| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32:trojan-genWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
18.05.2011, 21:57
| #16 |
 |  Win32:trojan-gen Sieht schlimmer aus als es ist. Ich seh da gar nichts!!! |
|
18.05.2011, 22:01
| #17 | |||
| /// TB-Ausbilder   |  Win32:trojan-gen Hallo Noncosi,
__________________Zitat:
 Sollte diese Fehlermeldung erneut auftreten, notiere sie dir und poste mir den genauen Wortlaut! Zitat:
Ich werte alle Informationen aus und melde mich morgen sobald wie möglich mit weiteren Anweisungen. Zitat:
 |
|
18.05.2011, 22:04
| #18 |
| | Win32:trojan-gen Hier die Fehlermeldung: Gerade wieder gekommen...
__________________Microsoft Visual C Program C:\Programme\ASUS\ASUS Live Update\Liveupdt,exe Thia application has requested the Runtime to terminateit in unusual way. Please contact the applications support team for more informations. Scheint aber nach meiner unwissenden Meinung eher unwichtig zu sein... |
|
18.05.2011, 22:07
| #19 |
| | Win32:trojan-gen Ja dann auf jeden Fall schon mal herzlichsten Dank für die fachmännische Hilfe! |
|
18.05.2011, 22:11
| #20 | |
| /// TB-Ausbilder | Win32:trojan-gen Hallo Noncosi, Zitat:
Gute Nacht. |
|
18.05.2011, 22:15
| #21 |
| | Win32:trojan-gen Hehe...das wäre auch auch zu schön und davon ging ich nicht aus... |
|
19.05.2011, 16:10
| #22 | |||
| /// TB-Ausbilder | Win32:trojan-gen Hallo Noncosi, Schritt # 1: Kontrolle mit VirusTotal Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
Zitat:
Warte bis unter Current status: Finished steht. Kopiere den Link aus deiner Adresszeile und poste ihn hier. Schritt # 2: Benutzerdefinierter Scan mit OTL
Code:
ATTFilter C:\Programme\Gemeinsame Dateien /S
C:\SUPPORT /S
C:\VALUEADD /S
C:\Intel /S
C:\Recycled /S
Schritt # 3: Fragen beantworten Bitte beantworte mir folgende Fragen: Deine Logfiles weisen Reste von P2P bzw. Filesharing Programmen auf: Zitat:
Diese Programme erlauben es Dir, Daten mit anderen Usern auszutauschen. Leider ist auch p2p oder Filesharing nicht ausgenommen, infizierte Dateien zu verteilen und ist auch ein Grund warum sich Malware so schnell verbreitet. Es ist also möglich, dass Du Dir eine Infizierte Datei herunter ladest. Du kannst niemals wissen, woher diese stammen. Daher sollte diese Art Software mit äußerster Vorsicht benutzt werden. Diesbezüglich sind die folgenden beiden Funde von Avast interessant: Zitat:
Ein ebenfalls wichtiger Punkt ist, dass das Verbreiten von Media und Entertainment Dateien in den meisten Ländern der Welt gegen Copyright Rechte verstößt. Natürlich gibt es auch einen legalen Weg zur Nutzung dieses Service. Zum Beispiel zum Downloaden von Linux oder Open Office. Denoch würde ich Dich ersuchen, diese Art von Software nicht weiterhin zu verwenden. Mit deiner Zustimmung könnte ich diese Reste entfernen, sofern du sie nicht mehr benötigst. Bitte berichte. Schritt # 4: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
|
20.05.2011, 01:16
| #23 |
| | Win32:trojan-gen Schritt 1: hxxp://www.virustotal.com/file-scan/report.html?id=aaf659e3d38ad04848a9c3ed6250b30dc13acc8ac9f527a11f0c14e6ec8735b2-1305850209 Schritt 2:OTL Logfile: Code:
ATTFilter OTL logfile created on: 20.05.2011 02:22:53 - Run 4
OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\xxx\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 81,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 88,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 67,05 Gb Total Space | 36,40 Gb Free Space | 54,29% Space Free | Partition Type: FAT32
Drive D: | 42,84 Gb Total Space | 42,83 Gb Free Space | 99,98% Space Free | Partition Type: FAT32
Computer Name: xxx | User Name: xxx| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
========== Custom Scans ==========
< C:\Programme\Gemeinsame Dateien /S >
< C:\SUPPORT /S >
< C:\VALUEADD /S >
< C:\Intel /S >
< C:\Recycled /S >
< >
< End of report >
Schritt 3: Da der Rechner von mir und meinem Freund benutzt wird habe ich ihn heute mal gefragt und er sagte mir das er entsprechende Programme vor langer Zeit benutzte (heute nicht mehr)- wann er sie deinstalliert hat kann ich nicht sagen aber die Dateien die höchstwarscheinlich nicht in Ordnung sind können NATÜRLICH gelöscht werden. Aber schon mal interessant wie schnell das geht und vor allem wodurch... Schritt 4: Hab ich hoffentlich in Schritt 1- 3 gepostet!  |
|
20.05.2011, 07:47
| #24 |
| /// TB-Ausbilder | Win32:trojan-gen Hallo Noncosi, Überprüfe bitte zuerst, ob die genannten Programme noch über die Systemsteuerung -> Software zu entfernen sind (Schritt # 1). Sollten diese dort nicht mehr vorhanden sein, fahre bitte mit dem nächsten Schritt fort. Schritt # 1: Deinstallation von Programmen
Schritt # 2: Fix mit OTL
Code:
ATTFilter :OTL
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
O4 - HKLM..\Run: [ccApp] File not found
O4 - HKCU..\Run: [MsnMsgr] File not found
[2010.07.03 21:09:52 | 003,389,035 | ---- | M] () -- C:\Programme\eMule0.50a-Installer.exe
[2008.02.05 20:46:38 | 000,000,000 | ---D | M] -- C:\Programme\LimeWire
[2008.03.29 13:53:22 | 000,000,000 | ---D | M] -- C:\Programme\Azureus
[2010.07.03 21:10:20 | 000,000,000 | ---D | M] -- C:\Programme\eMule
:files
C:\Programme\Gemeinsame Dateien\yrujg2wn
C:\WINDOWS\System32\zindhg.exe
%APPDATA%\LimeWire
%APPDATA%\Azureus
%APPDATA%\Uniblue
%USERPROFILE%\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Coldplay
%USERPROFILE%\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Rihanna
:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\LimeWire\LimeWire.exe" =-
"C:\Programme\Gemeinsame Dateien\yrujg2wn\ginder86.exe" =-
"C:\WINDOWS\System32\zindhg.exe" =-
"C:\Programme\eMule\emule.exe" =-
:Commands
[purity]
[emptytemp]
Schritt # 2: ComboFix ausführen Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop
 Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:  Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. Schritt # 3: Systemscan mit OTL
Schritt # 4: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
|
21.05.2011, 01:15
| #25 |
| | Win32:trojan-gen Schritt 1: Es ist keines der genannten Programme mehr in der Software zu finden...somit auch nichts zu deinstallieren |
|
21.05.2011, 01:26
| #26 |
| | Win32:trojan-gen Schritt 2: All processes killed ========== OTL ========== HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride| /E : value set successfully! Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ccApp deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\MsnMsgr deleted successfully. C:\Programme\eMule0.50a-Installer.exe moved successfully. C:\Programme\LimeWire\lib folder moved successfully. C:\Programme\LimeWire folder moved successfully. C:\Programme\Azureus\plugins\azupdater folder moved successfully. C:\Programme\Azureus\plugins\azplugins folder moved successfully. C:\Programme\Azureus\plugins folder moved successfully. C:\Programme\Azureus folder moved successfully. C:\Programme\eMule\Temp folder moved successfully. C:\Programme\eMule\Incoming folder moved successfully. C:\Programme\eMule folder moved successfully. ========== FILES ========== C:\Programme\Gemeinsame Dateien\yrujg2wn folder moved successfully. File\Folder C:\WINDOWS\System32\zindhg.exe not found. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\xml\data folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\xml folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\certificate folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\promotion folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\.NetworkShare\Incomplete folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\.NetworkShare folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\.AppSpecialShare folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\themes\windows_theme folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire\themes folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\LimeWire folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\active folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\torrents folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\shares folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\plugins folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\tmp folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\logs\save folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus\logs folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Azureus folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Uniblue\RegistryBooster\backup folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Uniblue\RegistryBooster\_temp folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Uniblue\RegistryBooster\history folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Uniblue\RegistryBooster folder moved successfully. C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Uniblue folder moved successfully. File/Folder C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Coldplay not found. File/Folder C:\Dokumente und Einstellungen\xxx\Eigene Dateien\Eigene Musik\old staff\Alben div Interpreten\Rihanna not found. ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Programme\ LimeWire\LimeWire.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Programme\ Gemeinsame Dateien\yrujg2wn\ginder86.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\WINDOWS\Sy stem32\zindhg.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Programme\ eMule\emule.exe deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32768 bytes ->Flash cache emptied: 75 bytes User: All Users User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 82513 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->FireFox cache emptied: 2882342 bytes User: xxx ->Temp folder emptied: 857777 bytes ->Temporary Internet Files folder emptied: 6554545 bytes ->Java cache emptied: 102092 bytes ->FireFox cache emptied: 75577824 bytes ->Google Chrome cache emptied: 819568 bytes ->Flash cache emptied: 1947727 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 19569 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 20480 bytes RecycleBin emptied: 420813164 bytes Total Files Cleaned = 486,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 05212011_021817 Files\Folders moved on Reboot... File\Folder C:\WINDOWS\temp\_avast5_\Webshlock.txt not found! Registry entries deleted on Reboot... |
|
21.05.2011, 02:04
| #27 |
| | Win32:trojan-gen Schritt 2: Combofix Logfile: Code:
ATTFilter ComboFix 11-05-19.02 - xxx 21.05.2011 2:50.1.2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.2039.1643 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\xxx\Anwendungsdaten\Local
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-04-21 bis 2011-05-21 ))))))))))))))))))))))))))))))
.
.
2011-05-21 00:56 . 2011-05-21 00:56 45056 ----a-w- c:\windows\system32\acovcnt.exe
2011-05-21 00:18 . 2011-05-21 00:18 -------- d-----w- C:\_OTL
2011-05-19 22:21 . 2011-05-19 22:21 -------- d-----w- c:\programme\Everest Poker
2011-05-18 21:19 . 2011-05-18 21:19 -------- d-----w- c:\programme\Spybot - Search & Destroy
2011-05-18 19:05 . 2011-05-18 19:05 -------- d-----w- c:\programme\ERUNT
2011-05-18 17:26 . 2011-05-18 17:26 -------- d-----w- c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2011-05-18 17:26 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-18 17:26 . 2011-05-18 17:26 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-05-18 17:26 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-18 17:26 . 2011-05-18 17:26 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-05-15 22:07 . 2011-05-15 22:07 -------- d-----w- C:\FOUND.007
2011-05-10 01:58 . 2011-05-10 01:58 -------- d-----w- C:\FOUND.006
2011-04-28 21:07 . 2011-04-28 21:07 -------- d-----w- C:\FOUND.005
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-06 14:20 . 2011-04-06 14:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2011-04-06 14:20 . 2011-04-06 14:20 75040 ----a-w- c:\windows\system32\jdns_sd.dll
2011-04-06 14:20 . 2011-04-06 14:20 197920 ----a-w- c:\windows\system32\dnssdX.dll
2011-04-06 14:20 . 2011-04-06 14:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2011-03-07 05:33 . 2007-11-05 18:29 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2004-09-07 14:34 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-09-07 14:34 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-22 23:05 . 2004-09-07 14:34 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 23:05 . 2004-09-07 14:33 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 23:05 . 2004-09-07 14:33 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-02-22 11:42 . 2004-09-07 14:33 385024 ----a-w- c:\windows\system32\html.iec
2010-07-02 18:06 . 2010-07-02 18:05 11798656 ----a-w- c:\programme\winamp558_full_emusic-7plus_de-de.exe
2010-06-14 00:02 . 2010-06-13 23:57 986904 ----a-w- c:\programme\DivXInstaller8.exe
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Secure Disks]
@="{666C7836-A9B6-4AB4-94ED-DC238C81E925}"
[HKEY_CLASSES_ROOT\CLSID\{666C7836-A9B6-4AB4-94ED-DC238C81E925}]
2006-10-27 01:35 391168 ----a-r- c:\programme\ASUS Security Center\ASUS Security Protect Manager\Bin\SFSShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 138008]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-28 16132608]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-06-01 823296]
"ACMON"="c:\programme\ASUS\Splendid\ACMON.exe" [2007-06-26 851968]
"SkyTel"="SkyTel.EXE" [2007-05-25 1826816]
"CognizanceTS"="c:\progra~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll" [2003-12-22 17920]
"Wireless Console 2"="c:\programme\Wireless Console 2\wcourier.exe" [2007-07-05 1040384]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-06-01 974848]
"ASUS Live Update"="c:\programme\ASUS\ASUS Live Update\ALU.exe" [2007-07-19 49520]
"ASUSTPE"="c:\windows\system32\ASUSTPE.exe" [2007-01-16 106496]
"PowerForPhone"="c:\programme\PowerForPhone\PowerForPhone.exe" [2007-06-26 778240]
"RemoteControl"="c:\programme\ASUSTek\ASUSDVD\PDVDServ.exe" [2005-01-12 32768]
"ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2007-11-05 33136]
"ASUS Camera ScreenSaver"="c:\windows\ASScrProlog.exe" [2007-11-05 37232]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"SMSERIAL"="c:\programme\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 630784]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2010-06-29 74752]
"avast5"="c:\programme\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-12-09 1226608]
"DivX Download Manager"="c:\programme\DivX\DivX Plus Web Player\DDmService.exe" [2010-12-08 63360]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-11-29 421888]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 10.0\Reader\Reader_sl.exe" [2011-01-30 35736]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-11-10 932288]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2011-04-14 421160]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Matthias F”rster\Startmen\Programme\Autostart\
ERUNT AutoBackup.lnk - c:\programme\ERUNT\AUTOBACK.EXE [2005-10-20 38912]
.
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-5-22 2756608]
web'n'walk Manager.lnk - c:\programme\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe [2007-11-7 798720]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2007-02-07 01:30 74240 ----a-r- c:\programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\APSHook.dll
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=c:\windows\pss\Google Updater.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Camera ScreenSaver]
2007-11-05 19:26 37232 ----a-w- c:\windows\ASScrProlog.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Live Update]
2007-07-19 13:41 49520 ----a-w- c:\programme\ASUS\ASUS Live Update\ALU.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Screen Saver Protector]
2007-11-05 19:26 33136 ----a-w- c:\windows\ASScrPro.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUSTPE]
2007-01-16 14:13 106496 ----a-w- c:\windows\system32\ASUSTPE.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CognizanceTS]
2003-12-22 05:12 17920 ----a-r- c:\progra~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 02:22 15360 ----a-w- c:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]
2007-06-01 08:49 974848 ----a-w- c:\programme\Intel\Wireless\Bin\iFrmewrk.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2006-01-12 14:40 155648 ----a-w- c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PowerForPhone]
2007-06-26 08:10 778240 ----a-w- c:\programme\PowerForPhone\PowerForPhone.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2005-01-12 01:01 32768 ----a-w- c:\programme\ASUSTek\ASUSDVD\PDVDServ.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2007-05-25 17:56 1826816 ------r- c:\windows\SkyTel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
2006-11-22 17:31 630784 ----a-r- c:\programme\Motorola\SMSERIAL\sm56hlpr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wireless Console 2]
2007-07-05 14:53 1040384 ----a-w- c:\programme\Wireless Console 2\wcourier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Mozilla Firefox\\FIREFOX.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
.
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [01.04.2008 07:35 165584]
R1 ItSDisk;ItSDisk;c:\windows\system32\drivers\itsdisk.sys [17.05.2006 04:14 23496]
R2 ASBroker;Anmeldesitzungsbroker;c:\windows\System32\svchost.exe -k Cognizance [07.09.2004 16:34 14336]
R2 ASChannel;Lokaler Verbindungskanal;c:\windows\System32\svchost.exe -k Cognizance [07.09.2004 16:34 14336]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [01.04.2008 07:35 17744]
R2 GtDetectSc;GtDetectSc;c:\programme\T-Mobile\web'n'walk Manager\GtDetectSc.exe [05.11.2007 14:28 204915]
R2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [16.11.2009 18:33 50704]
R2 StkSSrv;Syntek AVStream USB2.0 WebCam Service;c:\windows\system32\StkCSrv.exe [19.04.2007 09:42 24576]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [05.11.2007 20:42 108032]
R3 StkCMini;Syntek AVStream USB2.0 1.3M WebCam;c:\windows\system32\drivers\StkCMini.sys [06.06.2007 13:40 1260672]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [09.07.2007 14:17 95744]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [26.06.2007 13:38 51968]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.03.2008 19:36 717296]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel
.
Inhalt des "geplante Tasks" Ordners
.
2011-04-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
mWindow Title = Microsoft Internet Explorer
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {329F0803-8D61-4672-B86D-E48C920B3E4B} = 192.168.1.1
TCP: {983CF37B-72A0-4A2E-9302-D88E02367C23} = 192.168.1.1
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\o6il5tni.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=c4641de1000000000000001cbf15ccfe&tlver=1.4.19.19&instlRef=sst&ss=1&affID=17395&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: TVU Web Player: firefox@tvunetworks.com - %profile%\extensions\firefox@tvunetworks.com
FF - Ext: vShare Plugin: vshare@toolbar - %profile%\extensions\vshare@toolbar
FF - Ext: DivX Plus Web Player HTML5 <video>: {23fcfd51-4958-4f00-80a3-ae97e717ed8b} - c:\programme\DivX\DivX Plus Web Player\firefox\html5video
FF - Ext: DivX HiQ: {6904342A-8307-11DF-A508-4AE2DFD72085} - c:\programme\DivX\DivX Plus Web Player\firefox\wpa
FF - user.js: yahoo.homepage.dontask - true
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-Arcor Online - (no file)
MSConfigStartUp-ATKOSD2 - c:\programme\ATKOSD2\ATKOSD2.exe
MSConfigStartUp-ccApp - c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
MSConfigStartUp-Skype - c:\programme\Skype\Phone\Skype.exe
MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre1.6.0_04\bin\jusched.exe
MSConfigStartUp-swg - c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
MSConfigStartUp-TkBellExe - c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-05-21 02:56
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-2931089906-1604454522-1674805923-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(1224)
c:\programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll
c:\programme\ASUS Security Center\ASUS Security Protect Manager\bin\ItMsg.dll
c:\programme\ASUS Security Center\ASUS Security Protect Manager\Bin\TrayIcon.dll
c:\programme\ASUS Security Center\ASUS Security Protect Manager\bin\brand.dll
c:\programme\ASUS Security Center\ASUS Security Protect Manager\bin\DEU\brand.dll
c:\programme\ASUS Security Center\ASUS Security Protect Manager\bin\DEU\ItMsg.dll
c:\programme\ASUS Security Center\ASUS Security Protect Manager\Bin\AsChnl.dll
.
- - - - - - - > 'explorer.exe'(720)
c:\windows\system32\APSHook.dll
c:\programme\ASUS Security Center\ASUS Security Protect Manager\Bin\SFSShell.dll
c:\programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ItMsg.dll
c:\programme\ASUS Security Center\ASUS Security Protect Manager\bin\DEU\SFSShell.dll
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Alwil Software\Avast5\AvastSvc.exe
c:\programme\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\ASUS\NB Probe\SPM\spmgr.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\windows\system32\wdfmgr.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\ACEngSvr.exe
c:\windows\system32\acovcnt.exe
c:\windows\System32\SCardSvr.exe
c:\programme\Intel\Wireless\Bin\Dot1XCfg.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
c:\programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-05-21 02:59:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-05-21 00:59
.
Vor Suchlauf: 8 Verzeichnis(se), 39.312.818.176 Bytes frei
Nach Suchlauf: 19 Verzeichnis(se), 39.174.897.664 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 42E4D82F252B2DA465CEE5FA605F65AC
|
|
21.05.2011, 02:26
| #28 |
| | Win32:trojan-gen Schritt 3:OTL Logfile: Code:
ATTFilter OTL logfile created on: 21.05.2011 03:06:03 - Run 5 OTL by OldTimer - Version 3.2.22.3 Folder = C:\Dokumente und Einstellungen\xxx\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 69,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 88,00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 67,05 Gb Total Space | 36,51 Gb Free Space | 54,45% Space Free | Partition Type: FAT32 Drive D: | 42,84 Gb Total Space | 42,83 Gb Free Space | 99,98% Space Free | Partition Type: FAT32 Computer Name: xxx| User Name: xxx | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\WINDOWS\system32\acovcnt.exe () PRC - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe () PRC - C:\Programme\DivX\DivX Plus Web Player\DDMService.exe (DivX, LLC) PRC - C:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software) PRC - C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software) PRC - C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\Programme\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe (T-Mobile) PRC - C:\WINDOWS\ASScrPro.exe () PRC - C:\Programme\T-Mobile\web'n'walk Manager\GtDetectSc.exe (Option) PRC - C:\Programme\ASUS\ASUS Live Update\ALU.exe () PRC - C:\Programme\Wireless Console 2\wcourier.exe () PRC - C:\Programme\ASUS\Splendid\ACMON.exe (ATK) PRC - C:\Programme\PowerForPhone\PowerForPhone.exe () PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe (TOSHIBA CORPORATION.) PRC - C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe (Intel Corporation) PRC - C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe (Intel Corporation) PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.) PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtProc.exe (TOSHIBA CORPORATION.) PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe (TOSHIBA CORPORATION.) PRC - C:\WINDOWS\system32\StkCSrv.exe (Syntek America Inc.) PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe (TOSHIBA CORPORATION.) PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION) PRC - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\asghost.exe (Cognizance Corporation) PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosOBEX.exe (TOSHIBA CORPORATION.) PRC - C:\WINDOWS\system32\ASUSTPE.exe (ASUS) PRC - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe () PRC - C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe (Motorola Inc.) PRC - c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company) PRC - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe (TOSHIBA CORPORATION.) PRC - C:\WINDOWS\system32\ACEngSvr.exe (ASUSTeK) PRC - C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe (Cyberlink Corp.) ========== Modules (SafeList) ========== MOD - C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe (OldTimer Tools) MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation) MOD - C:\WINDOWS\system32\APSHook.dll (Cognizance Corporation) ========== Win32 Services (SafeList) ========== SRV - (RoxLiveShare9) -- File not found SRV - (AppMgmt) -- File not found SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe (Apple Inc.) SRV - (avast! Web Scanner) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software) SRV - (avast! Mail Scanner) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software) SRV - (avast! Antivirus) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software) SRV - (GtDetectSc) -- C:\Programme\T-Mobile\web'n'walk Manager\GtDetectSc.exe (Option) SRV - (StkSSrv) -- C:\WINDOWS\system32\StkCSrv.exe (Syntek America Inc.) SRV - (TOSHIBA Bluetooth Service) -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (TOSHIBA CORPORATION) SRV - (ASBroker) -- C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll (Cognizance Corporation) SRV - (spmgr) -- C:\Programme\ASUS\NB Probe\SPM\spmgr.exe () SRV - (ASChannel) -- C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASChnl.dll (Cognizance Corporation) SRV - (LightScribeService) -- c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company) SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (catchme) -- File not found DRV - (aswTdi) -- C:\WINDOWS\System32\drivers\aswTdi.sys (AVAST Software) DRV - (aswSP) -- C:\WINDOWS\System32\drivers\aswSP.sys (AVAST Software) DRV - (aswRdr) -- C:\WINDOWS\System32\drivers\aswRdr.sys (AVAST Software) DRV - (aswMon2) -- C:\WINDOWS\System32\drivers\aswmon2.sys (AVAST Software) DRV - (aswFsBlk) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys (AVAST Software) DRV - (Aavmker4) -- C:\WINDOWS\System32\drivers\aavmker4.sys (AVAST Software) DRV - (npf) -- C:\WINDOWS\system32\drivers\npf.sys (CACE Technologies, Inc.) DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys (Duplex Secure Ltd.) DRV - (GT72NDISIPXP) -- C:\WINDOWS\system32\drivers\Gt51Ip.sys (Option NV) DRV - (GT72UBUS) -- C:\WINDOWS\system32\drivers\gt72ubus.sys (Option N.V.) DRV - (NETw4x32) Intel(R) -- C:\WINDOWS\system32\drivers\NETw4x32.sys (Intel Corporation) DRV - (tosrfusb) -- C:\WINDOWS\system32\drivers\tosrfusb.sys (TOSHIBA CORPORATION) DRV - (StkCMini) -- C:\WINDOWS\system32\drivers\StkCMini.sys (Syntek) DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation ) DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (Tosrfcom) -- C:\WINDOWS\system32\drivers\tosrfcom.sys (TOSHIBA Corporation) DRV - (tosrfbd) -- C:\WINDOWS\system32\drivers\tosrfbd.sys (TOSHIBA CORPORATION) DRV - (GTPTSER) -- C:\WINDOWS\system32\drivers\gtptser.sys (Option N.V.) DRV - (ATSWPDRV) AuthenTec TruePrint USB Driver (SwipeSensor) -- C:\WINDOWS\system32\drivers\atswpdrv.sys (AuthenTec, Inc.) DRV - (Tosrfhid) -- C:\WINDOWS\system32\drivers\Tosrfhid.sys (TOSHIBA Corporation.) DRV - (kbfiltr) -- C:\WINDOWS\system32\drivers\kbfiltr.sys ( ) DRV - (ghaio) -- C:\Programme\ASUS\NB Probe\SPM\ghaio.sys () DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ATKACPI.sys (ATK0100) DRV - (IntcHdmiAddService) Intel(R) -- C:\WINDOWS\system32\drivers\IntcHdmi.sys (Intel(R) Corporation) DRV - (smserial) -- C:\WINDOWS\system32\drivers\smserial.sys (Motorola Inc.) DRV - (tosrfbnp) -- C:\WINDOWS\system32\drivers\tosrfbnp.sys (TOSHIBA Corporation) DRV - (tosporte) -- C:\WINDOWS\system32\drivers\tosporte.sys (TOSHIBA Corporation) DRV - (ItSDisk) -- C:\WINDOWS\system32\drivers\itsdisk.sys (Cognizance Corporation) DRV - (sfvfs02) StarForce Protection VFS Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfvfs02.sys (Protection Technology) DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology) DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology) DRV - (tosrfnds) -- C:\WINDOWS\system32\drivers\tosrfnds.sys (TOSHIBA Corporation.) DRV - (sfsync02) StarForce Protection Synchronization Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfsync02.sys (Protection Technology) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2 FF - prefs.js..extensions.enabledItems: 5 FF - prefs.js..extensions.enabledItems: 3 FF - prefs.js..extensions.enabledItems: 1 FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:2.1.3.20100310105313 FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.0.900 FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.0.900 FF - prefs.js..keyword.URL: "hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=c4641de1000000000000001cbf15ccfe&tlver=1.4.19.19&instlRef=sst&ss=1&affID=17395&q=" FF - HKLM\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\html5video [2010.12.21 02:26:26 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Firefox\Extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Programme\DivX\DivX Plus Web Player\firefox\wpa [2010.12.21 02:26:26 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Components: C:\Programme\Mozilla Firefox\components [2008.02.05 20:00:16 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 3.6.17\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2008.02.05 20:00:16 | 000,000,000 | ---D | M] [2008.09.08 14:34:34 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Extensions [2008.02.05 20:00:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\o6il5tni.default\extensions [2010.03.30 21:15:24 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\o6il5tni.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2010.09.20 15:50:14 | 000,000,000 | ---D | M] (TVU Web Player) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\o6il5tni.default\extensions\firefox@tvunetworks.com [2010.10.25 15:56:54 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\o6il5tni.default\extensions\vshare@toolbar [2008.02.05 20:00:16 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions File not found (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\xxx\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\O6IL5TNI.DEFAULT\EXTENSIONS\{635ABD67-4FE9-1B23-4F01-E679FA7484C1} File not found (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\xxx\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\O6IL5TNI.DEFAULT\EXTENSIONS\FIREFOX@TVUNETWORKS.COM File not found (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\xxx\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\O6IL5TNI.DEFAULT\EXTENSIONS\VSHARE@TOOLBAR [2010.12.21 02:26:26 | 000,000,000 | ---D | M] (DivX Plus Web Player HTML5 <video>) -- C:\PROGRAMME\DIVX\DIVX PLUS WEB PLAYER\FIREFOX\HTML5VIDEO [2010.12.21 02:26:26 | 000,000,000 | ---D | M] (DivX HiQ) -- C:\PROGRAMME\DIVX\DIVX PLUS WEB PLAYER\FIREFOX\WPA [2010.06.29 06:01:22 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npwachk.dll [2010.11.12 18:53:06 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll [2010.11.22 23:58:44 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml [2010.11.22 23:58:44 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml [2010.11.22 23:58:44 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml [2010.11.22 23:58:44 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml [2010.11.22 23:58:44 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011.05.21 02:56:10 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) O2 - BHO: (ASUS Security Protect Manager) - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll (Bioscrypt Inc.) O4 - HKLM..\Run: [ACMON] C:\Programme\ASUS\Splendid\ACMON.exe (ATK) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [ASUS Camera ScreenSaver] C:\WINDOWS\ASScrProlog.exe () O4 - HKLM..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe () O4 - HKLM..\Run: [ASUS Screen Saver Protector] C:\WINDOWS\ASScrPro.exe () O4 - HKLM..\Run: [ASUSTPE] C:\WINDOWS\system32\ASUSTPE.exe (ASUS) O4 - HKLM..\Run: [avast5] C:\Programme\Alwil Software\Avast5\avastUI.exe (AVAST Software) O4 - HKLM..\Run: [CognizanceTS] C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASTSVCC.dll (Cognizance Corporation) O4 - HKLM..\Run: [DivX Download Manager] C:\Programme\DivX\DivX Plus Web Player\DDmService.exe (DivX, LLC) O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation) O4 - HKLM..\Run: [IntelZeroConfig] C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe (Intel Corporation) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Nero AG) O4 - HKLM..\Run: [PowerForPhone] C:\Programme\PowerForPhone\PowerForPhone.exe () O4 - HKLM..\Run: [RemoteControl] C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe (Cyberlink Corp.) O4 - HKLM..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe (Motorola Inc.) O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.) O4 - HKLM..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe () O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk = C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\web'n'walk Manager.lnk = C:\Programme\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe (T-Mobile) O4 - Startup: C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE () O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - AppInit_DLLs: (C:\WINDOWS\system32\APSHook.dll) - C:\WINDOWS\system32\APSHook.dll (Cognizance Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\OneCard: DllName - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll - C:\Programme\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll (Cognizance Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007.11.05 20:30:48 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011.05.21 02:54:15 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp [2011.05.21 02:47:47 | 000,000,000 | RHSD | C] -- C:\cmdcons [2011.05.21 02:46:05 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe [2011.05.21 02:46:05 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe [2011.05.21 02:46:05 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe [2011.05.21 02:46:05 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe [2011.05.21 02:43:11 | 000,000,000 | ---D | C] -- C:\Qoobox [2011.05.21 02:18:17 | 000,000,000 | ---D | C] -- C:\_OTL [2011.05.20 00:22:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Everest Poker [2011.05.20 00:21:31 | 000,000,000 | ---D | C] -- C:\Programme\Everest Poker [2011.05.18 23:19:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy [2011.05.18 23:19:37 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy [2011.05.18 23:18:20 | 016,409,960 | ---- | C] (Safer Networking Limited ) -- C:\Dokumente und Einstellungen\xxx\Desktop\spybotsd_1.6.2.46.exe [2011.05.18 21:06:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT [2011.05.18 21:05:05 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT [2011.05.18 21:05:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ERUNT [2011.05.18 21:04:23 | 000,791,393 | ---- | C] (Lars Hederer ) -- C:\Dokumente und Einstellungen\xxx\Desktop\erunt-setup.exe [2011.05.18 20:41:40 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe [2011.05.18 19:26:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes [2011.05.18 19:26:10 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2011.05.18 19:26:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2011.05.18 19:26:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2011.05.18 19:26:05 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2011.05.18 19:26:04 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2011.05.18 19:24:43 | 007,734,208 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\xxx\Desktop\mbam-setup.exe [2011.05.16 00:07:40 | 000,000,000 | ---D | C] -- C:\FOUND.007 [2011.05.10 03:58:46 | 000,000,000 | ---D | C] -- C:\FOUND.006 [2011.04.28 23:07:24 | 000,000,000 | ---D | C] -- C:\FOUND.005 [2010.07.02 20:05:24 | 011,798,656 | ---- | C] (Nullsoft, Inc.) -- C:\Programme\winamp558_full_emusic-7plus_de-de.exe [2010.06.14 01:57:32 | 000,986,904 | ---- | C] (DivX, Inc. ) -- C:\Programme\DivXInstaller8.exe [2007.01.24 20:08:00 | 000,005,632 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\kbfiltr.sys ========== Files - Modified Within 30 Days ========== [2011.05.21 02:59:40 | 000,045,056 | ---- | M] () -- C:\WINDOWS\System32\acovcnt.exe [2011.05.21 02:55:52 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011.05.21 02:55:48 | 2138,296,320 | -HS- | M] () -- C:\hiberfil.sys [2011.05.21 02:47:52 | 000,000,327 | RHS- | M] () -- C:\boot.ini [2011.05.21 02:42:20 | 004,352,567 | R--- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe [2011.05.20 00:22:38 | 000,001,489 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Everest Poker.lnk [2011.05.20 00:15:28 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011.05.19 00:31:52 | 000,000,886 | ---- | M] () -- C:\WINDOWS\wininit.ini [2011.05.18 23:19:46 | 000,000,831 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Spybot - Search & Destroy (for blind users).lnk [2011.05.18 23:19:46 | 000,000,809 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Spybot - Search & Destroy.lnk [2011.05.18 23:18:46 | 016,409,960 | ---- | M] (Safer Networking Limited ) -- C:\Dokumente und Einstellungen\xxx\Desktop\spybotsd_1.6.2.46.exe [2011.05.18 23:17:02 | 000,287,032 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\SoftonicDownloader_fuer_spybot-search-destroy.exe [2011.05.18 21:33:04 | 000,302,080 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\7i7o25bt.exe [2011.05.18 21:08:08 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\defogger_reenable [2011.05.18 21:07:00 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Defogger.exe [2011.05.18 21:05:26 | 000,000,651 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk [2011.05.18 21:05:06 | 000,000,495 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\NTREGOPT.lnk [2011.05.18 21:05:06 | 000,000,476 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\ERUNT.lnk [2011.05.18 21:04:14 | 000,791,393 | ---- | M] (Lars Hederer ) -- C:\Dokumente und Einstellungen\xxx\Desktop\erunt-setup.exe [2011.05.18 20:49:20 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxx\Desktop\OTL.exe [2011.05.18 19:26:12 | 000,000,660 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.05.18 19:24:58 | 007,734,208 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Matthias Förster\Desktop\mbam-setup.exe [2011.05.05 13:31:04 | 000,002,607 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Microsoft Office Outlook 2011.lnk [2011.05.04 22:48:30 | 001,188,688 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Everest Poker.exe [2011.04.26 11:56:24 | 000,338,054 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx\Desktop\CASHANTRAG_20110426_115154_D0B179983A9DEBA33B7AA242642EF2A7cash_23648.pdf ========== Files Created - No Company Name ========== [2011.05.21 02:56:28 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\acovcnt.exe [2011.05.21 02:47:51 | 000,000,211 | ---- | C] () -- C:\Boot.bak [2011.05.21 02:47:48 | 000,262,448 | RHS- | C] () -- C:\cmldr [2011.05.21 02:46:05 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe [2011.05.21 02:46:05 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe [2011.05.21 02:46:05 | 000,089,088 | ---- | C] () -- C:\WINDOWS\MBR.exe [2011.05.21 02:46:05 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe [2011.05.21 02:46:05 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe[2011.05.21 02:30:05 | 004,352,567 | R--- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe [2011.05.19 00:31:20 | 000,000,886 | ---- | C] () -- C:\WINDOWS\wininit.ini [2011.05.18 23:19:45 | 000,000,831 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Spybot - Search & Destroy (for blind users).lnk [2011.05.18 23:19:45 | 000,000,809 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Spybot - Search & Destroy.lnk [2011.05.18 23:17:18 | 000,287,032 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\SoftonicDownloader_fuer_spybot-search-destroy.exe [2011.05.18 21:33:06 | 000,302,080 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\7i7o25bt.exe [2011.05.18 21:07:51 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\defogger_reenable [2011.05.18 21:07:04 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Defogger.exe [2011.05.18 21:05:25 | 000,000,651 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk [2011.05.18 21:05:05 | 000,000,495 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\NTREGOPT.lnk [2011.05.18 21:05:05 | 000,000,476 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\ERUNT.lnk [2011.05.18 19:26:10 | 000,000,660 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk [2011.05.04 22:51:29 | 000,001,489 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Everest Poker.lnk [2011.05.04 22:48:34 | 001,188,688 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\Everest Poker.exe [2011.04.26 11:56:22 | 000,338,054 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Desktop\CASHANTRAG_20110426_115154_D0B179983A9DEBA33B7AA242642EF2A7cash_23648.pdf [2010.12.09 09:40:53 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.12.08 13:16:46 | 000,044,104 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat [2010.08.30 14:09:13 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2010.06.13 03:37:40 | 000,172,032 | ---- | C] () -- C:\WINDOWS\WsBtn.dll [2009.11.16 18:33:38 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll [2009.06.07 13:27:20 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\vbzlib1.dll [2008.11.10 00:50:06 | 000,000,256 | ---- | C] () -- C:\WINDOWS\System32\pool.bin [2008.07.16 17:27:34 | 000,000,440 | ---- | C] () -- C:\WINDOWS\cdplayer.ini [2008.03.30 16:30:36 | 000,000,074 | ---- | C] () -- C:\WINDOWS\tm.ini [2008.03.29 13:50:53 | 000,024,064 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.03.28 19:46:12 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2008.02.19 14:34:07 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2008.02.06 00:41:07 | 000,000,099 | ---- | C] () -- C:\WINDOWS\WirelessFTP.INI [2008.02.05 22:46:19 | 000,001,142 | ---- | C] () -- C:\WINDOWS\mozver.dat [2008.02.05 22:35:13 | 000,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat [2008.02.05 21:43:14 | 000,000,024 | ---- | C] () -- C:\WINDOWS\ATKPF.ini [2008.02.05 20:00:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2007.11.05 21:26:30 | 000,037,232 | ---- | C] () -- C:\WINDOWS\ASScrProlog.exe [2007.11.05 21:26:28 | 000,012,288 | ---- | C] () -- C:\WINDOWS\impborl.dll [2007.11.05 21:26:22 | 000,033,136 | ---- | C] () -- C:\WINDOWS\ASScrPro.exe [2007.11.05 21:03:45 | 000,356,352 | ---- | C] () -- C:\WINDOWS\System32\AegisI5Installer.exe [2007.11.05 20:48:50 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe [2007.11.05 20:41:36 | 000,910,464 | R--- | C] () -- C:\WINDOWS\System32\igmedkrn.dll [2007.11.05 20:41:36 | 000,204,800 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4837.dll [2007.11.05 20:32:56 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini [2007.11.05 20:32:06 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2007.11.05 20:29:19 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2007.11.05 20:24:59 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2007.11.05 20:24:22 | 000,198,552 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2007.11.05 14:31:17 | 000,000,000 | ---- | C] () -- C:\WINDOWS\tosOBEX.INI [2007.11.05 14:31:10 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2007.05.30 10:51:00 | 000,073,728 | ---- | C] () -- C:\WINDOWS\StkUnist.exe [2006.12.05 13:05:04 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll [2006.01.03 05:16:32 | 000,000,010 | ---- | C] () -- C:\WINDOWS\System32\ABLKSR.ini [2005.07.22 21:30:18 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll [2005.04.03 10:30:00 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\scardsyn.dll [2004.09.07 16:34:59 | 000,007,424 | ---- | C] () -- C:\WINDOWS\System32\drivers\MMIOPORT.SYS [2004.09.07 16:34:59 | 000,002,538 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI [2004.09.07 16:34:17 | 000,320,668 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2004.09.07 16:34:17 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2004.09.07 16:34:17 | 000,049,570 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2004.09.07 16:34:17 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2004.09.07 16:34:02 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2004.09.07 16:34:00 | 000,314,842 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2004.09.07 16:34:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2004.09.07 16:34:00 | 000,041,170 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2004.09.07 16:34:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2004.09.07 16:33:59 | 000,004,487 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2004.09.07 16:33:57 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2004.09.07 16:33:56 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2004.09.07 16:33:51 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2004.09.07 16:33:51 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2004.09.07 16:33:45 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2004.09.07 16:33:36 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI [1998.05.06 15:10:00 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\ODMA32.dll ========== LOP Check ========== [2008.03.30 16:30:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV [2010.09.15 16:43:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alwil Software [2010.11.23 15:47:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2010.12.23 01:15:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Screentime [2008.03.28 19:36:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\DAEMON Tools [2010.06.24 03:37:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\OpenCandy [2011.03.23 23:45:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\MSNInstaller ========== Purity Check ========== < End of report > |
|
21.05.2011, 02:32
| #29 |
| | Win32:trojan-gen Übrigens, seit dem wir das hier machen ist mein anderer (fester) Rechner komplett abgekackt heißt soviel wie: Er fährt gar nicht mehr hoch und zeigt mir den Bildschirm: Windows normal starten, abgesicherter Modus usw. kennst du ja sicher, allerdings reagiert der Rechner überhaupt nicht mehr egal was ich drücke und macht dabei folgende Geräusche: Ich versuche mal eben das Geräusch zu immitieren: dödö, dödö,dödö,dödööööö,dödö,dödö,dödö,dödöööö, das macht er ca. 10 min lang danach hat man das Gefühl ohhh jetzt will er hochfahren das heißt: drrrrrrr und dann macht er gar kein Geräusch mehr für ca. 5 min. bis das ganze Spiel wieder von vorne anfängt Just for Info (Ich glaub der is im Arsch) Gute Nacht |
|
21.05.2011, 10:35
| #30 | |
| /// TB-Ausbilder | Win32:trojan-gen Hallo Noncosi, Zitat:
 Grundsätzlich können wir uns pro geöffnetem Thema immer nur um einen Rechner kümmern. Sonst wirds zu unübersichtlich. Das Problem mit deinem Desktop-Rechner hört sich aber eher nach einem Hardware Problem an. Solltest du Hilfe benötigen, kannst du gerne im Bereich Netzwerk und Hardware ein eigenes Thema dafür aufmachen. Eventuell hat dort jemand eine Lösung für dich parat. Leider kenne ich mich mit solchen Dingen zu wenig aus, als dass ich dir hierbei helfen könnte, tut mir Leid. Auf deinem mit Malware befallenen Rechner sieht es allerdings schon ganz gut aus.  Bitte arbeite weiter so gut mit mir zusammen. Wir habens bald geschafft. Schritt # 1: Störende Programme
Schritt # 2: Fix mit OTL
Code:
ATTFilter :OTL
FF - prefs.js..keyword.URL: "hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=c4641de1000000000000001cbf15ccfe&tlver=1.4.19.19&instlRef=sst&ss=1&affID=17395&q="
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
:Commands
[emptytemp]
Schritt # 3: Kontrollscan mit Malwarebytes' Anti-Malware (MBAM)
Schritt # 4: ESET Online Scanner Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
 + R Taste und kopiere folgenden Text in das Ausführen Fenster.Code:
ATTFilter "%ProgramFiles%\Eset\Eset Online Scanner\log.txt"
Schritt # 5: aswMBR.exe ausführen Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit. Schritt # 6: Durchführung einer Sicherheitskontrolle Downloade Dir bitte SecurityCheck
Schritt # 7: Deine Rückmeldung Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort
|
|
| Themen zu Win32:trojan-gen |
| avast, benötigt, check, erhalte, experten, folge, folgendes, gestartet, heute, malwarebytes, posten, problem, protokoll, rechner, schwere, theme, themen, trojan-gen, trojaner, verschiedene, versuche, wichtig, win, win32, win32:trojan-gen, win32:webprefix, wirklich, wma, wma:wimap(drp) |
Textbox.
Textbox.
Button.
Linear-Darstellung
