.10.07 09:13:22 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelTraditionalChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSwedish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSpanish.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelSimplifiedChinese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelPortugese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelKorean.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelJapanese.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelGerman.dll [2008.10.07 09:13:20 | 000,058,648 | ---- | C] () -- C:\Windows\System32\AgCPanelFrench.dll ========== Alternate Data Streams ========== @Alternate Data Stream - 160 bytes -> C:\Users\***\Documents\***.jpg: 3or4kl4x13tuuug3Byamue2s4b < End of report > Code:
ATTFilter OTL Extras logfile created on: 08.01.2011 01:25:08 - Run 1 OTL by OldTimer - Version 3.2.20.1 Folder = C:\Users\***\Desktop An unknown product (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 71,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 76,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 222,34 Gb Total Space | 166,29 Gb Free Space | 74,79% Space Free | Partition Type: NTFS Computer Name: ***VAIO | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation) .hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation) .html [@ = Reg Error: Value error.] -- Reg Error: Key error. File not found [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation) exefile [open] -- "%1" %* helpfile [open] -- Reg Error: Key error. hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation) http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation) scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation) Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~1\Office12\ONENOTE.EXE "%L" (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [explore] -- Reg Error: Value error. Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc] "VistaSp1" = Reg Error: Unknown registry data type -- File not found "AntiVirusOverride" = 0 "AntiSpywareOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol] ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile] "DisableNotifications" = 0 "EnableFirewall" = 1 ========== Authorized Applications List ========== ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator "{0125D081-30D0-4A97-82A8-C28D444B6256}" = Microsoft SQL Server Compact 3.5 SP2 DEU "{03A4C6A1-26E9-4DDB-81D9-B332E5BB10AD}" = Microsoft Sync Framework SDK v1.0 SP1 de "{07D8511D-C9FE-4A93-933F-EAA5C8F20095}" = IDT Audio "{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended "{1C4551A6-4743-4093-91E4-1477CD655043}" = NVIDIA PhysX "{1D328E11-3B0C-388C-835D-C9C20E8C7734}" = Microsoft Help Viewer 1.0 Language Pack - DEU "{2987EE84-C4EE-4FF5-8160-32DE00D6ABC6}" = GTA2 "{2D87E961-577B-492B-AD54-1368680FB9A7}" = Bing Maps 3D "{32F66A20-7614-11D4-BD11-00104BD3F987}" = MathPlayer "{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile "{4135C790-0387-36D7-9C2A-1B09A5900460}" = Microsoft Visual Studio 2010 Ultimate - DEU "{47C39E4A-28F2-33B1-B9B7-97F24E52D917}" = Microsoft Help Viewer 1.0 "{5242B252-01BB-4F2E-BBF4-5C01BC3B6619}" = Microsoft SQL Server 2008 R2 Data-Tier Application Project "{5A08C9D1-37AD-4A8D-90D3-33F92C578AA5}" = Microsoft SQL Server System CLR Types "{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5 "{616C6F39-4CE1-3434-A665-2F6A04C09A7F}" = Microsoft Visual Studio 2010 ADO.NET Entity Framework Tools "{639673E9-D53F-44F4-A046-485C8A6ADA15}" = Paint.NET v3.5.6 "{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}" = Battlefield 1942 "{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin "{6A86554B-8928-30E4-A53C-D7337689134D}" = Microsoft Visual C++ 2010 x86 Runtime - 10.0.30319 "{6CDEAD7E-F8D8-37F7-AB6F-1E22716E30F3}" = Microsoft Visual Studio Macro Tools "{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{8EAA9D70-C912-3708-92DD-0CCC26F386E1}" = Microsoft Visual Studio 2010 Performance Collection Tools - DEU "{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007 "{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007 "{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007 "{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007 "{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007 "{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007 "{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007 "{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007 "{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007 "{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007 "{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2) "{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007 "{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007 "{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581) "{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007 "{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007 "{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007 "{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007 "{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2) "{929F5BFC-60F0-34EC-A50B-2001AAC03D56}" = Microsoft Team Foundation Server 2010 Object Model - DEU "{92C5C058-E941-47C3-B7E8-38A79C605969}" = Microsoft SQL Server 2008 R2 Transact-SQL Language Service "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{96D33319-C14C-3070-A464-CE8416E46487}" = Microsoft Visual Studio 2010 Tools for Office Runtime (x86) "{9877BCD9-6698-4951-AE19-D5F398D83D5A}" = Dassault Systemes Software Prerequisites x86 "{9C3B8582-A72A-4835-8903-877A834407BB}" = Microsoft SQL Server 2008 R2-Datenebenenanwendungs-Framework "{A106D33E-6B43-42C0-9BFC-D03303261FA7}" = Microsoft SQL Server 2008 R2 Management Objects "{AC41D924-8C68-4BD5-A7A1-0AE4176C31A6}" = Crystal Reports for Visual Studio "{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.1 - Deutsch "{ACE28263-76A4-4BF5-B6F4-8BD719595969}" = Microsoft SQL Server Database Publishing Wizard 1.4 "{B7E38540-E355-3503-AFD7-635B2F2F76E1}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974 "{BD8A0C60-1AEB-11D6-B8E1-00025521AE60}" = VBA (3821b) "{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack "{CE9BAD6E-60FC-46CC-82A2-5B0F2B1A0E36}" = Dotfuscator Software Services - Community Edition - DEU "{CFCB8616-A5D1-4281-80E8-389F685BFAE2}" = Visual Studio 2010 Tools for SQL Server Compact 3.5 SP2 DEU "{CFEF48A8-BFB8-3EAC-8BA5-DE4F8AA267CE}" = Microsoft .NET Framework 4 Multi-Targeting Pack "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1 "{D6A6CFAD-CD86-482B-90D1-6FCC4E252ACD}" = Microsoft Sync Services for ADO.NET v2.0 SP1 (x86) de "{DB0AF767-7CC7-4E4D-B6BE-A200F20A2FB1}" = Microsoft Sync Framework Runtime v1.0 SP1 (x86) de "{DBE8431C-CF9A-38C3-B42D-28B6FCE1EA3B}" = Microsoft Visual Studio 2010 Tools for Office Runtime (x86) Language Pack - DEU "{EAF7B35C-DCBE-4032-9ABF-C35C43D07124}" = Microsoft Sync Framework Services v1.0 SP1 (x86) de "{EC66418E-DAA2-36D5-809E-40BEC94E622A}" = Microsoft Visual Studio Macro Tools - DEU Language Pack "{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}" = Cisco Systems VPN Client 5.0.05.0290 "{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "{FD416706-875C-4B0B-A23A-9E740DAE029E}" = Tom Clancy's Rainbow Six Vegas 2 "7-Zip" = 7-Zip 4.65 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "CCleaner" = CCleaner "Dassault Systemes B18_0" = Dassault Systemes Software B18 "DreiDGeo für Windows 9x" = DreiDGeo für Windows 9x "ENTERPRISE" = Microsoft Office Enterprise 2007 "FAE490AEFDF644913EBD01E5B57F56FAED0E459E" = Windows-Treiberpaket - Ricoh R5U870 (UVC) (09/04/2007 6.1006.211.0) "Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4 "Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.8 "Gutekunst Katalog 10 I 11-1" = Gutekunst Katalog 10 I 11-1 "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "MatlabR2009a" = MATLAB R2009a "Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile "Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack "Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended "Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack "Microsoft Help Viewer 1.0" = Microsoft Help Viewer 1.0 "Microsoft Help Viewer 1.0 Language Pack - DEU" = Microsoft Help Viewer 1.0 Language Pack - DEU "Microsoft Team Foundation Server 2010 Object Model - DEU" = Microsoft Team Foundation Server 2010-Objektmodell - DEU "Microsoft Visual Studio 2010 Tools for Office Runtime (x86)" = Microsoft Visual Studio 2010 Tools for Office Runtime (x86) "Microsoft Visual Studio 2010 Tools for Office Runtime (x86) Language Pack - DEU" = Microsoft Visual Studio 2010-Tools für Office-Laufzeit (x86) Language Pack - DEU "Microsoft Visual Studio 2010 Ultimate - DEU" = Microsoft Visual Studio 2010 Ultimate - DEU "Microsoft Visual Studio Macro Tools" = Microsoft Visual Studio Macro Tools "Microsoft Visual Studio Macro Tools - DEU Language Pack" = Microsoft Visual Studio Macro Tools - DEU Language Pack "Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) "Mozilla Thunderbird (3.0.1)" = Mozilla Thunderbird (3.0.1) "Notepad++" = Notepad++ "NVIDIA Drivers" = NVIDIA Drivers "PunkBusterSvc" = PunkBuster Services "SopCast" = SopCast 3.2.9 "VirtualCloneDrive" = VirtualCloneDrive ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Dropbox" = Dropbox ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 07.01.2011 12:14:57 | Computer Name = ***Vaio | Source = Microsoft-Windows-CAPI2 | ID = 4107 Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 07.01.2011 12:14:57 | Computer Name = ***Vaio | Source = Microsoft-Windows-CAPI2 | ID = 4107 Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 07.01.2011 12:19:03 | Computer Name = ***Vaio | Source = Microsoft-Windows-LoadPerf | ID = 3012 Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error - 07.01.2011 12:19:04 | Computer Name = ***Vaio | Source = Microsoft-Windows-LoadPerf | ID = 3012 Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error - 07.01.2011 12:19:04 | Computer Name = ***Vaio | Source = Microsoft-Windows-LoadPerf | ID = 3011 Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich. Error - 07.01.2011 17:03:32 | Computer Name = ***Vaio | Source = Microsoft-Windows-CAPI2 | ID = 4107 Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 07.01.2011 17:03:32 | Computer Name = ***Vaio | Source = Microsoft-Windows-CAPI2 | ID = 4107 Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>. Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei. . Error - 07.01.2011 17:07:42 | Computer Name = ***Vaio | Source = Microsoft-Windows-LoadPerf | ID = 3012 Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error - 07.01.2011 17:07:42 | Computer Name = ***Vaio | Source = Microsoft-Windows-LoadPerf | ID = 3012 Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung werden beschädigt wenn der Prozess "Performance" auf dem Erweiterungsleistungsindikator-Anbieter ausgeführt wird. Der Wert "BaseIndex" aus der Leistungsregistrierung ist das erste DWORD im Datenbereich, der Wert "LastCounter" ist das zweite DWORD im Datenbereich und der Werte "LastHelp" ist das dritte DWORD im Datenbereich. Error - 07.01.2011 17:07:42 | Computer Name = ***Vaio | Source = Microsoft-Windows-LoadPerf | ID = 3011 Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren für Dienst "WmiApRpl" (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich. [ System Events ] Error - 04.01.2011 15:30:23 | Computer Name = ***Vaio | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR2 gefunden. Error - 04.01.2011 17:19:25 | Computer Name = ***Vaio | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR2 gefunden. Error - 04.01.2011 17:19:26 | Computer Name = ***Vaio | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR2 gefunden. Error - 04.01.2011 17:19:27 | Computer Name = ***Vaio | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR2 gefunden. Error - 04.01.2011 17:49:35 | Computer Name = ***Vaio | Source = cdrom | ID = 262151 Description = Fehlerhafter Block bei Gerät \Device\CdRom0. Error - 05.01.2011 19:14:54 | Computer Name = ***Vaio | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden. Error - 05.01.2011 19:14:54 | Computer Name = ***Vaio | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden. Error - 05.01.2011 19:14:55 | Computer Name = ***Vaio | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden. Error - 05.01.2011 19:14:55 | Computer Name = ***Vaio | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden. Error - 05.01.2011 19:14:56 | Computer Name = ***Vaio | Source = Disk | ID = 262155 Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden. < End of report > |
08.01.2011, 19:25 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 7 Malwarebytes Funde ("cxlacuxatx.exe") Rel. unauffällig. Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> 7 Malwarebytes Funde ("cxlacuxatx.exe") |
09.01.2011, 00:22 | #7 |
| 7 Malwarebytes Funde ("cxlacuxatx.exe") Ok, danke. Hab die Anweisungen befolgt, hier das ComboFix Log: Code:
ATTFilter ComboFix 11-01-08.02 - *** 09.01.2011 0:04.1.2 - x86 Microsoft Windows 7 Professional 6.1.7600.0.1252.49.1031.18.2046.1078 [GMT 1:00] ausgeführt von:: c:\users\***\Desktop\cofi.exe AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7} SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A} SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\jdsfjsdijf.exe c:\jdsfjsdijf.exe\config.bin c:\windows\system32\SOCKETX.DLL c:\windows\system32\SOCKETX.OCX . ((((((((((((((((((((((( Dateien erstellt von 2010-12-08 bis 2011-01-08 )))))))))))))))))))))))))))))) . 2011-01-07 17:54 . 2011-01-07 17:54 -------- d-----w- c:\users\***\AppData\Roaming\Malwarebytes 2011-01-07 17:53 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2011-01-07 17:53 . 2011-01-07 17:53 -------- d-----w- c:\programdata\Malwarebytes 2011-01-07 17:53 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-01-07 17:53 . 2011-01-07 17:53 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2011-01-07 17:46 . 2010-11-10 04:33 6273872 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{C01DA35F-23A1-4AA9-96BA-0A0E679AE5D3}\mpengine.dll 2011-01-04 19:44 . 2011-01-04 19:44 -------- d-----w- c:\program files\Common Files\SWF Studio 2011-01-01 22:13 . 2011-01-01 22:29 -------- d-----w- c:\program files\Paint.NET 2011-01-01 22:12 . 2011-01-01 22:48 -------- d-----w- c:\users\***\AppData\Local\Paint.NET 2010-12-20 16:34 . 2011-01-08 12:13 -------- d-----r- c:\users\***\Dropbox 2010-12-20 16:31 . 2011-01-08 12:13 -------- d-----w- c:\users\***\AppData\Roaming\Dropbox 2010-12-17 07:38 . 2010-10-12 04:25 516096 ----a-w- c:\program files\Windows Mail\wab.exe 2010-12-17 07:38 . 2010-10-27 04:32 2048 ----a-w- c:\windows\system32\tzres.dll 2010-12-10 01:04 . 2010-12-10 20:07 -------- d-----w- c:\program files\PDF Blender . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-12-20 16:24 . 2009-11-23 18:45 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-11-25 10:59 . 2009-11-23 18:45 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2010-10-20 14:59 . 2010-10-11 17:25 1227648 ----a-w- c:\programdata\Microsoft\VisualStudio\10.0\1031\ResourceCache.dll 2010-10-19 09:41 . 2009-11-23 18:56 222080 ------w- c:\windows\system32\MpSigStub.exe 2010-10-13 16:39 . 2010-10-11 21:13 207008 ----a-w- c:\programdata\Microsoft\VBExpress\10.0\1031\ResourceCache.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1] @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}] 2010-10-06 23:36 94208 ----a-w- c:\users\***\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2] @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}] 2010-10-06 23:36 94208 ----a-w- c:\users\***\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3] @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}" [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}] 2010-10-06 23:36 94208 ----a-w- c:\users\***\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-02 281768] "NvSvc"="c:\windows\system32\nvsvc.dll" [2008-03-11 86016] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-03-11 8429568] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-03-11 81920] "VirtualCloneDrive"="c:\program files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2009-06-17 85160] "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288] "Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976] c:\users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Dropbox.lnk - c:\users\***\AppData\Roaming\Dropbox\bin\Dropbox.exe [2010-12-17 23343848] OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ VPN Client.lnk - c:\windows\Installer\{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}\Icon3E5562ED7.ico [2009-11-23 6144] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R3 VSPerfDrv100;Performance Tools Driver 10.0;c:\program files\Microsoft Visual Studio 10.0\Team Tools\Performance Tools\VSPerfDrv100.sys [2009-12-08 48128] S1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [2007-04-24 16688] S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-11-02 135336] S2 BBDemon;Backbone Service;c:\program files\Dassault Systemes\B18\intel_a\code\bin\CATSysDemon.exe [2007-07-03 36864] S3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168] S3 R5U870FLx86;R5U870 UVC Lower Filter ;c:\windows\system32\Drivers\R5U870FLx86.sys [2008-01-30 75008] S3 R5U870FUx86;R5U870 UVC Upper Filter ;c:\windows\system32\Drivers\R5U870FUx86.sys [2008-01-30 43904] S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2007-08-03 9344] S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [2009-07-13 207360] S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [2009-07-13 980992] S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [2009-07-13 661504] S3 yukonw7;NDIS6.2-Miniporttreiber für Marvell Yukon-Ethernet-Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2009-07-13 311296] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.bing.com/ uInternet Settings,ProxyServer = http=127.0.0.1:50370 IE: Free YouTube to Mp3 Converter - c:\users\***\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\users\***\AppData\Roaming\Mozilla\Firefox\Profiles\ncu0nxty.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=VE3D01&q= FF - prefs.js: browser.search.selectedEngine - Wikipedia (de) FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/firefox?client=firefox-a&rls=org.mozilla:de:official FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=VE3D01&q= FF - prefs.js: network.proxy.http - 127.0.0.1 FF - prefs.js: network.proxy.http_port - 50370 FF - prefs.js: network.proxy.type - 0 FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} FF - Ext: Move Media Player: moveplayer@movenetworks.com - %profile%\extensions\moveplayer@movenetworks.com FF - Ext: DVDVideoSoft Menu: {ACAA314B-EEBA-48e4-AD47-84E31C44796C} - %profile%\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} . . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . Zeit der Fertigstellung: 2011-01-09 00:14:05 ComboFix-quarantined-files.txt 2011-01-08 23:14 Vor Suchlauf: 8 Verzeichnis(se), 180.384.124.928 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 180.285.808.640 Bytes frei - - End Of File - - 8C6AE0C5A596D0506D1DBB7CC39266AE |
09.01.2011, 15:46 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 7 Malwarebytes Funde ("cxlacuxatx.exe") Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
09.01.2011, 16:51 | #9 |
| 7 Malwarebytes Funde ("cxlacuxatx.exe") Ok, hier das GMER Log: Code:
ATTFilter GMER 1.0.15.15530 - hxxp://www.gmer.net Rootkit scan 2011-01-09 16:48:46 Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4 TOSHIBA_MK2546GSX rev.LB012A Running: i7tpwovu.exe; Driver: C:\Users\***\AppData\Local\Temp\uwlcapow.sys ---- System - GMER 1.0.15 ---- SSDT 8DFD9506 ZwCreateSection SSDT 8DFD94A7 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82C94599 1 Byte [06] .text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82CB8F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3} .text ntkrnlpa.exe!RtlSidHashLookup + 340 82CC0850 4 Bytes [06, 95, FD, 8D] .text ntkrnlpa.exe!RtlSidHashLookup + 7B8 82CC0CC8 4 Bytes [A7, 94, FD, 8D] .text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x8E419340, 0x3441C7, 0xE8000020] ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\Windows\System32\rundll32.exe[2612] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [75925E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation) IAT C:\Windows\System32\rundll32.exe[2612] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [75925E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation) IAT C:\Windows\System32\rundll32.exe[2612] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [75925E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation) IAT C:\Windows\System32\rundll32.exe[2612] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [75925E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation) IAT C:\Windows\System32\rundll32.exe[2764] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [75925E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation) IAT C:\Windows\System32\rundll32.exe[2764] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [75925E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation) IAT C:\Windows\System32\rundll32.exe[2764] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [75925E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation) IAT C:\Windows\System32\rundll32.exe[2764] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [75925E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation) IAT C:\Windows\System32\rundll32.exe[2772] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [75925E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation) IAT C:\Windows\System32\rundll32.exe[2772] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [75925E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation) IAT C:\Windows\System32\rundll32.exe[2772] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [75925E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation) IAT C:\Windows\System32\rundll32.exe[2772] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [75925E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- Device \Driver\ACPI_HAL \Device\00000054 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation) AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001e3d36f125 Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001e3d36f125@001b593a6864 0x91 0xD7 0x55 0x94 ... Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001e3d36f125 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001e3d36f125@001b593a6864 0x91 0xD7 0x55 0x94 ... ---- EOF - GMER 1.0.15 ---- |
09.01.2011, 17:01 | #10 |
| 7 Malwarebytes Funde ("cxlacuxatx.exe") Und hier noch das OSAM Log: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 16:57:20 on 09.01.2011 OS: Windows 7 (Build 7600), 32-bit Default Browser: Mozilla Corporation Firefox 3.6.13 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Control Panel Objects] -----( %SystemRoot%\system32 )----- "PhysX.cpl" - "NVIDIA Corporation" - C:\Windows\system32\PhysX.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "mlcfg32.cpl" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\MLCFG32.CPL [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\Users\***\AppData\Local\Temp\catchme.sys (File not found) "Cisco Systems Inc. IPSec Driver" (CVPNDRVA) - "Cisco Systems, Inc." - C:\Windows\system32\Drivers\CVPNDRVA.sys "ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\Windows\System32\Drivers\ElbyCDIO.sys "LUMDriver" (LUMDriver) - "IBM" - C:\Windows\system32\drivers\LUMDriver.sys "Performance Tools Driver 10.0" (VSPerfDrv100) - "Microsoft Corporation" - C:\Program Files\Microsoft Visual Studio 10.0\Team Tools\Performance Tools\VSPerfDrv100.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys "uwlcapow" (uwlcapow) - ? - C:\Users\***\AppData\Local\Temp\uwlcapow.sys (Hidden registry entry, rootkit activity | File not found) [Explorer] -----( HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} "DropboxExt" - ? - (File not found | COM-object registry key not found) -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {32F66A26-7614-11D4-BD11-00104BD3F987} "MathPlayer Mime Filter Class" - "Design Science, Inc." - C:\Program Files\Design Science\MathPlayer001\MathMLMimer.dll {32F66A26-7614-11D4-BD11-00104BD3F987} "MathPlayer Mime Filter Class" - "Design Science, Inc." - C:\Program Files\Design Science\MathPlayer001\MathMLMimer.dll {32F66A26-7614-11D4-BD11-00104BD3F987} "MathPlayer Mime Filter Class" - "Design Science, Inc." - C:\Program Files\Design Science\MathPlayer001\MathMLMimer.dll {32F66A26-7614-11D4-BD11-00104BD3F987} "MathPlayer Mime Filter Class" - "Design Science, Inc." - C:\Program Files\Design Science\MathPlayer001\MathMLMimer.dll {32F66A26-7614-11D4-BD11-00104BD3F987} "MathPlayer Mime Filter Class" - "Design Science, Inc." - C:\Program Files\Design Science\MathPlayer001\MathMLMimer.dll {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL {88FED34C-F0CA-4636-A375-3CB6248B04CD} "Local Groove Web Services Protocol" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )----- {B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? - (File not found | COM-object registry key not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll {99FD978C-D287-4F50-827F-B2C658EDA8E7} "Groove Explorer Icon Overlay 1 (GFS Unread Stub)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} "Groove Explorer Icon Overlay 2 (GFS Stub)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {920E6DB1-9907-4370-B3A0-BAFC03D81399} "Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {16F3DD56-1AF5-4347-846D-7C10C4192619} "Groove Explorer Icon Overlay 3 (GFS Folder)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} "Groove Explorer Icon Overlay 4 (GFS Unread Mark)" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {2A541AE1-5BF6-4665-A8A3-CFA9672E4291} "Groove Folder Synchronization" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {6C467336-8281-4E60-8204-430CED96822D} "Groove GFS Context Menu Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {B5A7F190-DDA6-4420-B3BA-52453494E6CD} "Groove GFS Stub Execution Hook" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {A449600E-1DC6-4232-B948-9BD794D62056} "Groove GFS Stub Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {387E725D-DC16-4D76-B310-2C93ED4752A0} "Groove XML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll {5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C} "Microsoft Office OneNote Namespace Extension for Windows Desktop Search" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\ONFILTER.DLL {00020D75-0000-0000-C000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll {0006F045-0000-0000-C000-000000000046} "Outlook File Icon Extension" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\OLKFSTUB.DLL {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll {B7056B8E-4F99-44f8-8CBD-282390FE5428} "VirtualCloneDrive Shell Extension" - "Elaborate Bytes AG" - C:\Program Files\Elaborate Bytes\VirtualCloneDrive\ElbyVCDShell.dll [Internet Explorer] -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10c.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {48E73304-E1D6-4330-914C-F5F514E3486C} "An OneNote senden" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll "ICQ6" - "ICQ, LLC." - C:\Program Files\ICQ6.5\ICQ.exe {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Research" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {72853161-30C5-4D22-B7F9-0BBC1D38A37E} "Groove GFS Browser Helper" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll {DDA57003-0068-4ed2-9D32-4D1EC707D94D} "Microsoft-Webtestaufzeichnung 10.0-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "{DBC80044-A445-435b-BC74-9C25C1C588A9}" - ? - (File not found | COM-object registry key not found) [Logon] -----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )----- "OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Shortcut exists | File exists) "desktop.ini" - ? - C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini "Dropbox.lnk" - "Dropbox, Inc." - C:\Users\***\AppData\Roaming\Dropbox\bin\Dropbox.exe (Shortcut exists | File exists) -----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini "VPN Client.lnk" - "Cisco Systems, Inc." - C:\Program Files\Cisco Systems\VPN Client\vpngui.exe (Shortcut exists | File exists) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" "Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" "avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min "GrooveMonitor" - "Microsoft Corporation" - "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" "Malwarebytes' Anti-Malware (reboot)" - "Malwarebytes Corporation" - "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript "VirtualCloneDrive" - "Elaborate Bytes AG" - "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "PDFCreator" - ? - C:\Windows\system32\pdfcmnnt.dll (File found, but it contains no detailed information) "Send To Microsoft OneNote Monitor" - "Microsoft Corporation" - C:\Windows\system32\msonpmon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe "Backbone Service" (BBDemon) - "Dassault Systemes" - C:\Program Files\Dassault Systemes\B18\intel_a\code\bin\CATSysDemon.exe "Cisco Systems, Inc. VPN Service" (CVPND) - "Cisco Systems, Inc." - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe "Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE "Microsoft Office Groove Audit Service" (Microsoft Office Groove Audit Service) - "Microsoft Corporation" - C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE "PnkBstrA" (PnkBstrA) - ? - C:\Windows\system32\PnkBstrA.exe (File found, but it contains no detailed information) "PnkBstrB" (PnkBstrB) - ? - C:\Windows\system32\PnkBstrB.exe (File found, but it contains no detailed information) ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
09.01.2011, 17:12 | #11 |
| 7 Malwarebytes Funde ("cxlacuxatx.exe") Und hier der MBR Checker: Code:
ATTFilter MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows 7 Professional Windows Information: (build 7600), 32-bit Base Board Manufacturer: Sony Corporation BIOS Manufacturer: Phoenix Technologies LTD System Manufacturer: Sony Corporation System Product Name: VGN-FZ31J Logical Drives Mask: 0x0000006c Kernel Drivers (total 209): 0x82C51000 \SystemRoot\system32\ntkrnlpa.exe 0x82C1A000 \SystemRoot\system32\halmacpi.dll 0x80BD4000 \SystemRoot\system32\kdcom.dll 0x83205000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x8327D000 \SystemRoot\system32\PSHED.dll 0x8328E000 \SystemRoot\system32\BOOTVID.dll 0x83296000 \SystemRoot\system32\CLFS.SYS 0x832D8000 \SystemRoot\system32\CI.dll 0x83383000 \SystemRoot\system32\drivers\Wdf01000.sys 0x88A27000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x88A35000 \SystemRoot\system32\DRIVERS\ACPI.sys 0x88A7D000 \SystemRoot\system32\DRIVERS\WMILIB.SYS 0x88A86000 \SystemRoot\system32\DRIVERS\msisadrv.sys 0x88A8E000 \SystemRoot\system32\DRIVERS\pci.sys 0x88AB8000 \SystemRoot\system32\DRIVERS\vdrvroot.sys 0x88AC3000 \SystemRoot\System32\drivers\partmgr.sys 0x88AD4000 \SystemRoot\system32\DRIVERS\compbatt.sys 0x88ADC000 \SystemRoot\system32\DRIVERS\BATTC.SYS 0x88AE7000 \SystemRoot\system32\DRIVERS\volmgr.sys 0x88AF7000 \SystemRoot\System32\drivers\volmgrx.sys 0x88B42000 \SystemRoot\system32\DRIVERS\intelide.sys 0x88B49000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS 0x88B57000 \SystemRoot\system32\DRIVERS\pcmcia.sys 0x88B85000 \SystemRoot\System32\drivers\mountmgr.sys 0x88B9B000 \SystemRoot\system32\DRIVERS\atapi.sys 0x88BA4000 \SystemRoot\system32\DRIVERS\ataport.SYS 0x88BC7000 \SystemRoot\system32\DRIVERS\msahci.sys 0x88BD1000 \SystemRoot\system32\DRIVERS\amdxata.sys 0x88C15000 \SystemRoot\system32\drivers\fltmgr.sys 0x88C49000 \SystemRoot\system32\drivers\fileinfo.sys 0x88C5A000 \SystemRoot\System32\Drivers\Ntfs.sys 0x88D89000 \SystemRoot\System32\Drivers\msrpc.sys 0x88DB4000 \SystemRoot\System32\Drivers\ksecdd.sys 0x88E09000 \SystemRoot\System32\Drivers\cng.sys 0x88E66000 \SystemRoot\System32\drivers\pcw.sys 0x88E74000 \SystemRoot\System32\Drivers\Fs_Rec.sys 0x88E7D000 \SystemRoot\system32\drivers\ndis.sys 0x88F34000 \SystemRoot\system32\drivers\NETIO.SYS 0x88F72000 \SystemRoot\System32\Drivers\ksecpkg.sys 0x89031000 \SystemRoot\System32\drivers\tcpip.sys 0x8917A000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x891AB000 \SystemRoot\system32\DRIVERS\vmstorfl.sys 0x891B4000 \SystemRoot\system32\DRIVERS\volsnap.sys 0x891F3000 \SystemRoot\System32\Drivers\spldr.sys 0x89000000 \SystemRoot\System32\drivers\rdyboost.sys 0x88F97000 \SystemRoot\System32\Drivers\mup.sys 0x88FA7000 \SystemRoot\System32\drivers\hwpolicy.sys 0x88FAF000 \SystemRoot\System32\DRIVERS\fvevol.sys 0x88FE1000 \SystemRoot\system32\DRIVERS\disk.sys 0x88DC7000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS 0x88A00000 \SystemRoot\system32\DRIVERS\cdrom.sys 0x88E00000 \SystemRoot\System32\Drivers\Null.SYS 0x88C0A000 \SystemRoot\System32\Drivers\Beep.SYS 0x88BEB000 \SystemRoot\System32\drivers\vga.sys 0x8DC11000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x8DC32000 \SystemRoot\System32\drivers\watchdog.sys 0x8DC3F000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x8DC47000 \SystemRoot\system32\drivers\rdpencdd.sys 0x8DC4F000 \SystemRoot\system32\drivers\rdprefmp.sys 0x8DC57000 \SystemRoot\System32\Drivers\Msfs.SYS 0x8DC62000 \SystemRoot\System32\Drivers\Npfs.SYS 0x8DC70000 \SystemRoot\system32\DRIVERS\tdx.sys 0x8DC87000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x8DC92000 \SystemRoot\system32\drivers\afd.sys 0x8DCEC000 \SystemRoot\System32\DRIVERS\netbt.sys 0x8DD1E000 \SystemRoot\system32\DRIVERS\wfplwf.sys 0x8DD25000 \SystemRoot\system32\DRIVERS\pacer.sys 0x8DD44000 \SystemRoot\system32\DRIVERS\netbios.sys 0x8DD52000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x8DD65000 \SystemRoot\system32\DRIVERS\termdd.sys 0x8DD75000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0x8DD7B000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x8DDBC000 \SystemRoot\system32\drivers\nsiproxy.sys 0x8DDC6000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0x8DDD0000 \??\C:\Windows\system32\drivers\LUMDriver.sys 0x8DDD3000 \SystemRoot\System32\Drivers\ElbyCDIO.sys 0x8DDD8000 \SystemRoot\System32\drivers\discache.sys 0x8E23F000 \SystemRoot\system32\drivers\csc.sys 0x8E2A3000 \SystemRoot\System32\Drivers\dfsc.sys 0x8E2BB000 \SystemRoot\system32\DRIVERS\blbdrive.sys 0x8E2C9000 \SystemRoot\system32\DRIVERS\avipbb.sys 0x8E2EF000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys 0x8E2F1000 \SystemRoot\system32\DRIVERS\tunnel.sys 0x8E312000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x8E324000 \SystemRoot\system32\DRIVERS\CmBatt.sys 0x8E419000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys 0x8EAE3000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x8EB9A000 \SystemRoot\System32\drivers\dxgmms1.sys 0x8EBD3000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0x8E328000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0x8EBDE000 \SystemRoot\system32\DRIVERS\usbehci.sys 0x8E373000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0x96016000 \SystemRoot\system32\DRIVERS\netw5v32.sys 0x96429000 \SystemRoot\system32\DRIVERS\yk62x86.sys 0x96479000 \SystemRoot\system32\DRIVERS\1394ohci.sys 0x964A5000 \SystemRoot\system32\DRIVERS\SFEP.sys 0x964A8000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0x964C0000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x964CD000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x964DA000 \SystemRoot\system32\DRIVERS\CompositeBus.sys 0x964E7000 \SystemRoot\system32\DRIVERS\dne2000.sys 0x96506000 \SystemRoot\system32\DRIVERS\AgileVpn.sys 0x96518000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x96530000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x9653B000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x9655D000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x96575000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x9658C000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x965A3000 \SystemRoot\system32\DRIVERS\rdpbus.sys 0x965AD000 \SystemRoot\system32\DRIVERS\VClone.sys 0x965B8000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS 0x965DE000 \SystemRoot\system32\DRIVERS\swenum.sys 0x8E392000 \SystemRoot\system32\DRIVERS\ks.sys 0x965E0000 \SystemRoot\system32\DRIVERS\umbus.sys 0x82212000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x82256000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x82267000 \SystemRoot\system32\drivers\stwrt.sys 0x822BC000 \SystemRoot\system32\drivers\portcls.sys 0x822EB000 \SystemRoot\system32\drivers\drmk.sys 0x82304000 \SystemRoot\system32\DRIVERS\VSTAZL3.SYS 0x82432000 \SystemRoot\system32\DRIVERS\VSTDPV3.SYS 0x82534000 \SystemRoot\system32\DRIVERS\VSTCNXT3.SYS 0x825E9000 \SystemRoot\system32\drivers\modem.sys 0x97870000 \SystemRoot\System32\win32k.sys 0x825F6000 \SystemRoot\System32\drivers\Dxapi.sys 0x82400000 \SystemRoot\System32\Drivers\crashdmp.sys 0x8240D000 \SystemRoot\System32\Drivers\dump_dumpata.sys 0x82418000 \SystemRoot\System32\Drivers\dump_msahci.sys 0x82341000 \SystemRoot\System32\Drivers\dump_dumpfve.sys 0x82352000 \SystemRoot\system32\DRIVERS\usbccgp.sys 0x82422000 \SystemRoot\system32\DRIVERS\USBD.SYS 0x82369000 \SystemRoot\System32\Drivers\R5U870FLx86.sys 0x8237C000 \SystemRoot\System32\Drivers\usbvideo.sys 0x82424000 \SystemRoot\System32\Drivers\R5U870FUx86.sys 0x823A0000 \SystemRoot\system32\DRIVERS\hidusb.sys 0x823AB000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0x823BE000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0x823C5000 \SystemRoot\system32\DRIVERS\mouhid.sys 0x823D0000 \SystemRoot\system32\DRIVERS\monitor.sys 0x97AD0000 \SystemRoot\System32\TSDDD.dll 0x97B00000 \SystemRoot\System32\cdd.dll 0x9348A000 \SystemRoot\system32\drivers\luafv.sys 0x934A5000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0x934BA000 \SystemRoot\system32\drivers\WudfPf.sys 0x93559000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x93569000 \SystemRoot\system32\DRIVERS\nwifi.sys 0x935AF000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0x935BF000 \SystemRoot\system32\DRIVERS\rspndr.sys 0x99A18000 \SystemRoot\system32\drivers\HTTP.sys 0x99A9D000 \SystemRoot\system32\DRIVERS\bowser.sys 0x99AB6000 \SystemRoot\System32\drivers\mpsdrv.sys 0x99AC8000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0x99AEB000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0x99B26000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0x99B59000 \??\C:\Windows\system32\Drivers\CVPNDRVA.sys 0x9DA05000 \SystemRoot\system32\drivers\peauth.sys 0x9DA9C000 \SystemRoot\System32\DRIVERS\srvnet.sys 0x9DABD000 \SystemRoot\System32\drivers\tcpipreg.sys 0x9DACA000 \SystemRoot\System32\DRIVERS\srv2.sys 0x9DB19000 \SystemRoot\System32\DRIVERS\srv.sys 0x9DBD4000 \SystemRoot\system32\DRIVERS\asyncmac.sys 0x9DBDD000 \??\C:\Users\***\AppData\Local\Temp\uwlcapow.sys 0x9DB6A000 \SystemRoot\System32\Drivers\BTHUSB.sys 0x93400000 \SystemRoot\System32\Drivers\bthport.sys 0x9DB7C000 \SystemRoot\system32\DRIVERS\kbdhid.sys 0x9DB88000 \SystemRoot\system32\DRIVERS\rfcomm.sys 0x9DBAC000 \SystemRoot\system32\DRIVERS\BthEnum.sys 0x9DBB9000 \SystemRoot\system32\DRIVERS\bthpan.sys 0x99BE9000 \SystemRoot\system32\DRIVERS\bthmodem.sys 0x93464000 \SystemRoot\system32\DRIVERS\hidbth.sys 0x77880000 \Windows\System32\ntdll.dll 0x47730000 \Windows\System32\smss.exe 0x77AC0000 \Windows\System32\apisetschema.dll 0x006E0000 \Windows\System32\autochk.exe 0x77A00000 \Windows\System32\msvcrt.dll 0x779E0000 \Windows\System32\imm32.dll 0x76C30000 \Windows\System32\shell32.dll 0x76B80000 \Windows\System32\rpcrt4.dll 0x76A80000 \Windows\System32\wininet.dll 0x779D0000 \Windows\System32\nsi.dll 0x76920000 \Windows\System32\ole32.dll 0x779C0000 \Windows\System32\lpk.dll 0x768D0000 \Windows\System32\gdi32.dll 0x768C0000 \Windows\System32\normaliz.dll 0x76820000 \Windows\System32\usp10.dll 0x76680000 \Windows\System32\setupapi.dll 0x76620000 \Windows\System32\difxapi.dll 0x765D0000 \Windows\System32\Wldap32.dll 0x765B0000 \Windows\System32\sechost.dll 0x764D0000 \Windows\System32\kernel32.dll 0x764C0000 \Windows\System32\psapi.dll 0x76490000 \Windows\System32\imagehlp.dll 0x76290000 \Windows\System32\iertutil.dll 0x76150000 \Windows\System32\urlmon.dll 0x76110000 \Windows\System32\ws2_32.dll 0x76040000 \Windows\System32\user32.dll 0x75FA0000 \Windows\System32\advapi32.dll 0x75ED0000 \Windows\System32\msctf.dll 0x75E40000 \Windows\System32\clbcatq.dll 0x75DE0000 \Windows\System32\shlwapi.dll 0x75D50000 \Windows\System32\oleaut32.dll 0x75CD0000 \Windows\System32\comdlg32.dll 0x75BB0000 \Windows\System32\crypt32.dll 0x75B90000 \Windows\System32\devobj.dll 0x75B60000 \Windows\System32\wintrust.dll 0x75B10000 \Windows\System32\KernelBase.dll 0x75A80000 \Windows\System32\comctl32.dll 0x75A50000 \Windows\System32\cfgmgr32.dll 0x75A40000 \Windows\System32\msasn1.dll Processes (total 52): 0 System Idle Process 4 System 264 C:\Windows\System32\smss.exe 412 csrss.exe 484 C:\Windows\System32\wininit.exe 492 csrss.exe 540 C:\Windows\System32\services.exe 556 C:\Windows\System32\lsass.exe 564 C:\Windows\System32\lsm.exe 664 C:\Windows\System32\svchost.exe 752 C:\Windows\System32\svchost.exe 804 C:\Windows\System32\svchost.exe 852 C:\Windows\System32\svchost.exe 892 C:\Windows\System32\svchost.exe 908 C:\Windows\System32\winlogon.exe 1088 C:\Windows\System32\svchost.exe 1244 C:\Windows\System32\svchost.exe 1424 C:\Windows\System32\spoolsv.exe 1452 C:\Program Files\Avira\AntiVir Desktop\sched.exe 1472 C:\Windows\System32\svchost.exe 1652 C:\Program Files\Avira\AntiVir Desktop\avguard.exe 1680 C:\Program Files\Dassault Systemes\B18\intel_a\code\bin\CATSysDemon.exe 1724 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe 1732 C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe 1740 C:\Windows\System32\conhost.exe 1816 C:\Windows\System32\PnkBstrA.exe 1844 C:\Windows\System32\PnkBstrB.exe 1876 C:\Windows\System32\stacsv.exe 1916 C:\Windows\System32\svchost.exe 2300 C:\Windows\System32\svchost.exe 2480 C:\Windows\System32\taskhost.exe 2496 C:\Windows\System32\dwm.exe 2564 C:\Windows\explorer.exe 2612 C:\Windows\System32\rundll32.exe 2728 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 2764 C:\Windows\System32\rundll32.exe 2772 C:\Windows\System32\rundll32.exe 2780 C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe 2812 C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe 3084 C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE 3208 C:\Windows\System32\SearchIndexer.exe 3296 C:\Program Files\Windows Media Player\wmpnetwk.exe 3528 C:\Windows\System32\svchost.exe 3836 C:\Windows\System32\svchost.exe 2236 C:\Windows\System32\svchost.exe 2084 C:\Windows\System32\audiodg.exe 1996 taskhost.exe 1232 C:\Windows\System32\SearchProtocolHost.exe 3312 C:\Windows\System32\SearchFilterHost.exe 1188 C:\Users\***\Desktop\MBRCheck.exe 3040 C:\Windows\System32\conhost.exe 2224 C:\Windows\System32\dllhost.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000002`a2a00000 (NTFS) PhysicalDrive0 Model Number: TOSHIBAMK2546GSX, Rev: LB012A Size Device Name MBR Status -------------------------------------------- 232 GB \\.\PhysicalDrive0 Windows 7 MBR code detected SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79 Done! Hatte noch was vergessen zu erwähnen. Hatte vor ca. 4 Wochen einen Trojaner(?) auf dem Rechner der mir ständig die Interneteinstellungen verändert hat, d.h. es wurde statt "IP automatisch wählen" eine feste proxy Adresse eingestellt, so dass ich nicht mehr ins Internet kam, oder auf eine andere Seite umgelenkt wurde. Avira hatte das Problem nach einem Scan erkannt, und der Trojaner(?) wurde auch nach mehreren Scans gelöscht. Damit war das Problem behoben und für mich (naiver Weise) auch erledigt. Vllt spielt es eine Rolle? |
09.01.2011, 17:23 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 7 Malwarebytes Funde ("cxlacuxatx.exe") Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
09.01.2011, 20:02 | #13 |
| 7 Malwarebytes Funde ("cxlacuxatx.exe") Ok, hier nochmal Malwarebytes Log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5488 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 09.01.2011 19:56:05 mbam-log-2011-01-09 (19-56-05).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|) Durchsuchte Objekte: 517489 Laufzeit: 2 Stunde(n), 22 Minute(n), 41 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
09.01.2011, 23:56 | #14 |
| 7 Malwarebytes Funde ("cxlacuxatx.exe") So, nachdem Malwarebytes nichts gefunden hatte hab ich mit SUPERAntiSpyware 5 Funde: Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 01/09/2011 at 11:31 PM Application Version : 4.47.1000 Core Rules Database Version : 6164 Trace Rules Database Version: 3976 Scan type : Complete Scan Total Scan Time : 03:08:35 Memory items scanned : 701 Memory threats detected : 0 Registry items scanned : 9689 Registry threats detected : 1 File items scanned : 378859 File threats detected : 4 Adware.Tracking Cookie C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\michael@atdmt[1].txt Rogue.Pallidium HKU\S-1-5-21-2914932440-898565842-3097317363-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS#WARNONPOSTREDIRECT Trojan.Agent/Gen-CDesc[Gen] C:\PROGRAM FILES\MATLAB\R2009A\TOOLBOX\RTW\TARGETS\XPC\TARGET\BUILD\XPCBLOCKS\ADBBPCI20098.MEXW32 C:\PROGRAM FILES\MATLAB\R2009A\TOOLBOX\RTW\TARGETS\XPC\TARGET\BUILD\XPCBLOCKS\ADCBDAS16JREXP.MEXW32 Trojan.Agent/Gen-Dropper[Mex] C:\PROGRAM FILES\MATLAB\R2009A\TOOLBOX\RTW\TARGETS\XPC\TARGET\BUILD\XPCBLOCKS\RS232_REC.MEXW32 |
10.01.2011, 00:04 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 7 Malwarebytes Funde ("cxlacuxatx.exe") Sollten Fehlalarme sein, du hast ja ein originales Matlab drauf oder? Das andere ist nur ein Cookie und ein Überrest. Noch Probleme? Oder Rechner wieder paletti?
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu 7 Malwarebytes Funde ("cxlacuxatx.exe") |
anti-malware, antivir, appdata, code, dateien, dringend, e-banking, explorer, explorer.exe, folge, forum, gefährlich, gelöscht, hijack.shell, log-file, malwarebytes, microsoft, online-banking, pc-sicherheit, problem, programm, roaming, schutz, software, system, trojan.agent, trojan.spyeyes, updates, winlogon |