Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 28.04.2011, 11:43   #1
montefeio
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



Hallo Trojaner-Board-Team
Mich hat gestern auch ein TR/Kazy.mekml.1 erwischt. Es ist mein erster Virus /Trojaner. Habe mch lange nicht mehr so hilflos gefühlt.

Schwarzer Bildschirm, Dateien nicht sichtbar oder als "versteckt" markiert. Fehlermeldung über Festplattenprobleme.

Ich habe drüber OTL laufen lassen. Habe ich jetzt das richtige gepostet? Die Anweisungen und Hilfestellungen sind ja sehr praxisnah gehalten, ich hoffe das ich das als Nichtinformatiker hinbekomme.

Sollten Informationen fehlen oder rausgenommen werden bitte sagen, ich ändere das dann schnellstmöglich.

Danke im voraus

Andreas


OTL EXTRAS Logfile:

Code:
ATTFilter
OTL Extras logfile created on: 28.04.2011 12:19:58 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Dokumente und Einstellungen\Andi Admin\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
959,00 Mb Total Physical Memory | 488,00 Mb Available Physical Memory | 51,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 3,55 Gb Free Space | 4,77% Space Free | Partition Type: NTFS
 
Computer Name: ANDREAS | User Name: Andi Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [FinePix] -- "C:\Programme\FinePixViewer\FinePixViewer.exe" "%1" (FUJIFILM Corporation)
Directory [Mein CeWe Fotobuch.exe] -- "C:\Programme\CeWe Color\Mein CeWe Fotobuch\Mein CeWe Fotobuch.exe" "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\MSN Messenger\msnmsgr.exe" = C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.0
"C:\Programme\ICQ7.4\ICQ.exe" = C:\Programme\ICQ7.4\ICQ.exe:*:Enabled:ICQ7.4 -- (ICQ, LLC.)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe" = C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe:*:Enabled:PowerCinema -- (CyberLink Corp.)
"C:\Programme\ftp-uploader\FTPUploader.exe" = C:\Programme\ftp-uploader\FTPUploader.exe:*:Enabled:ftpuploader.de -- (sysb)
"C:\Programme\SAP\FrontEnd\SAPgui\saplogon.exe" = C:\Programme\SAP\FrontEnd\SAPgui\saplogon.exe:*:Enabled:SAP Logon for Windows
"C:\Programme\MSN Messenger\msnmsgr.exe" = C:\Programme\MSN Messenger\msnmsgr.exe:*:Enabled:MSN Messenger 7.0
"C:\Programme\LimeWire\LimeWire.exe" = C:\Programme\LimeWire\LimeWire.exe:*:Enabled:LimeWire
"C:\Program Files\WS_FTP\WS_FTP95.exe" = C:\Program Files\WS_FTP\WS_FTP95.exe:*:Enabled:WS_FTP 95 -- (Ipswitch, Inc. 81 Hartwell Ave. Lexington, MA)
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6
"C:\Programme\ICQ7.4\ICQ.exe" = C:\Programme\ICQ7.4\ICQ.exe:*:Enabled:ICQ7.4 -- (ICQ, LLC.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{24ED4D80-8294-11D5-96CD-0040266301AD}" = FinePixViewer Ver.5.3
"{25569723-DC5A-4467-A639-79535BF01B71}" = Adobe Help Center 2.1
"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = PowerCinema
"{268723B7-A994-4286-9F85-B974D5CAFC7B}" = Ontrack EasyRecovery Professional
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 12
"{3248F0A8-6813-11D6-A77B-00B0D0150050}" = J2SE Runtime Environment 5.0 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3BB2AA79-6623-48F4-B288-0CE1C88D40D6}" = O2Micro Flash Memory Card Windows Driver
"{4640FDE1-B83A-4376-84ED-86F86BEE2D41}" = Driver Detective
"{4837718C-5B6E-4496-B283-FFFB5A937825}" = ABBYY PDF Transformer 1.0
"{5490882C-6961-11D5-BAE5-00E0188E010B}" = FUJIFILM USB Driver
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37}" = ICQ7.4
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A25392D-C5D2-4E79-A2BD-C15DDC5B0959}" = Bonjour
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8C3727F2-8E37-49E4-820C-03B1677F53B6}" = Stronghold Crusader
"{8DC42D05-680B-41B0-8878-6C14D24602DB}" = QuickTime
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{976C2B2A-CE59-4AB3-83FB-BF895E28F2E6}" = Apple Mobile Device Support
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9848D9CC-3E60-47F1-86DF-47632DB61005}" = DaViDeo 3 professional
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A7B609FB-83D8-4FC3-8477-1BC65ECFE85B}" = Adobe Photoshop Elements 5.0
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{B093990A-AAF2-44AC-9216-14BB7A2189B6}" = ImageMixer VCD2 LE for FinePix
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B44529FF-501E-47CD-A06D-223C161BE058}" = FinePixViewer Resource
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{BA0601E1-B65C-11D5-80A9-0000B494D9A6}" = PC Booster
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C438DF2B-C5DF-4783-9CA5-9B89E501FA62}" = Works Update
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D36DD326-7280-11D8-97C8-000129760CBE}" = PhotoNow! 1.0
"{D5A9B7C0-8751-11D8-9D75-000129760D75}" = MediaShow 3.0
"{D7B0A31D-4F69-497E-8210-CF71A3BC1BF2}" = V-Gear TalkCam Pro
"{DDDE0BE3-0CBE-4BF6-B75A-E3F69C947843}" = iTunes
"{E3B3AB03-8ABC-46CF-8CA9-DB5581E1F368}" = FinePix Studio
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F0312AC6-988B-11DA-9C49-000476F770CC}" = CIB pdf brewer 2.5.22
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Photoshop 7.0" = Adobe Photoshop 7.0
"Adobe Photoshop Elements 5" = Adobe Photoshop Elements 5.0
"Adobe Shockwave Player" = Adobe Shockwave Player
"Agere Systems Soft Modem" = Agere Systems AC'97 Modem v2147DC
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"AntiVir PersonalEdition Classic" = Avira AntiVir Personal - Free Antivirus
"AnyDVD" = AnyDVD
"ATI Display Driver" = ATI Display Driver
"Audiograbber" = Audiograbber 1.83 SE 
"AVSCDDVDBDDataBurner_is1" = AVS CD\DVD\BD Data Burner version 2.1
"Citavi" = Citavi 2.4.0.0
"DivX Content Uploader" = DivX Content Uploader
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"FDRTools 2.0beta1" = FDRTools 2.0beta1
"Fotosizer" = Fotosizer 1.29
"ftp-uploader" = ftp-uploader
"ICQToolbar" = ICQ Toolbar
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ImagenomicPortraiturePlugin" = Imagenomic Portraiture 2.3 Plug-in (build 2308)
"InstallShield_{268723B7-A994-4286-9F85-B974D5CAFC7B}" = Ontrack EasyRecovery Professional
"InstallShield_{3BB2AA79-6623-48F4-B288-0CE1C88D40D6}" = O2Micro Flash Memory Card Windows Driver
"InstallShield_{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"InstallShield_{9848D9CC-3E60-47F1-86DF-47632DB61005}" = DaViDeo 3 professional
"Keeper" = Dungeon Keeper
"Macromedia Dreamweaver 3 De" = Macromedia Dreamweaver 3 De
"Mein CeWe Fotobuch" = Mein CeWe Fotobuch
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.0.14)" = Mozilla Firefox (3.0.14)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Muiltmedia keyboard Utility 1.3" = Muiltmedia keyboard Utility 1.3
"MultiRes (remove only)" = MultiRes (remove only)
"myphotobook" = myphotobook 3.6
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"pdfsam" = pdfsam
"Picasa 3" = Picasa 3
"Portrait Professional 8 Trial_is1" = Portrait Professional 8.1 Trial
"Radeon Omega Drivers for Windows XP/2kv4.8.442" = Radeon Omega Drivers v4.8.442 Setup Files and Tools
"Samsung ML-2010 Series" = Samsung ML-2010 Series
"Shockwave" = Shockwave
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"TopStyle Lite (Version 1.5)" = TopStyle Lite (Version 1.5)
"WIC" = Windows Imaging Component
"Window Washer" = Window Washer
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR Archivierer
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"X10Hardware" = X10 Hardware(TM)
"Xvid_is1" = Xvid 1.1.2 final uninstall
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 21.03.2011 21:02:05 | Computer Name = ANDREAS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul
 unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
 
Error - 26.03.2011 23:19:27 | Computer Name = ANDREAS | Source = Google Update | ID = 1
Description = 
 
Error - 26.03.2011 23:19:45 | Computer Name = ANDREAS | Source = Google Update | ID = 1
Description = 
 
Error - 30.03.2011 06:36:05 | Computer Name = ANDREAS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung skype.exe, Version 4.2.0.152, fehlgeschlagenes
 Modul skype.exe, Version 4.2.0.152, Fehleradresse 0x008af84e.
 
Error - 08.04.2011 08:57:49 | Computer Name = ANDREAS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung logonui.exe, Version 6.0.2900.2180, fehlgeschlagenes
 Modul shgina.dll, Version 6.0.2900.2180, Fehleradresse 0x00007afe.
 
Error - 19.04.2011 18:25:23 | Computer Name = ANDREAS | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung logonui.exe, Version 6.0.2900.2180, fehlgeschlagenes
 Modul shgina.dll, Version 6.0.2900.2180, Fehleradresse 0x00007b7f.
 
Error - 26.04.2011 18:38:35 | Computer Name = ANDREAS | Source = MsiInstaller | ID = 11706
Description = Produkt: Microsoft Office XP Professional mit FrontPage -- Fehler 
1706. Setup kann die benötigten Dateien nicht finden. Überprüfen Sie Ihre Verbindung
 mit dem Netzwerk oder dem CD-ROM-Laufwerk. Um mehr über mögliche Lösungen für dieses
 Problem zu erfahren, sehen sie bitte nach in C:\Programme\Microsoft Office\Office10\1031\SETUP.HLP.
 
Error - 27.04.2011 20:08:28 | Computer Name = ANDREAS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung taskmgr.exe, Version 5.1.2600.2180, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 28.04.2011 06:04:24 | Computer Name = ANDREAS | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung OTL.exe, Version 3.2.22.3, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 27.04.2011 12:56:45 | Computer Name = ANDREAS | Source = Service Control Manager | ID = 7000
Description = Der Dienst "USBest Service Zero" wurde aufgrund folgenden Fehlers 
nicht gestartet:   %%193
 
Error - 27.04.2011 19:58:44 | Computer Name = ANDREAS | Source = Service Control Manager | ID = 7000
Description = Der Dienst "USBest Service Zero" wurde aufgrund folgenden Fehlers 
nicht gestartet:   %%193
 
Error - 27.04.2011 19:59:45 | Computer Name = ANDREAS | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst IMAPI-CD-Brenn-COM-Dienste.
 
Error - 27.04.2011 19:59:45 | Computer Name = ANDREAS | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%1053
 
Error - 27.04.2011 22:05:11 | Computer Name = ANDREAS | Source = Service Control Manager | ID = 7000
Description = Der Dienst "USBest Service Zero" wurde aufgrund folgenden Fehlers 
nicht gestartet:   %%193
 
Error - 27.04.2011 22:30:22 | Computer Name = ANDREAS | Source = Service Control Manager | ID = 7000
Description = Der Dienst "USBest Service Zero" wurde aufgrund folgenden Fehlers 
nicht gestartet:   %%193
 
Error - 27.04.2011 22:30:53 | Computer Name = ANDREAS | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst IMAPI-CD-Brenn-COM-Dienste.
 
Error - 27.04.2011 22:30:53 | Computer Name = ANDREAS | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%1053
 
Error - 27.04.2011 22:33:44 | Computer Name = ANDREAS | Source = Service Control Manager | ID = 7000
Description = Der Dienst "USBest Service Zero" wurde aufgrund folgenden Fehlers 
nicht gestartet:   %%193
 
Error - 28.04.2011 06:17:58 | Computer Name = ANDREAS | Source = Service Control Manager | ID = 7000
Description = Der Dienst "USBest Service Zero" wurde aufgrund folgenden Fehlers 
nicht gestartet:   %%193
 
 
< End of report >
         
--- --- ---

--- --- ---

--- --- ---OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 28.04.2011 12:19:58 - Run 1
OTL by OldTimer - Version 3.2.22.3     Folder = C:\Dokumente und Einstellungen\Andi Admin\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
959,00 Mb Total Physical Memory | 488,00 Mb Available Physical Memory | 51,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 3,55 Gb Free Space | 4,77% Space Free | Partition Type: NTFS
 
Computer Name: ANDREAS | User Name: Andi Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Andi Admin\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
PRC - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (StarWind Software)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\vsnpstd3.exe ()
PRC - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
PRC - C:\WINDOWS\system32\UStorSrv.exe (OTi)
PRC - C:\WINDOWS\system32\o2flash.exe ()
PRC - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe (Cyberlink)
PRC - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe (Cyberlink)
PRC - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe ()
PRC - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe ()
PRC - C:\WINDOWS\Samsung\ComSMMgr\SSMMgr.exe (Samsung Electronics.)
PRC - C:\WINDOWS\system32\wwSecure.exe (Webroot Software, Inc.)
PRC - C:\WINDOWS\system32\bgsvcgen.exe (B.H.A Corporation)
PRC - C:\WINDOWS\system32\GearSec.exe (GEAR Software)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
PRC - C:\Programme\Common Files\X10\Common\X10nets.exe (X10)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Andi Admin\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) --  File not found
SRV - (ICQ Service) -- C:\Programme\ICQ6Toolbar\ICQ Service.exe ()
SRV - (StarWindServiceAE) -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (StarWind Software)
SRV - (AntiVirScheduler) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (Avira GmbH)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (Avira GmbH)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (UTSCSI) -- C:\WINDOWS\system32\UTSCSI.EXE ()
SRV - (AdobeActiveFileMonitor5.0) -- C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
SRV - (UStorage Server Service) -- C:\WINDOWS\System32\UStorSrv.exe (OTi)
SRV - (O2Flash) -- C:\WINDOWS\system32\o2flash.exe ()
SRV - (CyberLink Media Library Service) -- C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe (Cyberlink)
SRV - (CLSched) CyberLink Task Scheduler (CTS) -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe ()
SRV - (CLCapSvc) CyberLink Background Capture Service (CBCS) -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe ()
SRV - (wwSecSvc) -- C:\WINDOWS\system32\wwSecure.exe (Webroot Software, Inc.)
SRV - (bgsvcgen) -- C:\WINDOWS\system32\bgsvcgen.exe (B.H.A Corporation)
SRV - (GEARSecurity) -- C:\WINDOWS\system32\GearSec.exe (GEAR Software)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
SRV - (x10nets) -- C:\Programme\Common Files\X10\Common\X10nets.exe (X10)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgntflt.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir PersonalEdition Classic\avgio.sys (Avira GmbH)
DRV - (AnyDVD) -- C:\WINDOWS\system32\drivers\AnyDVD.sys (SlySoft, Inc.)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (AVIRA GmbH)
DRV - (SNPSTD3) USB PC Camera (SNPSTD3) -- C:\WINDOWS\system32\drivers\snpstd3.sys (Sonix Co. Ltd.)
DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (avmeject) -- C:\WINDOWS\system32\drivers\avmeject.sys (AVM Berlin)
DRV - (eeCtrl) -- C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys (Symantec Corporation)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (RT61) -- C:\WINDOWS\system32\drivers\rt61.sys (Ralink Technology Inc.)
DRV - (O2MDRDR) -- C:\WINDOWS\system32\DRIVERS\o2media.sys (O2Micro )
DRV - (O2SDRDR) -- C:\WINDOWS\system32\DRIVERS\o2sd.sys (O2 Micro )
DRV - (3xHybrid) -- C:\WINDOWS\system32\drivers\3xHybrid.sys (Philips Semiconductors GmbH)
DRV - (XUIF) -- C:\WINDOWS\system32\drivers\x10ufx2.sys (X10 Wireless Technology, Inc.)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (DgiVecp) -- C:\WINDOWS\system32\drivers\DGIVECP.SYS (DeviceGuys, Inc.)
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
DRV - (MPE) -- C:\WINDOWS\system32\drivers\MPE.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-823518204-1647877149-839522115-1008\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.5
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q="
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Components: C:\Programme\Mozilla Firefox\components [2009.11.02 12:11:29 | 000,000,000 | -H-D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.14\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2009.10.08 23:49:15 | 000,000,000 | -H-D | M]
 
[2009.09.28 12:11:22 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Andi Admin\Anwendungsdaten\Mozilla\Extensions
[2011.04.28 04:34:50 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Andi Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\jo527zuf.default\extensions
[2011.04.28 04:34:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andi Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\jo527zuf.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.04.28 04:34:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andi Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\jo527zuf.default\extensions\staged-xpis
[2011.04.28 04:35:01 | 000,002,342 | ---- | M] () -- C:\Dokumente und Einstellungen\Andi Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\jo527zuf.default\searchplugins\icq-search.xml
[2008.03.31 10:52:00 | 000,000,168 | -H-- | M] () -- C:\Dokumente und Einstellungen\Andi Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\jo527zuf.default\searchplugins\icqplugin.gif
[2008.03.31 10:52:00 | 000,000,618 | -H-- | M] () -- C:\Dokumente und Einstellungen\Andi Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\jo527zuf.default\searchplugins\icqplugin.src
[2011.04.28 04:35:03 | 000,000,000 | -H-D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2007.05.29 10:53:45 | 000,000,000 | -H-D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2009.10.29 17:46:57 | 000,000,000 | -H-D | M] ("ICQ Toolbar") -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010.03.05 23:56:55 | 000,000,000 | -H-D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2009.03.18 01:18:47 | 000,000,000 | -H-D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2009.05.23 22:25:40 | 000,001,392 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.05.23 22:25:40 | 000,002,344 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.05.23 22:25:40 | 000,006,805 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.05.23 22:25:40 | 000,000,986 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.05.23 22:25:40 | 000,000,801 | -H-- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | -H-- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} -  File not found
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} -  File not found
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O4 - HKLM..\Run: [AASecuUFD]  File not found
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)
O4 - HKLM..\Run: [Samsung Common SM] C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe (Samsung Electronics.)
O4 - HKLM..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ExifLauncher2.lnk = C:\Programme\FinePixViewer\QuickDCF2.exe (FUJIFILM Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-823518204-1647877149-839522115-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O9 - Extra Button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Programme\ICQ7.4\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Programme\ICQ7.4\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000 begin_of_the_skype_highlighting**************075-444553540000******end_of_the_skype_highlighting begin_of_the_skype_highlighting**************075-444553540000******end_of_the_skype_highlighting} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} hxxp://office.microsoft.com/officeupdate/content/opuc3.cab (Office Update Installation Engine)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160685784859 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab (Java Plug-in 1.5.0_05)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.220.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.10.12 19:33:08 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{fb95cb05-b1e5-11de-a682-0013d3af1693}\Shell\AutoRun\command - "" = F:\WDSetup.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.04.28 12:32:26 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andi Admin\Desktop\OTL.exe
[2011.04.28 02:12:12 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Andi Admin\Anwendungsdaten\Macromedia
[2011.04.28 02:04:07 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Andi Admin\Anwendungsdaten\Adobe
[2011.04.28 01:27:21 | 000,573,440 | -H-- | C] (WinTrust) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LtuBJrJRDEvvaD.exe
[2011.04.05 14:13:43 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ICQ7.4
[2011.04.05 14:09:17 | 000,000,000 | -H-D | C] -- C:\Programme\ICQ7.4
[2007.03.12 12:41:52 | 000,061,440 | -H-- | C] ( ) -- C:\WINDOWS\System32\vsnpstd3.dll
[2005.11.23 13:55:32 | 000,053,248 | -H-- | C] ( ) -- C:\WINDOWS\System32\csnpstd3.dll
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[6 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.04.28 12:32:04 | 000,001,088 | -H-- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.04.28 12:18:47 | 000,002,206 | -H-- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.04.28 12:17:37 | 000,001,084 | -H-- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.04.28 12:17:26 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.04.28 11:59:59 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andi Admin\Desktop\OTL.exe
[2011.04.28 04:30:29 | 000,491,520 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18603828.exe
[2011.04.28 04:29:39 | 000,491,520 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18603828.VIR000
[2011.04.28 04:15:37 | 000,000,116 | -H-- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011.04.28 01:59:58 | 000,000,184 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18603828
[2011.04.28 01:59:58 | 000,000,144 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18603828r
[2011.04.28 01:58:17 | 000,000,336 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18603828
[2011.04.28 01:27:20 | 000,573,440 | -H-- | M] (WinTrust) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LtuBJrJRDEvvaD.exe
[2011.04.14 12:36:41 | 000,463,342 | -H-- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.04.14 12:36:41 | 000,444,808 | -H-- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.04.14 12:36:41 | 000,086,186 | -H-- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.04.14 12:36:41 | 000,072,684 | -H-- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.04.12 01:51:29 | 000,000,025 | -H-- | M] () -- C:\WINDOWS\popcinfot.dat
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[6 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.04.28 04:29:39 | 000,491,520 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18603828.VIR000
[2011.04.28 04:29:39 | 000,491,520 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18603828.exe
[2011.04.28 01:59:58 | 000,000,184 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18603828
[2011.04.28 01:59:58 | 000,000,144 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18603828r
[2011.04.28 01:58:17 | 000,000,336 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18603828
[2010.09.06 05:03:02 | 000,000,025 | -H-- | C] () -- C:\WINDOWS\popcinfot.dat
[2010.07.21 22:42:21 | 000,284,160 | -H-- | C] () -- C:\WINDOWS\unin0407.exe
[2010.03.06 00:39:19 | 000,035,600 | -H-- | C] () -- C:\WINDOWS\emAMCAP.exe
[2010.03.06 00:20:22 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2009.09.28 02:36:21 | 000,003,584 | -H-- | C] () -- C:\Dokumente und Einstellungen\Andi Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.10.25 02:01:26 | 000,520,192 | -H-- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2008.10.25 01:33:23 | 000,000,010 | -H-- | C] () -- C:\WINDOWS\WININIT.INI
[2008.10.25 01:20:52 | 000,472,576 | -H-- | C] () -- C:\WINDOWS\Radeon Omega Drivers v4.8.442 Uninstall.exe
[2008.01.23 12:57:16 | 000,000,032 | -H-- | C] () -- C:\WINDOWS\CD_Start.INI
[2007.09.28 18:56:18 | 000,097,360 | RH-- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin
[2007.06.26 02:15:03 | 000,037,376 | -H-- | C] () -- C:\WINDOWS\unlite.exe
[2007.06.26 02:14:49 | 000,147,456 | -H-- | C] () -- C:\WINDOWS\System32\wddx_com.dll
[2007.06.26 02:14:49 | 000,139,264 | -H-- | C] () -- C:\WINDOWS\System32\CFFileProxy.dll
[2007.06.26 02:14:36 | 000,069,632 | -H-- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2007.06.26 02:14:36 | 000,036,864 | -H-- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2007.06.26 02:14:36 | 000,036,864 | -H-- | C] () -- C:\WINDOWS\System32\cfmsg.dll
[2007.06.18 19:57:39 | 000,765,952 | -H-- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2007.06.18 19:57:37 | 000,180,224 | -H-- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2007.05.29 15:07:25 | 000,001,140 | -H-- | C] () -- C:\WINDOWS\mozver.dat
[2007.05.29 10:53:49 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\nsreg.dat
[2007.05.01 23:50:26 | 000,139,264 | -H-- | C] () -- C:\WINDOWS\System32\OPDSL.DLL
[2007.04.30 12:57:26 | 000,000,017 | -H-- | C] () -- C:\WINDOWS\Missing.ini
[2007.03.12 07:50:55 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\UTSCSI.EXE
[2006.12.28 20:13:34 | 000,000,114 | -H-- | C] () -- C:\WINDOWS\sapgrph.ini
[2006.11.27 15:59:13 | 000,000,126 | -H-- | C] () -- C:\WINDOWS\srxAdmin.INI
[2006.11.23 14:44:39 | 000,001,072 | -H-- | C] () -- C:\WINDOWS\saplogon.ini
[2006.11.23 14:33:17 | 000,015,872 | -H-- | C] () -- C:\WINDOWS\System32\vtssm32.dll
[2006.10.13 20:30:22 | 000,000,116 | -H-- | C] () -- C:\WINDOWS\NeroDigital.ini
[2006.10.13 17:07:41 | 000,077,824 | -H-- | C] () -- C:\WINDOWS\System32\SynTPCoI.dll
[2006.10.13 16:39:43 | 000,001,755 | -H-- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2006.10.13 11:45:52 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\System32\DVDKeyAuth.dll
[2006.10.13 00:25:33 | 000,036,864 | -H-- | C] () -- C:\WINDOWS\System32\o2flash.exe
[2006.10.13 00:25:32 | 000,013,312 | -H-- | C] () -- C:\WINDOWS\System32\RMDevice.dll
[2006.10.12 23:39:28 | 000,003,072 | RH-- | C] () -- C:\WINDOWS\System32\34CoInstaller.dll
[2006.10.12 23:39:15 | 000,363,520 | -H-- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2006.10.12 20:17:58 | 000,000,400 | -H-- | C] () -- C:\WINDOWS\ODBC.INI
[2006.10.12 20:11:26 | 000,004,161 | -H-- | C] () -- C:\WINDOWS\ODBCINST.INI
[2006.10.12 20:09:58 | 000,297,256 | -H-- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2006.10.12 20:05:10 | 000,127,184 | -H-- | C] () -- C:\WINDOWS\Unwise.exe
[2006.10.12 20:04:58 | 000,198,144 | -H-- | C] () -- C:\WINDOWS\System32\_psisdecd.dll
[2006.10.12 20:01:46 | 000,004,704 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2006.10.12 19:43:12 | 000,156,672 | RH-- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2006.10.12 19:36:08 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2006.10.12 19:29:42 | 000,021,740 | -H-- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2006.09.19 10:07:28 | 000,827,392 | -H-- | C] () -- C:\WINDOWS\vsnpstd3.exe
[2006.07.27 19:28:42 | 003,596,288 | -H-- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2006.07.12 01:40:17 | 000,520,192 | -H-- | C] () -- C:\WINDOWS\System32\DivXsm.exe
[2006.07.12 00:33:49 | 000,012,288 | -H-- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2006.02.13 22:29:25 | 000,121,995 | -H-- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2004.09.28 23:54:30 | 003,375,104 | -H-- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2004.08.04 14:00:00 | 000,673,088 | -H-- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 14:00:00 | 000,463,342 | -H-- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 14:00:00 | 000,444,808 | -H-- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 14:00:00 | 000,272,128 | -H-- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 14:00:00 | 000,269,480 | -H-- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 14:00:00 | 000,218,003 | -H-- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 14:00:00 | 000,086,186 | -H-- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 14:00:00 | 000,072,684 | -H-- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 14:00:00 | 000,046,258 | -H-- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 14:00:00 | 000,034,478 | -H-- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 14:00:00 | 000,028,626 | -H-- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 14:00:00 | 000,004,569 | -H-- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 14:00:00 | 000,001,788 | -H-- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2004.08.04 14:00:00 | 000,000,741 | -H-- | C] () -- C:\WINDOWS\System32\noise.dat
[2004.02.27 17:36:18 | 000,015,498 | -H-- | C] () -- C:\WINDOWS\snpstd3.ini
[2002.09.09 17:07:00 | 000,389,120 | -H-- | C] () -- C:\WINDOWS\System32\xvid.dll
[2001.09.04 15:12:28 | 013,107,200 | -H-- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.09.04 15:10:20 | 000,004,518 | -H-- | C] () -- C:\WINDOWS\System32\oembios.dat
 
========== LOP Check ==========
 
[2006.11.27 16:23:32 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AceBIT
[2007.03.22 21:17:10 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2007.03.14 00:41:27 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData
[2007.05.13 23:13:42 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fdrtools.com
[2011.04.05 14:13:25 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2006.10.12 22:44:25 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MSScanAppDataDir
[2006.10.12 23:24:18 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies
[2010.03.06 00:31:33 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
[2010.09.06 02:38:33 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap Games
[2009.01.23 19:21:14 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2006.11.27 15:49:44 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Titan
[2010.03.06 00:31:37 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UAB
[2006.10.13 21:40:44 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10 Settings
[2008.10.04 21:32:18 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
[2006.10.12 20:06:36 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\X10 Commander
[2008.10.05 18:41:01 | 000,000,394 | -H-- | M] () -- C:\WINDOWS\Tasks\MP Scheduled Quick Scan.job
 
========== Purity Check ==========
 
 

< End of report >
         
--- --- ---

Geändert von montefeio (28.04.2011 um 11:52 Uhr)

Alt 28.04.2011, 13:04   #2
markusg
/// Malware-holic
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
[2011.04.28 01:27:21 | 000,573,440 | -H-- | C] (WinTrust) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LtuBJrJRDEvvaD.exe
[2011.04.28 04:30:29 | 000,491,520 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18603828.exe
[2011.04.28 04:29:39 | 000,491,520 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18603828.VIR000
[2011.04.28 01:59:58 | 000,000,184 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18603828
[2011.04.28 01:59:58 | 000,000,144 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18603828r
[2011.04.28 01:59:58 | 000,000,144 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18603828r
[2011.04.28 01:58:17 | 000,000,336 | -H-- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18603828
[2011.04.28 01:27:20 | 000,573,440 | -H-- | M] (WinTrust) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LtuBJrJRDEvvaD.exe

:Files


:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

lade unhide:
http://www.trojaner-board.de/54791-a...ner-board.html
__________________

__________________

Alt 28.04.2011, 13:39   #3
montefeio
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



Danke für die Instruktionen. Ich habe
Malwarebytes Anti-Malware 1.50.1

drüberlaufen lassen und wie angegeben OLT mit den angegebenen Daten gefüttert. Soll ich nun mit unhide weitermachen oder erst auf weitere Anweisungen warten?

Zwischenstand: Geht fast wieder... Kein schwarzer Bildschirm mehr und keine Fehlermeldungen. Einzig werden einige Daten als "versteckt" gekennzeichnet und auf dem Desktop ist nichts mehr (kein Arbeitsplatz, abgelegte PDFs etc.) + geht dort kein Rechtsklick. Die Daten auf dem Desktop + Rest scheinen /sind aber da zu sein. Rechtclick geht aber sonst überall, auch auf der Taskleiste unten am Bildschirm. Hoffe die Infos helfen.

Viele Grüße Andi

All processes killed
========== OTL ==========
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LtuBJrJRDEvvaD.exe not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18603828.exe not found.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18603828.VIR000 not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18603828 moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18603828r moved successfully.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~18603828r not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\18603828 moved successfully.
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LtuBJrJRDEvvaD.exe not found.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Andi

User: Andi Admin
->Flash cache emptied: 405 bytes

User: Default User

User: Jessy
->Flash cache emptied: 0 bytes

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Andi

User: Andi Admin
->Temp folder emptied: 806 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 26871127 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Jessy
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 17048 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 26,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04282011_143130

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
__________________

Alt 28.04.2011, 13:52   #4
montefeio
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



Zitat:
Start, Ausführen und eingeben:
restore/rstrui.exe
Ist das vielleicht ratsam? Ich ess mal was (Stress lass nach).

Danke nochmal für die tolle bisherige Hilfe! Ist noch nicht ganz ausgestanden, aber er ist schon so stabil das ich einige Backups machen kann!

Alt 28.04.2011, 13:55   #5
markusg
/// Malware-holic
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



warum machst du irgendwas, dass hier gar nicht steht? wenn du allein weiter arbeiten willst, dann sag mir bescheid und wir können uns das hier schenken, falls unsere zusammenarbeit fortgesetzt werden soll, befolge ausschließlich die anweisungen aus diesem topic hier.
1. poste das Malwarebytes log.
2. unhide

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 28.04.2011, 14:01   #6
montefeio
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



Entschuldige, hier der log

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 6462

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

28.04.2011 13:24:44
mbam-log-2011-04-28 (13-24-44).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 167739
Laufzeit: 9 Minute(n), 35 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\Andi\startmenü\programme\windows recovery (Trojan.FakeAV) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\dokumente und einstellungen\all users\anwendungsdaten\18603828.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\18603828.vir000 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\anwendungsdaten\ltubjrjrdevvad.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Andi\lokale einstellungen\Temp\jar_cache4652102852078596842.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Andi\startmenü\programme\windows recovery\uninstall windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Andi\startmenü\programme\windows recovery\windows recovery.lnk (Trojan.FakeAV) -> Quarantined and deleted successfully.

Alt 28.04.2011, 14:20   #7
montefeio
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



So, movedfiles.rar an euch geschickt.

LG Andi

Alt 28.04.2011, 14:22   #8
markusg
/// Malware-holic
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 28.04.2011, 15:09   #9
montefeio
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



Hallo Markus

Anbei das Log. Hoffe es sagt etwas gutes...

LG Andi


Combofix Logfile:
Code:
ATTFilter
ComboFix 11-04-27.03 - Andi Admin 28.04.2011  15:58:04.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.959.522 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Andi Admin\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\index.htm
G:\Autorun.inf
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-03-28 bis 2011-04-28  ))))))))))))))))))))))))))))))
.
.
2011-04-28 11:11 . 2011-04-28 11:11	--------	d-----w-	c:\dokumente und einstellungen\Andi Admin\Anwendungsdaten\Malwarebytes
2011-04-28 11:10 . 2010-12-20 16:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-28 11:10 . 2011-04-28 11:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-04-28 11:10 . 2011-04-28 11:10	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-04-28 11:10 . 2010-12-20 16:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-28 11:02 . 2011-04-28 11:06	--------	d-----w-	c:\programme\ERUNT
2011-04-28 10:38 . 2011-04-28 13:18	--------	d-----w-	C:\_OTL
2011-04-05 12:09 . 2011-04-05 12:15	--------	d-----w-	c:\programme\ICQ7.4
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-14 88363]
"Samsung Common SM"="c:\windows\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 372736]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-17 148888]
"snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-19 827392]
"REGSHAVE"="c:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
ExifLauncher2.lnk - c:\programme\FinePixViewer\QuickDCF2.exe [2011-1-24 303104]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=c:\windows\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=c:\windows\pss\Adobe Reader - Schnellstart.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2006-09-14 06:55	61440	-c--a-w-	c:\programme\Adobe\Photoshop Elements 5.0\apdproxy.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2005-01-19 19:40	339968	-c--a-w-	c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMK08KB]
2006-12-05 23:55	381440	-c--a-w-	c:\programme\Muiltmedia keyboard Utility\1.3\KBDAP32A.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2008-10-01 16:57	289576	----a-w-	c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2005-06-02 14:03	1957888	-c----w-	c:\programme\Ahead\Nero BackItUp\NBJ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	-c--a-w-	c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
2005-08-09 13:07	127118	-c----w-	c:\programme\Home Cinema\PowerCinema\PCMService.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-09-06 13:09	413696	----a-w-	c:\programme\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2004-11-02 18:24	32768	-c--a-w-	c:\programme\Home Cinema\PowerDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2005-03-14 19:35	77824	-c--a-r-	c:\windows\SOUNDMAN.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2005-11-10 11:03	36975	-c--a-w-	c:\programme\Java\jre1.5.0_06\bin\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-07-15 16:31	606208	-c--a-w-	c:\programme\Synaptics\SynTP\SynTPEnh.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-07-15 16:32	102400	-c--a-w-	c:\programme\Synaptics\SynTP\SynTPLpr.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\Programme\\ftp-uploader\\FTPUploader.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Program Files\\WS_FTP\\WS_FTP95.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\ICQ7.4\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [12.10.2006 19:42 32320]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [13.10.2006 00:25 23200]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21.07.2010 22:31 697328]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [29.10.2009 17:47 247096]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [12.10.2006 23:39 799744]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [27.03.2010 00:05 135664]
S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [28.09.2007 18:56 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [28.09.2007 18:56 265088]
S3 MGHwCtrl;MGHwCtrl;\??\c:\windows\System32\Drivers\MGHwCtrl.sys --> c:\windows\System32\Drivers\MGHwCtrl.sys [?]
S3 uxddrv;Dynamically loaded UxdDrv;\??\d:\diagnose\Wstpro\uxddrv.sys --> d:\diagnose\Wstpro\uxddrv.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-26 22:05]
.
2011-04-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-03-26 22:05]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\programme\ICQ7.4\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\Andi Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\jo527zuf.default\
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - c:\programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
BHO-{40c3cc16-7269-4b32-9531-17f2950fb06f} - c:\programme\Winload\tbWin1.dll
Toolbar-{40c3cc16-7269-4b32-9531-17f2950fb06f} - c:\programme\Winload\tbWin1.dll
HKLM-Run-AASecuUFD - (no file)
MSConfigStartUp-Acrobat Assistant 7 - c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
MSConfigStartUp-ccApp - c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
MSConfigStartUp-swg - c:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
MSConfigStartUp-updateMgr - c:\programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe
AddRemove-2kv4.8.442 - c:\windows\Radeon Omega Drivers v4.8.442
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-04-28 16:02
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-823518204-1647877149-839522115-1004\Soft10.0\OaAt*l*o*o*k*\RPC]
"ForcePolli"=dword:00000001
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(652)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'winlogon.exe'(2600)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-04-28  16:05:31
ComboFix-quarantined-files.txt  2011-04-28 14:05
.
Vor Suchlauf: 3.678.093.312 Bytes frei
Nach Suchlauf: 3.696.177.152 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - D4C405C1F2E0617C5B832E25B8761DE6
         
--- --- ---

Alt 28.04.2011, 15:13   #10
markusg
/// Malware-holic
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



neustart, berichte wie das system läuft
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 28.04.2011, 15:25   #11
montefeio
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



Das System läuft super. Die Programme wenn man auf "Start" links unten klickt sind auch wieder da. Einzig auf dem anderen Account ist der Desktop noch leer und es geht kein Rechtsklick auf dem Desktop.
Ich bin so froh das jetzt wieder einigermaßen Ordnung herrscht. Was macht man gegen den letzten Rest?

LG Andi

Geändert von montefeio (28.04.2011 um 15:41 Uhr)

Alt 28.04.2011, 16:33   #12
markusg
/// Malware-holic
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



kannst du den account löschen und neu erstellen? das wäre das schnellste.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 30.04.2011, 21:01   #13
montefeio
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



Vielen vielen Dank nochmal. Ich lösch den ACC oder lass es. Der Trojaner ist weg *sehrglücklichist* Ich werde die Tage etwas via Paypal spenden, das ist das Mindeste! Eine wirklich toll organisierte Plattform!
Die kommende Woche wird erstmal der PC sortiert und ein Backup gemacht.

Danke Markus für die Geduld und Hilfe.

LG Andi

Alt 01.05.2011, 10:33   #14
markusg
/// Malware-holic
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



hi, willst du ein backup des gesammten betriebssystems machen?
falls dem so ist, würde ich persönlich formatieren, neu aufsetzen, absichern und, wenn du willst, eine richtige sicherheitsstrategie aufbauen.
dazu gehört auch ein backup, aber nicht nur.
der vorteil ist, dass du dein backup von einem garantiert sauberem und vernünftig funktionierendem system hast, ohne den markel einer bereinigten infektion und alter überreste von programmen etc.
dies ist die sauberste lösung, wenn man mit backups anfangen will.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 02.05.2011, 08:07   #15
montefeio
 
TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Standard

TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?



Hallo Markus
Ich meinte eher von meinen Worddateien, Bildern etc.
Aber wenn es um das System geht hast Du natürlich recht. Da wäre "plattmachen" und neuaufziehen besser. Wenn ich alles gesichert habe werde ich wohl in den nächsten 6-12 Monaten das System + Programme wohl neu drauf machen.

Dann lese ich mich mal weiter in die Materie ein "Wie schütze ich meinen PC" ein. Das ganze Vieren / Trojanerproblem war mir gar nicht bewusst, weil ich mir noch nie was eingefangen habe. Hast Du vielleicht ein paar gute Links mit Infos zum einlesen?

LG Andi

PS: Spende ist eben raus

Geändert von montefeio (02.05.2011 um 08:13 Uhr)

Antwort

Themen zu TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?
0x00000001, adobe, audiograbber, avgntflt.sys, avira, bildschirm, disabletaskmgr, einstellungen, error, fehlermeldung, festplatte, flash player, google, help, home, limewire, location, logfile, mozilla, msiinstaller, netzwerk, nicht sichtbar, oldtimer, photoshop, picasa, plug-in, registry, rundll, saver, scan, sched.exe, searchplugins, security, shell32.dll, shortcut, skype.exe, software, sptd.sys, tcp, udp, usb, virus, webroot, windows internet, winload toolbar




Ähnliche Themen: TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?


  1. Habe mir ebenfalls TR/Kazy.mekml.1 eingefangen
    Log-Analyse und Auswertung - 08.06.2011 (18)
  2. TR/kazy.mekml.1 - OTL durchgeführt, wie gehts weiter
    Log-Analyse und Auswertung - 01.06.2011 (30)
  3. Habe mir u. A. TR/Kazy.mekml.1 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 30.05.2011 (22)
  4. TR/Kazy.mekml.1 eingefangen
    Log-Analyse und Auswertung - 23.05.2011 (35)
  5. Habe mir ebenfalls TR/Kazy.mekml.1 eingefangen
    Log-Analyse und Auswertung - 19.05.2011 (39)
  6. TR/kazy.mekml.1 eingefangen
    Log-Analyse und Auswertung - 19.05.2011 (18)
  7. TR/Kazy.mekml.1 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 06.05.2011 (1)
  8. Hab mir auch den TR/Kazy.mekml.1 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 06.05.2011 (23)
  9. TR/Kazy.mekml.1 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 02.05.2011 (9)
  10. Kazy.mekml.1 eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 01.05.2011 (15)
  11. TR/Kazy.mekml.1 eingefangen
    Log-Analyse und Auswertung - 30.04.2011 (18)
  12. TR/Kazy.mekml.1 eingefangen! Und nun...?
    Log-Analyse und Auswertung - 29.04.2011 (6)
  13. Trojaner TR/Kazy.mekml.1 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 29.04.2011 (5)
  14. TR/Kazy.mekml.1 am 21.4. leider eingefangen
    Log-Analyse und Auswertung - 28.04.2011 (19)
  15. Trojaner TR/kazy.mekml.1 eingefangen :-(
    Log-Analyse und Auswertung - 28.04.2011 (7)
  16. Virus TR/Kazy.mekml.1 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 22.04.2011 (13)
  17. TR/Kazy.mekml.1 - Hab schon die OTL logfiles, wie komme ich weiter
    Log-Analyse und Auswertung - 22.04.2011 (13)

Zum Thema TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? - Hallo Trojaner-Board-Team Mich hat gestern auch ein TR/Kazy.mekml.1 erwischt. Es ist mein erster Virus /Trojaner. Habe mch lange nicht mehr so hilflos gefühlt. Schwarzer Bildschirm, Dateien nicht sichtbar oder als - TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter?...
Archiv
Du betrachtest: TR/Kazy.mekml.1 eingefangen. OTL ist drüber, wie gehts weiter? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.