|
Plagegeister aller Art und deren Bekämpfung: TFC.exe lässt sich nicht ausführenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.02.2011, 16:01 | #1 |
| TFC.exe lässt sich nicht ausführen Hallo, mein Virenscanner (Antivir) hat jüngst 7 unerwünschte Programme gefunden, die ich in Quarantäne verschoben habe. Nun wollte ich der Anleitung auf Trojanerboard folgen (MBAM installieren und anschließend hier die Logfiles posten), aber leider gibt es ein Problem bei der Ausführung von TFC.exe Der Download und das Update von MBAM hat zwar geklappt, aber der automatische Neustart ist nicht erfolgt. Der Versuch, TFC.exe manuell zu starten hat aber auch nicht geklappt, da ich folgende Fehlermeldung erhielt: C:\Dokumente und Einstellungen\***\Desktop\MFTools\TFC.exe ist keine zulässige Win32-Anwendung Was soll ich nun tun? Vielen Dank schon im Voraus! |
12.02.2011, 19:43 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | TFC.exe lässt sich nicht ausführenZitat:
Das sind notwendige Angaben, poste also das Protokoll des Virenscanners mit den Funden inkl. kompletten Pfadangaben sowie Datei- und Schädlingsnamen!
__________________ |
12.02.2011, 22:06 | #3 |
| TFC.exe lässt sich nicht ausführen Hallo Arne,
__________________danke für den Hinweis. Wollte mich sicherheitshalber nur an das übliche Prozedere (MBAM) halten. Also hier sind die drei Berichte von Antivir: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Montag, 7. Februar 2011 16:53 Es wird nach 2461013 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ***-BE01800B Versionsinformationen: BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00 AVSCAN.EXE : 10.0.3.5 435368 Bytes 16.12.2010 17:46:44 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.3.2 104296 Bytes 16.12.2010 17:46:44 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:59:59 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 17:46:28 VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 17:46:28 VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 17:46:28 VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 17:46:28 VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 17:46:28 VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 17:46:28 VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 17:46:28 VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 17:46:29 VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 17:46:29 VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 17:46:29 VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 17:46:29 VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 17:46:29 VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 17:46:29 VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 21:57:12 VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 17:05:57 VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 09:01:30 VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 12:40:13 VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 12:02:59 VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 08:59:01 VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 10:27:52 VBASE021.VDF : 7.11.1.65 140800 Bytes 10.01.2011 18:35:09 VBASE022.VDF : 7.11.1.87 225280 Bytes 11.01.2011 16:24:06 VBASE023.VDF : 7.11.1.124 125440 Bytes 14.01.2011 16:39:06 VBASE024.VDF : 7.11.1.155 132096 Bytes 17.01.2011 19:10:10 VBASE025.VDF : 7.11.1.189 451072 Bytes 20.01.2011 13:11:06 VBASE026.VDF : 7.11.1.230 138752 Bytes 24.01.2011 13:11:07 VBASE027.VDF : 7.11.2.12 164352 Bytes 27.01.2011 13:11:08 VBASE028.VDF : 7.11.2.43 178176 Bytes 01.02.2011 09:12:22 VBASE029.VDF : 7.11.2.78 206336 Bytes 04.02.2011 15:46:44 VBASE030.VDF : 7.11.2.79 2048 Bytes 04.02.2011 15:46:44 VBASE031.VDF : 7.11.2.88 62464 Bytes 07.02.2011 15:46:44 Engineversion : 8.2.4.162 AEVDF.DLL : 8.1.2.1 106868 Bytes 14.10.2010 16:09:40 AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 02.02.2011 09:12:29 AESCN.DLL : 8.1.7.2 127349 Bytes 27.11.2010 23:17:04 AESBX.DLL : 8.1.3.2 254324 Bytes 27.11.2010 23:17:05 AERDL.DLL : 8.1.9.2 635252 Bytes 14.10.2010 16:09:39 AEPACK.DLL : 8.2.4.9 512374 Bytes 02.02.2011 09:12:28 AEOFFICE.DLL : 8.1.1.16 205179 Bytes 02.02.2011 09:12:27 AEHEUR.DLL : 8.1.2.73 3207541 Bytes 07.02.2011 15:46:49 AEHELP.DLL : 8.1.16.1 246134 Bytes 07.02.2011 15:46:47 AEGEN.DLL : 8.1.5.2 397683 Bytes 30.01.2011 13:11:12 AEEMU.DLL : 8.1.3.0 393589 Bytes 27.11.2010 23:17:00 AECORE.DLL : 8.1.19.2 196983 Bytes 30.01.2011 13:11:11 AEBB.DLL : 8.1.1.0 53618 Bytes 14.10.2010 16:09:34 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 06.11.2010 14:24:03 AVSCPLR.DLL : 10.0.3.2 84328 Bytes 16.12.2010 17:46:44 AVARKT.DLL : 10.0.22.6 231784 Bytes 16.12.2010 17:46:41 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 06.11.2010 14:24:01 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4d887cb8\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Beginn des Suchlaufs: Montag, 7. Februar 2011 16:53 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\syscheckrt\syscheckrt.exe' C:\syscheckrt\syscheckrt.exe [FUND] Ist das Trojanische Pferd TR/Spy.SpyEyes.eta Beginne mit der Desinfektion: C:\syscheckrt\syscheckrt.exe [FUND] Ist das Trojanische Pferd TR/Spy.SpyEyes.eta [HINWEIS] Der Registrierungseintrag <HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syscheckrt.exe> wurde erfolgreich entfernt. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f42bc14.qua' verschoben! Ende des Suchlaufs: Montag, 7. Februar 2011 17:04 Benötigte Zeit: 00:02 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 31 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 30 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 9. Februar 2011 10:52 Es wird nach 2461013 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ***-BE01800B Versionsinformationen: BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00 AVSCAN.EXE : 10.0.3.5 435368 Bytes 16.12.2010 17:46:44 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.3.2 104296 Bytes 16.12.2010 17:46:44 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:59:59 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 17:46:28 VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 17:46:28 VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 17:46:28 VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 17:46:28 VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 17:46:28 VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 17:46:28 VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 17:46:28 VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 17:46:29 VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 17:46:29 VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 17:46:29 VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 17:46:29 VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 17:46:29 VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 17:46:29 VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 21:57:12 VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 17:05:57 VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 09:01:30 VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 12:40:13 VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 12:02:59 VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 08:59:01 VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 10:27:52 VBASE021.VDF : 7.11.1.65 140800 Bytes 10.01.2011 18:35:09 VBASE022.VDF : 7.11.1.87 225280 Bytes 11.01.2011 16:24:06 VBASE023.VDF : 7.11.1.124 125440 Bytes 14.01.2011 16:39:06 VBASE024.VDF : 7.11.1.155 132096 Bytes 17.01.2011 19:10:10 VBASE025.VDF : 7.11.1.189 451072 Bytes 20.01.2011 13:11:06 VBASE026.VDF : 7.11.1.230 138752 Bytes 24.01.2011 13:11:07 VBASE027.VDF : 7.11.2.12 164352 Bytes 27.01.2011 13:11:08 VBASE028.VDF : 7.11.2.43 178176 Bytes 01.02.2011 09:12:22 VBASE029.VDF : 7.11.2.78 206336 Bytes 04.02.2011 15:46:44 VBASE030.VDF : 7.11.2.79 2048 Bytes 04.02.2011 15:46:44 VBASE031.VDF : 7.11.2.88 62464 Bytes 07.02.2011 15:46:44 Engineversion : 8.2.4.162 AEVDF.DLL : 8.1.2.1 106868 Bytes 14.10.2010 16:09:40 AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 02.02.2011 09:12:29 AESCN.DLL : 8.1.7.2 127349 Bytes 27.11.2010 23:17:04 AESBX.DLL : 8.1.3.2 254324 Bytes 27.11.2010 23:17:05 AERDL.DLL : 8.1.9.2 635252 Bytes 14.10.2010 16:09:39 AEPACK.DLL : 8.2.4.9 512374 Bytes 02.02.2011 09:12:28 AEOFFICE.DLL : 8.1.1.16 205179 Bytes 02.02.2011 09:12:27 AEHEUR.DLL : 8.1.2.73 3207541 Bytes 07.02.2011 15:46:49 AEHELP.DLL : 8.1.16.1 246134 Bytes 07.02.2011 15:46:47 AEGEN.DLL : 8.1.5.2 397683 Bytes 30.01.2011 13:11:12 AEEMU.DLL : 8.1.3.0 393589 Bytes 27.11.2010 23:17:00 AECORE.DLL : 8.1.19.2 196983 Bytes 30.01.2011 13:11:11 AEBB.DLL : 8.1.1.0 53618 Bytes 14.10.2010 16:09:34 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 06.11.2010 14:24:03 AVSCPLR.DLL : 10.0.3.2 84328 Bytes 16.12.2010 17:46:44 AVARKT.DLL : 10.0.22.6 231784 Bytes 16.12.2010 17:46:41 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 06.11.2010 14:24:01 Konfiguration für den aktuellen Suchlauf: Job Name..............................: avguard_async_scan Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4d8ff502\guard_slideup.avp Protokollierung.......................: niedrig Primäre Aktion........................: reparieren Sekundäre Aktion......................: quarantäne Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: aus Durchsuche aktive Programme...........: ein Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: hoch Beginn des Suchlaufs: Mittwoch, 9. Februar 2011 10:52 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\System Volume Information\_restore{6BC31BAE-339B-4D00-90DB-922EEADDB490}\RP699\A0049457.exe' C:\System Volume Information\_restore{6BC31BAE-339B-4D00-90DB-922EEADDB490}\RP699\A0049457.exe [FUND] Ist das Trojanische Pferd TR/Spy.SpyEyes.eta [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f03c5fb.qua' verschoben! Ende des Suchlaufs: Mittwoch, 9. Februar 2011 10:54 Benötigte Zeit: 01:53 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 30 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 29 Dateien ohne Befall 0 Archive wurden durchsucht 0 Warnungen 1 Hinweise Die Suchergebnisse werden an den Guard übermittelt. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Mittwoch, 9. Februar 2011 11:17 Es wird nach 2467357 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - FREE Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows XP Windowsversion : (Service Pack 2) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : ***-BE01800B Versionsinformationen: BUILD.DAT : 10.0.0.611 31824 Bytes 14.01.2011 13:28:00 AVSCAN.EXE : 10.0.3.5 435368 Bytes 16.12.2010 17:46:44 AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16 LUKE.DLL : 10.0.3.2 104296 Bytes 16.12.2010 17:46:44 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:59:59 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 17:46:28 VBASE002.VDF : 7.11.0.1 2048 Bytes 14.12.2010 17:46:28 VBASE003.VDF : 7.11.0.2 2048 Bytes 14.12.2010 17:46:28 VBASE004.VDF : 7.11.0.3 2048 Bytes 14.12.2010 17:46:28 VBASE005.VDF : 7.11.0.4 2048 Bytes 14.12.2010 17:46:28 VBASE006.VDF : 7.11.0.5 2048 Bytes 14.12.2010 17:46:28 VBASE007.VDF : 7.11.0.6 2048 Bytes 14.12.2010 17:46:28 VBASE008.VDF : 7.11.0.7 2048 Bytes 14.12.2010 17:46:29 VBASE009.VDF : 7.11.0.8 2048 Bytes 14.12.2010 17:46:29 VBASE010.VDF : 7.11.0.9 2048 Bytes 14.12.2010 17:46:29 VBASE011.VDF : 7.11.0.10 2048 Bytes 14.12.2010 17:46:29 VBASE012.VDF : 7.11.0.11 2048 Bytes 14.12.2010 17:46:29 VBASE013.VDF : 7.11.0.52 128000 Bytes 16.12.2010 17:46:29 VBASE014.VDF : 7.11.0.91 226816 Bytes 20.12.2010 21:57:12 VBASE015.VDF : 7.11.0.122 136192 Bytes 21.12.2010 17:05:57 VBASE016.VDF : 7.11.0.156 122880 Bytes 24.12.2010 09:01:30 VBASE017.VDF : 7.11.0.185 146944 Bytes 27.12.2010 12:40:13 VBASE018.VDF : 7.11.0.228 132608 Bytes 30.12.2010 12:02:59 VBASE019.VDF : 7.11.1.5 148480 Bytes 03.01.2011 08:59:01 VBASE020.VDF : 7.11.1.37 156672 Bytes 07.01.2011 10:27:52 VBASE021.VDF : 7.11.1.65 140800 Bytes 10.01.2011 18:35:09 VBASE022.VDF : 7.11.1.87 225280 Bytes 11.01.2011 16:24:06 VBASE023.VDF : 7.11.1.124 125440 Bytes 14.01.2011 16:39:06 VBASE024.VDF : 7.11.1.155 132096 Bytes 17.01.2011 19:10:10 VBASE025.VDF : 7.11.1.189 451072 Bytes 20.01.2011 13:11:06 VBASE026.VDF : 7.11.1.230 138752 Bytes 24.01.2011 13:11:07 VBASE027.VDF : 7.11.2.12 164352 Bytes 27.01.2011 13:11:08 VBASE028.VDF : 7.11.2.43 178176 Bytes 01.02.2011 09:12:22 VBASE029.VDF : 7.11.2.78 206336 Bytes 04.02.2011 15:46:44 VBASE030.VDF : 7.11.2.79 2048 Bytes 04.02.2011 15:46:44 VBASE031.VDF : 7.11.2.104 153600 Bytes 08.02.2011 09:59:49 Engineversion : 8.2.4.162 AEVDF.DLL : 8.1.2.1 106868 Bytes 14.10.2010 16:09:40 AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 02.02.2011 09:12:29 AESCN.DLL : 8.1.7.2 127349 Bytes 27.11.2010 23:17:04 AESBX.DLL : 8.1.3.2 254324 Bytes 27.11.2010 23:17:05 AERDL.DLL : 8.1.9.2 635252 Bytes 14.10.2010 16:09:39 AEPACK.DLL : 8.2.4.9 512374 Bytes 02.02.2011 09:12:28 AEOFFICE.DLL : 8.1.1.16 205179 Bytes 02.02.2011 09:12:27 AEHEUR.DLL : 8.1.2.73 3207541 Bytes 07.02.2011 15:46:49 AEHELP.DLL : 8.1.16.1 246134 Bytes 07.02.2011 15:46:47 AEGEN.DLL : 8.1.5.2 397683 Bytes 30.01.2011 13:11:12 AEEMU.DLL : 8.1.3.0 393589 Bytes 27.11.2010 23:17:00 AECORE.DLL : 8.1.19.2 196983 Bytes 30.01.2011 13:11:11 AEBB.DLL : 8.1.1.0 53618 Bytes 14.10.2010 16:09:34 AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10 AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07 AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40 AVREG.DLL : 10.0.3.2 53096 Bytes 06.11.2010 14:24:03 AVSCPLR.DLL : 10.0.3.2 84328 Bytes 16.12.2010 17:46:44 AVARKT.DLL : 10.0.22.6 231784 Bytes 16.12.2010 17:46:41 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25 SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53 AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54 NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08 RCTEXT.DLL : 10.0.58.0 98152 Bytes 06.11.2010 14:24:01 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: niedrig Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: mittel Beginn des Suchlaufs: Mittwoch, 9. Februar 2011 11:17 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_USERS\S-1-5-21-1844237615-1409082233-682003330-1004\Software\Microsoft\Windows\ShellNoRoam\BagMRU\nodeslots [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-1844237615-1409082233-682003330-1004\Software\Microsoft\Windows\ShellNoRoam\BagMRU\70\0\mrulistex [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet002\Services\NtmsSvc\Config\Standalone\drivelist [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'soffice.bin' - '172' Modul(e) wurden durchsucht Durchsuche Prozess 'soffice.exe' - '13' Modul(e) wurden durchsucht Durchsuche Prozess 'swriter.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'vssvc.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '58' Modul(e) wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'msmsgs.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'TeaTimer.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '31' Modul(e) wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '14' Modul(e) wurden durchsucht Durchsuche Prozess 'IoctlSvc.exe' - '13' Modul(e) wurden durchsucht Durchsuche Prozess 'NBService.exe' - '37' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'mDNSResponder.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '44' Modul(e) wurden durchsucht Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '95' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '149' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'Ati2evxx.exe' - '13' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '42' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '11' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1683' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\OOo_3.2.1_Win_x86_install_de.exe [0] Archivtyp: NSIS --> a [1] Archivtyp: CAB (Microsoft) --> testtar.tar [2] Archivtyp: TAR (tape archiver) --> gnu/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/longname [WARNUNG] Interner Fehler! C:\Dokumente und Einstellungen\***\Eigene Dateien\Programme Downloads\OpenOffice.org 3.2 (de) Installation Files\openofficeorg1.cab [0] Archivtyp: CAB (Microsoft) --> testtar.tar [1] Archivtyp: TAR (tape archiver) --> gnu/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/longname [WARNUNG] Interner Fehler! C:\Programme\OpenOffice.org 3\Basis\program\python-core-2.6.1\lib\test\testtar.tar [0] Archivtyp: TAR (tape archiver) --> gnu/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/123/longname [WARNUNG] Interner Fehler! [WARNUNG] Interner Fehler! C:\System Volume Information\_restore{6BC31BAE-339B-4D00-90DB-922EEADDB490}\RP696\A0049349.exe [FUND] Ist das Trojanische Pferd TR/EyeStye.H.36 C:\System Volume Information\_restore{6BC31BAE-339B-4D00-90DB-922EEADDB490}\RP697\A0049381.exe [FUND] Ist das Trojanische Pferd TR/Kazy.10916 C:\System Volume Information\_restore{6BC31BAE-339B-4D00-90DB-922EEADDB490}\RP697\A0049389.exe [FUND] Ist das Trojanische Pferd TR/Kazy.10807 C:\System Volume Information\_restore{6BC31BAE-339B-4D00-90DB-922EEADDB490}\RP698\A0049399.exe [FUND] Ist das Trojanische Pferd TR/EyeStye.H.45 C:\System Volume Information\_restore{6BC31BAE-339B-4D00-90DB-922EEADDB490}\RP698\A0049411.exe [FUND] Ist das Trojanische Pferd TR/Spy.SpyEyes.esg Beginne mit der Desinfektion: C:\System Volume Information\_restore{6BC31BAE-339B-4D00-90DB-922EEADDB490}\RP698\A0049411.exe [FUND] Ist das Trojanische Pferd TR/Spy.SpyEyes.esg [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '42d32a35.qua' verschoben! C:\System Volume Information\_restore{6BC31BAE-339B-4D00-90DB-922EEADDB490}\RP698\A0049399.exe [FUND] Ist das Trojanische Pferd TR/EyeStye.H.45 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5a440592.qua' verschoben! C:\System Volume Information\_restore{6BC31BAE-339B-4D00-90DB-922EEADDB490}\RP697\A0049389.exe [FUND] Ist das Trojanische Pferd TR/Kazy.10807 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '081b5f7a.qua' verschoben! C:\System Volume Information\_restore{6BC31BAE-339B-4D00-90DB-922EEADDB490}\RP697\A0049381.exe [FUND] Ist das Trojanische Pferd TR/Kazy.10916 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6e2c10b9.qua' verschoben! C:\System Volume Information\_restore{6BC31BAE-339B-4D00-90DB-922EEADDB490}\RP696\A0049349.exe [FUND] Ist das Trojanische Pferd TR/EyeStye.H.36 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2ba83d87.qua' verschoben! Ende des Suchlaufs: Mittwoch, 9. Februar 2011 13:54 Benötigte Zeit: 2:28:23 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 9703 Verzeichnisse wurden überprüft 446018 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 5 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 446013 Dateien ohne Befall 5554 Archive wurden durchsucht 4 Warnungen 5 Hinweise 487050 Objekte wurden beim Rootkitscan durchsucht 3 Versteckte Objekte wurden gefunden Ich bin ziemlich verunsichert wegen der Funde. Ich mache zwar kein Online-Banking, aber ich nutze z.B. Papypal oder auch meine Kreditkarte für Online-Bestellungen. Traue mich nun seit den Funden nicht mal mehr in meine E-Mail Accounts einzuloggen. Vielen Dank daher für die Hilfe - wie soll ich mich nun verhalten? Geändert von Technikdummie (12.02.2011 um 22:22 Uhr) |
13.02.2011, 20:23 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TFC.exe lässt sich nicht ausführen Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Danach OTL: Systemscan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
__________________ Logfiles bitte immer in CODE-Tags posten |
13.02.2011, 21:51 | #5 |
| TFC.exe lässt sich nicht ausführen Ich bin wirklich unglaublich dankbar für die Hilfe... Ich habe nun MBAM aktualisiert und einen Scan gemacht. Anschließend auch mit OTL gescannt. Allerdings habe ich bislang noch keine weiteren Schritte unternommen (also noch keine Löschungen oder so durchgeführt) - ich hoffe das war richtig. Hier sind die Logfiles: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5754 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 13.02.2011 20:57:58 mbam-log-2011-02-13 (20-57-49).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 146238 Laufzeit: 7 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 3 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) OTL Logfile: Code:
ATTFilter OTL logfile created on: 13.02.2011 21:02:53 - Run 1 OTL by OldTimer - Version 3.2.20.6 Folder = C:\Dokumente und Einstellungen\***\Desktop Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 511,00 Mb Total Physical Memory | 240,00 Mb Available Physical Memory | 47,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 73,00% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,52 Gb Total Space | 48,58 Gb Free Space | 65,19% Space Free | Partition Type: NTFS Computer Name: ***-BE01800B | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) PRC - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\***\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2649_x-ww_aac16c8b\comctl32.dll (Microsoft Corporation) ========== Win32 Services (SafeList) ========== SRV - (HidServ) -- File not found SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (LightScribeService) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company) SRV - (stllssvr) -- C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe (MicroVision Development, Inc.) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation) ========== Driver Services (SafeList) ========== DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (DgiVecp) -- C:\WINDOWS\system32\drivers\DGIVECP.SYS (Samsung Electronics Co., Ltd.) DRV - (RxFilter) -- C:\WINDOWS\system32\drivers\RxFilter.sys (Sonic Solutions) DRV - (INIDVD) -- C:\WINDOWS\system32\drivers\inidvd.sys (Initio Corporation) DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.) DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (SiSGbeXP) -- C:\WINDOWS\system32\drivers\SiSGbeXP.sys (Silicon Integrated Systems Corp.) DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.search.suggest.enabled: false FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.11 23:40:33 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.10 11:03:21 | 000,000,000 | ---D | M] [2008.08.26 12:11:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions [2008.08.26 12:37:13 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\co64jljo.default\extensions [2008.08.26 12:09:48 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010.10.22 08:35:04 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.10.22 08:35:04 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.10.22 08:35:04 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.10.22 08:35:04 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.10.22 08:35:04 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011.02.10 22:06:03 | 000,431,296 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 .archivioadulti.com O1 - Hosts: 127.0.0.1 .internet-explorer.name O1 - Hosts: 127.0.0.1 .katasearch.com O1 - Hosts: 127.0.0.1 .preferiti-windows.com O1 - Hosts: 127.0.0.1 .qoogler.com O1 - Hosts: 127.0.0.1 .tuttoavolonta.com O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 123topsearch.com O1 - Hosts: 127.0.0.1 www.123topsearch.com O1 - Hosts: 14844 more lines... O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\NPJPI150.dll (Sun Microsystems, Inc.) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Programme\Yahoo!\Common\yinsthelper.dll (YInstStarter Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0) O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Java Plug-in 1.5.0) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.0.43.97 217.0.43.113 192.168.1.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.08.25 13:33:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.02.13 20:48:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2011.02.13 20:46:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ERUNT [2011.02.13 20:46:42 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT [2011.02.13 20:32:49 | 000,602,624 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2011.02.12 15:47:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes [2011.02.12 15:47:07 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.02.12 15:47:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2011.02.12 15:47:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.02.12 15:47:00 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.02.12 15:46:59 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.02.12 15:43:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\MFTools [2011.02.09 11:18:06 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData [2011.02.09 10:58:19 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent [8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011.02.13 20:47:04 | 000,000,747 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk [2011.02.13 20:46:44 | 000,000,591 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\NTREGOPT.lnk [2011.02.13 20:46:44 | 000,000,572 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\ERUNT.lnk [2011.02.13 20:37:46 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.02.13 20:32:51 | 000,602,624 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe [2011.02.13 19:55:06 | 000,014,783 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2011.02.12 15:47:08 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.02.12 15:43:46 | 000,296,448 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\g2m3e4r.exe [2011.02.12 15:43:45 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\defogger.exe [2011.02.12 15:41:14 | 000,021,436 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Trojaner Board Anleitung.odt [2011.02.12 15:37:25 | 000,472,080 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Load.exe [2011.02.11 08:57:44 | 000,022,473 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2011.02.10 22:06:03 | 000,431,296 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2011.02.09 23:48:07 | 000,024,320 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2011.02.08 12:06:25 | 000,018,041 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Handout ***.odt [2011.02.08 12:01:56 | 000,024,458 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\*** Auswahl 2.odt [2011.02.08 11:29:43 | 000,014,821 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Erarbeitung ***.odt [2011.02.08 10:17:38 | 000,016,873 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2011.02.02 11:55:40 | 000,016,667 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Themenliste***.odt [2011.02.02 10:09:24 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.01.26 23:25:03 | 000,010,678 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2011.01.26 22:14:09 | 000,020,026 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Protokoll ***.odt [2011.01.19 12:30:08 | 000,021,367 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Übersicht ***.odt [8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2011.02.13 20:47:04 | 000,000,747 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk [2011.02.13 20:46:44 | 000,000,591 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\NTREGOPT.lnk [2011.02.13 20:46:44 | 000,000,572 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\ERUNT.lnk [2011.02.12 15:47:08 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.02.12 15:43:45 | 000,296,448 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\g2m3e4r.exe [2011.02.12 15:43:44 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\defogger.exe [2011.02.12 15:41:11 | 000,021,436 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Trojaner Board Anleitung.odt [2011.02.12 15:37:25 | 000,472,080 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Load.exe [2011.02.09 23:45:26 | 000,022,473 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2011.02.09 11:27:23 | 000,024,320 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2011.02.08 12:06:24 | 000,018,041 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Handout***.odt [2011.02.08 12:01:55 | 000,024,458 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2011.02.08 11:29:42 | 000,014,821 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2011.02.08 10:17:37 | 000,016,873 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2011.02.06 16:49:35 | 000,014,783 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2011.01.30 20:56:39 | 000,016,667 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Themenliste***.odt [2011.01.26 23:25:03 | 000,010,678 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2011.01.26 11:43:20 | 000,020,026 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2011.01.19 12:30:07 | 000,021,367 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\***.odt [2010.01.10 18:22:38 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2009.09.05 19:16:19 | 000,022,723 | ---- | C] () -- C:\WINDOWS\System32\ssp2ml3.dll [2009.05.28 10:58:28 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI [2009.01.08 00:44:23 | 000,006,144 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.12.13 15:17:36 | 000,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll [2008.12.13 15:17:36 | 000,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll [2008.12.13 15:17:35 | 000,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll [2008.08.25 14:21:04 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2008.08.25 14:17:39 | 000,156,672 | R--- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll [2008.08.25 13:49:54 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2008.08.25 13:37:49 | 000,001,082 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2004.08.04 13:00:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll < End of report > OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 13.02.2011 21:02:53 - Run 1 OTL by OldTimer - Version 3.2.20.6 Folder = C:\Dokumente und Einstellungen\***\Desktop Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 511,00 Mb Total Physical Memory | 240,00 Mb Available Physical Memory | 47,00% Memory free 1,00 Gb Paging File | 1,00 Gb Available in Paging File | 73,00% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,52 Gb Total Space | 48,58 Gb Free Space | 65,19% Space Free | Partition Type: NTFS Computer Name: ***-BE01800B | User Name: *** | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* .url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation) InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 1 "FirewallDisableNotify" = 1 "UpdatesDisableNotify" = 1 "AntiVirusOverride" = 0 "FirewallOverride" = 0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Sierra\Arcanum\Arcanum.exe" = C:\Sierra\Arcanum\Arcanum.exe:*:Disabled:Arcanum "C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Civilization4.exe" = C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4 Complete -- (Firaxis Games) "C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Warlords\Civ4Warlords.exe" = C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Warlords\Civ4Warlords.exe:*:Enabled:Sid Meier's Civilization 4: Warlords -- (Firaxis Games) "C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Beyond the Sword\Civ4BeyondSword.exe" = C:\Programme\2K Games\Firaxis Games\Sid Meier's Civilization 4 Complete\Beyond the Sword\Civ4BeyondSword.exe:*:Enabled:Sid Meier's Civilization 4: Beyond the Sword -- (Firaxis Games) "C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0819E89D-6214-4B6F-A18D-4633CB4E0E4A}" = Softwareupdate für Webordner "{08E81ABD-79F7-49C2-881F-FD6CB0975693}" = Roxio Central Data "{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel "{17424F35-8B77-4ADF-BC63-BF9B81418539}" = Apple Application Support "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{1F54DAFA-9261-4A62-B59D-6C9F26B48FE4}" = Roxio Central Tools "{2A981294-F14C-4F0F-9627-D793270922F8}" = Bonjour "{30465B6C-B53F-49A1-9EBA-A3F187AD502E}" = Roxio Update Manager "{308B6AEA-DE50-4666-996D-0FA461719D6B}" = Apple Mobile Device Support "{30D1F3D2-54CF-481D-A005-F94B0E98FEEC}" = Sid Meier's Civilization 4 Complete "{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0 "{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup "{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml "{5A06423A-210C-49FB-950E-CB0EB8C5CEC7}" = Roxio BackOnTrack "{60B2315F-680F-4EB3-B8DD-CCDC86A7CCAB}" = Roxio File Backup "{65D70656-D248-4C83-B594-E3029C43B37A}" = phase6_19 "{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}" = Roxio Express Labeler 3 "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{73A4F29F-31AC-4EBD-AA1B-0CC5F18C8F83}" = Roxio Central Audio "{79AE264A-7DEA-49AF-AFAF-7A2D8F706F51}" = Roxio WinOnCD LE 10 "{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2 "{95D1FD8D-9209-4C68-B7E4-95536D21BBD1}" = AK vs DR "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9B700657-676B-4A98-8B25-40A1BAC81031}" = Nero 8 Essentials "{A433AE09-2126-4dad-9CBD-C1B05DC42787}" = Windows Messenger 5.1 "{A8E2EF8F-73EF-4DD8-BB38-31FCCAF50103}" = Dark Messiah "{AC76BA86-7AD7-1033-7B44-A81100000003}" = Adobe Reader 8.1.1 "{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy "{B6A26DE5-F2B5-4D58-9570-4FC760E00FCD}" = Roxio Central Copy "{C41300B9-185D-475E-BFEC-39EF732F19B1}" = Apple Software Update "{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1 "{D6B8ED44-CA4A-4702-924D-34596E5450DB}" = Crusader Kings "{DA9DAC64-C947-47BA-B411-8A1959B177CF}" = LightScribe System Software 1.14.25.1 "{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime "{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack "{E8843212-F0FC-4C3B-BFF3-D51829CB4F19}" = iTunes "{ED439A64-F018-4DD4-8BA5-328D85AB09AB}" = Roxio Central Core "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9 "ATI Display Driver" = ATI Display Driver "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus "Battle for Wesnoth 1.8.1" = Battle for Wesnoth 1.8.1 "CCleaner" = CCleaner (remove only) "ERUNT_is1" = ERUNT 1.1j "Fantasy Wars_is1" = Fantasy Wars "Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware "Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1 "Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) "Samsung ML-1640 Series" = Samsung ML-1640 Series "Samsung SpeedPlus Driver_is1" = Samsung SpeedPlus Driver "Windows Media Format Runtime" = Windows Media Format Runtime "Windows Media Player" = Windows Media Player 10 "YInstHelper" = Yahoo! Install Manager ========== Last 10 Event Log Errors ========== [ Application Events ] Error - 30.10.2010 02:18:03 | Computer Name = ***-BE01800B | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 30.10.2010 03:55:25 | Computer Name = ***-BE01800B | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 31.10.2010 02:09:12 | Computer Name = ***-BE01800B | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 31.10.2010 15:09:28 | Computer Name = ***-BE01800B | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 01.11.2010 05:26:47 | Computer Name = ***-BE01800B | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 01.11.2010 14:06:56 | Computer Name = ***-BE01800B | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 02.11.2010 06:36:50 | Computer Name = ***-BE01800B | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 03.11.2010 06:10:04 | Computer Name = ***-BE01800B | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 04.11.2010 05:28:44 | Computer Name = ***-BE01800B | Source = crypt32 | ID = 131080 Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Error - 04.11.2010 06:01:35 | Computer Name = ***-BE01800B | Source = Application Hang | ID = 1002 Description = Stillstehende Anwendung firefox.exe, Version 1.9.2.3951, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. [ System Events ] Error - 07.02.2011 12:11:45 | Computer Name = ***-BE01800B | Source = Service Control Manager | ID = 7000 Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 08.02.2011 14:33:58 | Computer Name = ***-BE01800B | Source = Service Control Manager | ID = 7000 Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 09.02.2011 04:34:30 | Computer Name = ***-BE01800B | Source = Service Control Manager | ID = 7000 Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 09.02.2011 17:46:45 | Computer Name = ***-BE01800B | Source = Service Control Manager | ID = 7000 Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 10.02.2011 11:59:24 | Computer Name = ***-BE01800B | Source = Service Control Manager | ID = 7000 Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 11.02.2011 03:12:25 | Computer Name = ***-BE01800B | Source = Service Control Manager | ID = 7000 Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 11.02.2011 12:38:56 | Computer Name = ***-BE01800B | Source = Service Control Manager | ID = 7000 Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 12.02.2011 09:18:02 | Computer Name = ***-BE01800B | Source = Service Control Manager | ID = 7000 Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 13.02.2011 07:29:13 | Computer Name = ***-BE01800B | Source = Service Control Manager | ID = 7000 Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 Error - 13.02.2011 15:38:26 | Computer Name = ***-BE01800B | Source = Service Control Manager | ID = 7000 Description = Der Dienst "SSPORT" wurde aufgrund folgenden Fehlers nicht gestartet: %%2 < End of report > Ich habe meinen Real-Name und den Titel einiger Open Office Textdateien durch *** ersetzt. Ich hoffe ich habe bis jetzt alles richtig gemacht und nichts vergessen - ansonsten bitte ich um Entschuldigung. Nochmals danke für die Hilfe! |
14.02.2011, 08:54 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TFC.exe lässt sich nicht ausführen Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> TFC.exe lässt sich nicht ausführen |
14.02.2011, 18:13 | #7 |
| TFC.exe lässt sich nicht ausführen Hallo... ich habe mich an die Anweisungen gehalten. Allerdings konnte ich die Recovery Konsole nicht installieren, weil ich meine Windows CD nicht finden konnte. Es lief aber ansonsten alles reibungslos ab, wie beschrieben. Nach einem Neustart habe ich aber inzwischen Antivir, Spybot und die Windows Firewall wieder aktiviert (ich hoffe das war richtig). Hier ist das Log von Combofix: Combofix Logfile: Code:
ATTFilter ComboFix 11-02-13.04 - *** 14.02.2011 17:39:17.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.293 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . ((((((((((((((((((((((( Dateien erstellt von 2011-01-14 bis 2011-02-14 )))))))))))))))))))))))))))))) . 2011-02-13 19:46 . 2011-02-13 19:47 -------- d-----w- c:\programme\ERUNT 2011-02-12 14:47 . 2011-02-12 14:47 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes 2011-02-12 14:47 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2011-02-12 14:47 . 2011-02-12 14:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2011-02-12 14:47 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-02-12 14:46 . 2011-02-12 14:47 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2011-02-09 10:18 . 2011-02-12 21:40 -------- d-----w- c:\windows\system32\NtmsData . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-12-21 19:15 . 2010-12-21 19:15 98304 ----a-w- c:\windows\system32CmdLineExt.dll 2010-12-20 21:57 . 2009-10-30 13:44 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-11-27 23:17 . 2009-10-30 13:44 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-06 281768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\ ERUNT AutoBackup.lnk - c:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6_19_erinnerung.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\p6_19_erinnerung.lnk backup=c:\windows\pss\p6_19_erinnerung.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OpenOffice.org 2.4.lnk] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 2.4.lnk backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] 2005-06-07 19:05 344064 ----a-w- c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2004-08-04 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2010-11-10 23:40 421160 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] 2005-06-20 20:42 77824 ----a-r- c:\windows\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2008-08-25 12:37 36972 ----a-w- c:\programme\Java\jre1.5.0\bin\jusched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Civilization4.exe"= "c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Warlords\\Civ4Warlords.exe"= "c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Beyond the Sword\\Civ4BeyondSword.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 14:44 135336] S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?] S3 INIDVD;Initio USB DVD Filter Driver;c:\windows\system32\drivers\inidvd.sys [16.09.2009 18:30 7936] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - HTTPFILTER [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] 2008-08-22 12:11 451872 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe . Inhalt des "geplante Tasks" Ordners 2011-01-04 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50] . . ------- Zusätzlicher Suchlauf ------- . uInternet Settings,ProxyOverride = *.local FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\co64jljo.default\ FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-Samsung Common SM - c:\windows\Samsung\ComSMMgr\ssmmgr.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-02-14 17:50 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\INIDVD] "ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00" [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\INIDVD] "ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(760) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(2852) c:\windows\system32\msi.dll . Zeit der Fertigstellung: 2011-02-14 17:57:00 ComboFix-quarantined-files.txt 2011-02-14 16:56 Vor Suchlauf: 7 Verzeichnis(se), 52.078.043.136 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 52.045.799.424 Bytes frei - - End Of File - - 339409853078019C80967D4FA2D12B41 Sieht es gut aus oder eher schlecht? Ich warte auf weiteren Anweisungen. Vielen Dank und Gruß! |
14.02.2011, 18:51 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TFC.exe lässt sich nicht ausführen Wir brauchen die Wiederherstellungskonsole: Gehe auf die Microsoft Seite => http://support.microsoft.com/?scid=kb%3Bde%3B310994&x=21&y=12 Wähle den Download, der für dein Betriebssystem bestimmt ist: Hinweis: Für WinXP Sp3 wähle die Sp2 Version. Lade die Datei herunter und speichere diese mit dem original Namen, neben ComboFix.exe ab (bzw. cofi.exe wenn umbenannt) Nun schließe alle offenen Programme und Fenster, inklusive der Antiviren und Antimalware Programme. Dies ist notwendig, damit kein Program den Suchlauf von ComboFix behindert.
__________________ Logfiles bitte immer in CODE-Tags posten |
14.02.2011, 20:22 | #9 |
| TFC.exe lässt sich nicht ausführen Es hat geklappt! Ich konnte die Wiederherstellungskonsole erfolgreich installieren und den combofix scan durchführen. Hier ist das log: Combofix Logfile: Code:
ATTFilter ComboFix 11-02-13.04 - *** 14.02.2011 19:29:35.2.1 - x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.262 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7} . ((((((((((((((((((((((( Dateien erstellt von 2011-01-14 bis 2011-02-14 )))))))))))))))))))))))))))))) . 2011-02-13 19:46 . 2011-02-13 19:47 -------- d-----w- c:\programme\ERUNT 2011-02-12 14:47 . 2011-02-12 14:47 -------- d-----w- c:\dokumente und einstellungen\holger\Anwendungsdaten\Malwarebytes 2011-02-12 14:47 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2011-02-12 14:47 . 2011-02-12 14:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2011-02-12 14:47 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-02-12 14:46 . 2011-02-12 14:47 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2011-02-09 10:18 . 2011-02-12 21:40 -------- d-----w- c:\windows\system32\NtmsData . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-12-21 19:15 . 2010-12-21 19:15 98304 ----a-w- c:\windows\system32CmdLineExt.dll 2010-12-20 21:57 . 2009-10-30 13:44 135096 ----a-w- c:\windows\system32\drivers\avipbb.sys 2010-11-27 23:17 . 2009-10-30 13:44 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-06 281768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6_19_erinnerung.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\p6_19_erinnerung.lnk backup=c:\windows\pss\p6_19_erinnerung.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^OpenOffice.org 2.4.lnk] path=c:\dokumente und einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 2.4.lnk backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] 2005-06-07 19:05 344064 ----a-w- c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] 2004-08-04 12:00 15360 ----a-w- c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] 2010-11-10 23:40 421160 ----a-w- c:\programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] 2005-06-20 20:42 77824 ----a-r- c:\windows\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2008-08-25 12:37 36972 ----a-w- c:\programme\Java\jre1.5.0\bin\jusched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\Programme\\Messenger\\msmsgs.exe"= "c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Civilization4.exe"= "c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Warlords\\Civ4Warlords.exe"= "c:\\Programme\\2K Games\\Firaxis Games\\Sid Meier's Civilization 4 Complete\\Beyond the Sword\\Civ4BeyondSword.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\iTunes\\iTunes.exe"= R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 14:44 135336] S2 SSPORT;SSPORT;\??\c:\windows\system32\Drivers\SSPORT.sys --> c:\windows\system32\Drivers\SSPORT.sys [?] S3 INIDVD;Initio USB DVD Filter Driver;c:\windows\system32\drivers\inidvd.sys [16.09.2009 18:30 7936] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] 2008-08-22 12:11 451872 ----a-w- c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe . Inhalt des "geplante Tasks" Ordners 2011-01-04 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50] . . ------- Zusätzlicher Suchlauf ------- . uInternet Settings,ProxyOverride = *.local FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\co64jljo.default\ FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2011-02-14 20:01 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\INIDVD] "ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00" [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\INIDVD] "ImagePath"=multi:"system32\DRIVERS\inidvd.sys\00" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(760) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(1364) c:\windows\system32\msi.dll . Zeit der Fertigstellung: 2011-02-14 20:08:02 ComboFix-quarantined-files.txt 2011-02-14 19:07 ComboFix2.txt 2011-02-14 16:57 Vor Suchlauf: 8 Verzeichnis(se), 52.044.722.176 Bytes frei Nach Suchlauf: 9 Verzeichnis(se), 52.034.342.912 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - 096EF7648473FF9EF90CD7324F8859C5 ...für die Hilfe |
14.02.2011, 21:26 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TFC.exe lässt sich nicht ausführen Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
15.02.2011, 00:31 | #11 |
| TFC.exe lässt sich nicht ausführen OK, ich hoffe ich habe alles richtig gemacht. Hier sind die logs: GMER 1.0.15.15530 - hxxp://www.gmer.net Rootkit quick scan 2011-02-14 23:48:42 Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-5 ST380013AS rev.3.00 Running: wmexeq5n.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\kweiifog.sys ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x950a600 size 0x1fd Disk \Device\Harddisk0\DR0 sector 62: copy of MBR ---- EOF - GMER 1.0.15 ---- OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 00:19:38 on 15.02.2011 OS: Windows XP Professional Service Pack 2 (Build 2600) Default Browser: Microsoft Corporation Internet Explorer 6.00.2900.2180 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "ALSNDMGR.CPL" - ? - C:\WINDOWS\system32\ALSNDMGR.CPL (File signed by Microsoft | File found, but it contains no detailed information) "jpicpl32.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\jpicpl32.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Avira AntiVir Personal - Free Antivirus " - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl "Nero BurnRights" - "Nero AG" - C:\Programme\Nero\Nero8\Nero Toolkit\NeroBurnRights.cpl "QuickTime" - "Apple Inc." - C:\Programme\QuickTime\QTSystem\QuickTime.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\DOKUME~1\***\LOKALE~1\Temp\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\WINDOWS\System32\Drivers\PxHelp20.sys "Secdrv" (Secdrv) - "Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K." - C:\WINDOWS\System32\DRIVERS\secdrv.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "SSPORT" (SSPORT) - ? - C:\WINDOWS\system32\Drivers\SSPORT.sys (File not found) "Team MFP Comm Driver" (DgiVecp) - "Samsung Electronics Co., Ltd." - C:\WINDOWS\System32\Drivers\DgiVecp.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {10880D85-AAD9-4558-ABDC-2AB1552D831F} "LightScribe Control Panel" - "Hewlett-Packard Company" - "C:\Programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe" {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {7D4D6379-F301-4311-BEBA-E26EB0561882} "NeroDigitalColumnHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll (File not found) {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" - "Apple Inc." - C:\Programme\iTunes\iTunesMiniPlayer.dll {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2} "NeroCoverEdLiveIcons Class" - "Nero AG" - C:\Programme\Nero\Nero8\Nero CoverDesigner\CoverEdExtension.dll {B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll {7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler Class" - "Nero AG" - C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroDigitalExt.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\msonsext.dll {E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll {E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll {E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll {E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing, S.L." - C:\Programme\WinZip\wzshlstb.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- <binary data> "ITBarLayout" - ? - (File not found | COM-object registry key not found) <binary data> "Yahoo! Toolbar mit Pop-Up-Blocker" - ? - (File not found | COM-object registry key not found) -----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )----- {EF99BD32-C1FB-11D2-892F-0090271D4F88} "Yahoo! Toolbar mit Pop-Up-Blocker" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.5.0" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} "Java Plug-in 1.5.0" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll / hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} "YInstStarter Class" - "Yahoo! Inc." - C:\PROGRA~1\Yahoo!\Common\yinsthelper.dll / C:\Programme\Yahoo!\Common\yinsthelper.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- "@C:\Programme\Messenger\Msgslang.dll,-61144" - "Microsoft Corporation" - C:\Programme\Messenger\msmsgs.exe {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBC} "ClsidExtension" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll {53707962-6F74-2D53-2644-206D7942484F} "ClsidExtension" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} "Adobe PDF Reader Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll {53707962-6F74-2D53-2644-206D7942484F} "Spybot-S&D IE Protection" - "Safer Networking Limited" - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini "WinZip Quick Pick.lnk" - "WinZip Computing, S.L." - C:\Programme\WinZip\WZQKPICK.EXE (Shortcut exists | File exists) -----( %UserProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\desktop.ini "ERUNT AutoBackup.lnk" - ? - C:\Programme\ERUNT\AUTOBACK.EXE (Shortcut exists | File found, but it contains no detailed information | File exists) -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "SpybotSD TeaTimer" - "Safer-Networking Ltd." - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Apple Mobile Device" (Apple Mobile Device) - "Apple Inc." - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe "ASP.NET-Statusdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe "Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Programme\Bonjour\mDNSResponder.exe "InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe "iPod-Dienst" (iPod Service) - "Apple Inc." - C:\Programme\iPod\bin\iPodService.exe "LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe "Nero BackItUp Scheduler 3" (Nero BackItUp Scheduler 3) - "Nero AG" - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe "PLFlash DeviceIoControl Service" (PLFlash DeviceIoControl Service) - "Prolific Technology Inc." - C:\WINDOWS\system32\IoctlSvc.exe "stllssvr" (stllssvr) - "MicroVision Development, Inc." - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Programme\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows XP Professional Windows Information: Service Pack 2 (build 2600) Logical Drives Mask: 0x0000003c Kernel Drivers (total 117): 0x804D7000 \WINDOWS\system32\ntkrnlpa.exe 0x806CE000 \WINDOWS\system32\hal.dll 0xF8B64000 \WINDOWS\system32\KDCOM.DLL 0xF8A74000 \WINDOWS\system32\BOOTVID.dll 0xF8534000 ACPI.sys 0xF8B66000 \WINDOWS\system32\DRIVERS\WMILIB.SYS 0xF8523000 pci.sys 0xF8664000 isapnp.sys 0xF8674000 ohci1394.sys 0xF8684000 \WINDOWS\system32\DRIVERS\1394BUS.SYS 0xF8C2C000 pciide.sys 0xF88E4000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS 0xF8694000 MountMgr.sys 0xF8504000 ftdisk.sys 0xF8B68000 dmload.sys 0xF84DE000 dmio.sys 0xF88EC000 PartMgr.sys 0xF86A4000 VolSnap.sys 0xF84C6000 atapi.sys 0xF86B4000 disk.sys 0xF86C4000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS 0xF84A7000 fltMgr.sys 0xF8495000 sr.sys 0xF86D4000 PxHelp20.sys 0xF847E000 KSecDD.sys 0xF83F1000 Ntfs.sys 0xF83C4000 NDIS.sys 0xF83A9000 Mup.sys 0xF8704000 \SystemRoot\system32\DRIVERS\nic1394.sys 0xF87E4000 \SystemRoot\system32\DRIVERS\intelppm.sys 0xF8222000 \SystemRoot\system32\DRIVERS\ati2mtag.sys 0xF81E6000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS 0xF87F4000 \SystemRoot\system32\DRIVERS\imapi.sys 0xF8804000 \SystemRoot\system32\DRIVERS\cdrom.sys 0xF8814000 \SystemRoot\system32\DRIVERS\redbook.sys 0xF81C3000 \SystemRoot\system32\DRIVERS\ks.sys 0xF893C000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys 0xF7F8B000 \SystemRoot\system32\drivers\ALCXWDM.SYS 0xF7F67000 \SystemRoot\system32\drivers\portcls.sys 0xF8824000 \SystemRoot\system32\drivers\drmk.sys 0xF8944000 \SystemRoot\system32\DRIVERS\usbohci.sys 0xF7F44000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0xF894C000 \SystemRoot\system32\DRIVERS\usbehci.sys 0xF7F25000 \SystemRoot\system32\DRIVERS\SiSGbeXP.sys 0xF7F14000 \SystemRoot\system32\DRIVERS\serial.sys 0xF8B30000 \SystemRoot\system32\DRIVERS\serenum.sys 0xF7F00000 \SystemRoot\system32\DRIVERS\parport.sys 0xF8834000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0xF8954000 \SystemRoot\system32\DRIVERS\mouclass.sys 0xF895C000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0xF8D14000 \SystemRoot\system32\DRIVERS\audstub.sys 0xF8844000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0xF8B34000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0xF7EE9000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0xF8854000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0xF8864000 \SystemRoot\system32\DRIVERS\raspptp.sys 0xF8964000 \SystemRoot\system32\DRIVERS\TDI.SYS 0xF7ED8000 \SystemRoot\system32\DRIVERS\psched.sys 0xF8874000 \SystemRoot\system32\DRIVERS\msgpc.sys 0xF897C000 \SystemRoot\system32\DRIVERS\ptilink.sys 0xF8984000 \SystemRoot\system32\DRIVERS\raspti.sys 0xF7DDF000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0xF88A4000 \SystemRoot\system32\DRIVERS\termdd.sys 0xF8B84000 \SystemRoot\system32\DRIVERS\swenum.sys 0xF7DAB000 \SystemRoot\system32\DRIVERS\update.sys 0xF8B58000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0xF88B4000 \SystemRoot\System32\Drivers\NDProxy.SYS 0xF8714000 \SystemRoot\system32\DRIVERS\usbhub.sys 0xF8B86000 \SystemRoot\system32\DRIVERS\USBD.SYS 0xF8B8C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0xF8CC8000 \SystemRoot\System32\Drivers\Null.SYS 0xF8B8E000 \SystemRoot\System32\Drivers\Beep.SYS 0xF8994000 \SystemRoot\System32\drivers\vga.sys 0xF8B90000 \SystemRoot\System32\Drivers\mnmdd.SYS 0xF8B92000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0xF899C000 \SystemRoot\System32\Drivers\Msfs.SYS 0xF89A4000 \SystemRoot\System32\Drivers\Npfs.SYS 0xF8B08000 \SystemRoot\system32\DRIVERS\rasacd.sys 0xAAFCD000 \SystemRoot\system32\DRIVERS\ipsec.sys 0xAAF75000 \SystemRoot\system32\DRIVERS\tcpip.sys 0xAAF4D000 \SystemRoot\system32\DRIVERS\netbt.sys 0xAAF2B000 \SystemRoot\System32\drivers\afd.sys 0xF8744000 \SystemRoot\system32\DRIVERS\netbios.sys 0xF89AC000 \SystemRoot\system32\DRIVERS\ssmdrv.sys 0xAAF00000 \SystemRoot\system32\DRIVERS\rdbss.sys 0xAAE91000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xF8754000 \SystemRoot\System32\Drivers\Fips.SYS 0xAAE70000 \SystemRoot\system32\DRIVERS\ipnat.sys 0xAAE4A000 \SystemRoot\system32\DRIVERS\avipbb.sys 0xF8B96000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys 0xF8774000 \SystemRoot\System32\Drivers\Cdfs.SYS 0xF89C4000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS 0xAAE0A000 \SystemRoot\System32\Drivers\dump_atapi.sys 0xF8BA6000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS 0xBF800000 \SystemRoot\System32\win32k.sys 0xF7DA3000 \SystemRoot\System32\drivers\Dxapi.sys 0xF89CC000 \SystemRoot\System32\watchdog.sys 0xBF9C1000 \SystemRoot\System32\drivers\dxg.sys 0xF8D75000 \SystemRoot\System32\drivers\dxgthk.sys 0xBF9D3000 \SystemRoot\System32\ati2dvag.dll 0xBFA10000 \SystemRoot\System32\ati2cqag.dll 0xBFA43000 \SystemRoot\System32\atikvmag.dll 0xF87B4000 \SystemRoot\system32\DRIVERS\wanarp.sys 0xF87C4000 \SystemRoot\system32\DRIVERS\arp1394.sys 0xBFA77000 \SystemRoot\System32\ati3duag.dll 0xBFCB8000 \SystemRoot\System32\ativvaxx.dll 0xA8CB5000 \SystemRoot\system32\DRIVERS\avgntflt.sys 0xA8C0D000 \SystemRoot\system32\DRIVERS\ndisuio.sys 0xA88A0000 \SystemRoot\system32\DRIVERS\mrxdav.sys 0xA883B000 \SystemRoot\system32\drivers\wdmaud.sys 0xA8A3D000 \SystemRoot\system32\drivers\sysaudio.sys 0xF8B7A000 \SystemRoot\System32\Drivers\ParVdm.SYS 0xA8935000 \SystemRoot\System32\Drivers\DgiVecp.sys 0xA865C000 \SystemRoot\system32\DRIVERS\srv.sys 0xA856C000 \SystemRoot\system32\DRIVERS\secdrv.sys 0xA8283000 \SystemRoot\System32\Drivers\HTTP.sys 0x7C910000 \WINDOWS\system32\ntdll.dll Processes (total 33): 0 System Idle Process 4 System 456 C:\WINDOWS\system32\smss.exe 632 csrss.exe 760 C:\WINDOWS\system32\winlogon.exe 804 C:\WINDOWS\system32\services.exe 816 C:\WINDOWS\system32\lsass.exe 988 C:\WINDOWS\system32\ati2evxx.exe 1004 C:\WINDOWS\system32\svchost.exe 1096 svchost.exe 1224 C:\WINDOWS\system32\svchost.exe 1444 C:\WINDOWS\system32\ati2evxx.exe 1488 svchost.exe 1540 C:\WINDOWS\explorer.exe 1548 svchost.exe 1820 C:\WINDOWS\system32\spoolsv.exe 1868 C:\Programme\Avira\AntiVir Desktop\sched.exe 1888 C:\Programme\Avira\AntiVir Desktop\avguard.exe 2000 C:\Programme\Avira\AntiVir Desktop\avshadow.exe 568 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe 584 C:\Programme\Bonjour\mDNSResponder.exe 336 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe 700 C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe 436 C:\WINDOWS\system32\IoctlSvc.exe 1028 wdfmgr.exe 276 alg.exe 652 C:\Programme\Avira\AntiVir Desktop\avgnt.exe 732 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe 2528 C:\WINDOWS\system32\wuauclt.exe 2880 C:\Programme\Mozilla Firefox\firefox.exe 1452 C:\WINDOWS\system32\svchost.exe 2140 C:\Programme\WinZip\WZQKPICK.EXE 3952 C:\Dokumente und Einstellungen\***\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS) PhysicalDrive0 Model Number: ST380013AS, Rev: 3.00 Size Device Name MBR Status -------------------------------------------- 74 GB \\.\PhysicalDrive0 Windows XP MBR code detected SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11 Done! |
15.02.2011, 10:11 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TFC.exe lässt sich nicht ausführen Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
15.02.2011, 11:51 | #13 |
| TFC.exe lässt sich nicht ausführen OK, ich mache heute abend nach der Arbeit einen Vollscan mit beiden Programmen. Eine Frage hierzu: Soll ich nach der Aktualisierung von Malwarebytes und SUPERAntiSpyware für die Scans meine anderen Schutzprogramme (Firewall, Antivir, Spybot) deaktivieren und die Internetverbindung trennen (Kabel ziehen)? Vielen Dank für Deine Zeit und Geduld! |
15.02.2011, 12:20 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | TFC.exe lässt sich nicht ausführen Du hast doch hoffentlich nur die Windows-Firewall? Alles andere wäre nämlich kontraproduktiv. Spybot knn auch getrost deinstalliert werden, das Tool war mal gut. AntiVir kann anbleiben, Windows-Firewall auch.
__________________ Logfiles bitte immer in CODE-Tags posten |
16.02.2011, 09:48 | #15 |
| TFC.exe lässt sich nicht ausführen Guten Morgen Arne. Ich benutze zusätzlich zu Antivir lediglich die Windows Firewall (allerdings sind die automatischen Updates deaktiviert, weil einmal nach einem MS-Update, ich glaube es war sogar Service Pack3, der Rechner nicht mehr gestartet werden konnte). Ich habe die Anweisungen ausgeführt. Malwarebytes hat zwei Funde (den Trojaner SpyEyes) gemeldet, SASW hat anscheinend nichts gefunden. Hier sind die Logs: Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5769 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 16.02.2011 03:05:52 mbam-log-2011-02-16 (03-05-45).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 243469 Laufzeit: 1 Stunde(n), 53 Minute(n), 55 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: c:\syscheckrt (Trojan.SpyEyes) -> No action taken. Infizierte Dateien: c:\syscheckrt\config.bin (Trojan.SpyEyes) -> No action taken. SUPERAntiSpyware Scann-Protokoll hxxp://www.superantispyware.com Generiert 02/16/2011 bei 07:21 AM Version der Applikation : 4.48.1000 Version der Kern-Datenbank : 6410 Version der Spur-Datenbank : 4222 Scan Art : kompletter Scann Totale Scann-Zeit : 04:02:44 Gescannte Speicherelemente : 517 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 6028 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 101201 Erfasste Datei-Elemente : 0 Was soll ich nun tun? (Ich habe noch nichts weiter unternommen, also nichts gelöscht oder repariert). |
Themen zu TFC.exe lässt sich nicht ausführen |
anleitung, antivir, ausführung, automatische, desktop, download, einstellungen, fehlermeldung, folge, folgen, folgende, logfiles, mbam, neustart, problem, programme, quarantäne, scan, scanner, starten, unerwünschte, update, virenscan, virenscanner, win |