Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder (https://www.trojaner-board.de/84603-trojaner-gefunden-trojan-pr-ranky-yu-veruscht-loeschen-kommt-immer.html)

Badabus 07.04.2010 01:09
Trojaner gefunden Trojan.PR.Ranky.YU veruscht zu löschen aber kommt immer wieder
 
Hallo an alle =)

Ich habe ein ganz großes Problem. ;(

Habe seit heute den Trojaner Trojan.PR.Ranky.YU und kann die CD zwar z.b. ein Spiel installieren aber sobald ich dann auf spielen geh sagt er mir, dass keine CD im laufwerk ist. Was ja nicht stimmt. EInmal hat es sogar geklappt als ich dann raus und wieder rein wollte gings nimma. Echt komisch... Und das andere ist das ich auf meiner Festplatte C über 1 Gb speicher frei hab. Aber teilweise schreibt er mir das nur noch 130 mb frei sind. Stellt sich einfach um und er zeigt mir viel zu wenig an.Hab schon echt alles versucht. Forum gelesen usw...

Die Datei die SpywareFighter immer gefunden hat liegt in:

C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll

von Spamfighter die anzeige das hat er dort oft drinnen und immer kommmt sie wieder....

07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: F:\Programme\Filme\Dragon Age Origins Keygen.rar - deleted
07.04.2010 00:33:55: I| Q Item: C:\System Volume Information\_restore{901FA82D-14B8-4CCD-BF8A-7362818CF5A6}\RP320\A0044384.exe - deleted
07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll - deleted
07.04.2010 00:33:55: I| Q Item: C:\System Volume Information\_restore{901FA82D-14B8-4CCD-BF8A-7362818CF5A6}\RP320\A0044393.exe - deleted
07.04.2010 00:35:51: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll infected by Trojan.PR.Ranky.YU
07.04.2010 00:35:51: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll put to Quarantine
07.04.2010 00:36:27: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll infected by Trojan.PR.Ranky.YU
07.04.2010 00:36:27: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll put to Quarantine
07.04.2010 00:36:36: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll infected by Trojan.PR.Ranky.YU
07.04.2010 00:36:36: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll put to Quarantine
07.04.2010 00:36:45: I| Starting update
07.04.2010 00:36:45: I| URL: hxxp://download.nl.spamfighter.com/Update/VFSWDefs/
07.04.2010 00:36:46: I| No definitions update available
07.04.2010 00:37:47: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll infected by Trojan.PR.Ranky.YU
07.04.2010 00:37:47: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll put to Quarantine
07.04.2010 00:42:08: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll infected by Trojan.PR.Ranky.YU
07.04.2010 00:42:08: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll put to Quarantine
07.04.2010 00:42:22: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll infected by Trojan.PR.Ranky.YU
07.04.2010 00:42:22: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll put to Quarantine
07.04.2010 00:43:02: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll infected by Trojan.PR.Ranky.YU
07.04.2010 00:43:02: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll put to Quarantine
07.04.2010 00:43:13: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll infected by Trojan.PR.Ranky.YU
07.04.2010 00:43:13: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll put to Quarantine
07.04.2010 00:43:34: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll infected by Trojan.PR.Ranky.YU
07.04.2010 00:43:34: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll put to Quarantine
07.04.2010 00:43:57: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll infected by Trojan.PR.Ranky.YU
07.04.2010 00:43:57: I| C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll put to Quarantine




UNd den hat er dauernd gefunden und in Quarantäne verschoben. Hab den dort noch drinnen gelassen ist das überhaupt gut? Was ich gelesen hab ist der ja eigentlich schon gelöscht ist nur eine kopie oder so die keinen schaden mehr anrichten soll angeblich...

Hab auch schon Hijacker runttergeladen, Avira, SpywareFighter, Regcleaner, Spyware Cease, CCleaner, Hat alles nichts geholfen. Einmal ist es kurz nach dem durchlaufen gegangen das ich Warcraft 3 das spiel von der CD spielen konnte. Aber wie oben schon beschrieben kurz nachdem ich raus und wieder rein bin ists nicht mehr gegangen... Aber sonst kommt immer eine Fehlermeldung und mit der Fehlermeldung findet dann SpywareFighter den Trojaner Trojan.PR.Ranky.YU er entfernt den natürlich gleich immer. Aber er öffnet sich immer neu wenn ich die CD durch wiederholen versuche zu starten. Ich weiß ja das die drinnen ist... Deshalb geh ich davon aus das da noch eine wirtdatei sein muss. Aber kenn mich leider einfach nicht gut genug aus.

Habe jetzt nochmal alles durchlaufen lassen aber weiß nicht genau ob alles entfernt wurde aber nachdem ich ja das CD laufwerk nochimmer nicht nutzen kann geh ich davon aus, dass er noch irgendwo sitzen muss. Hoffe ihr seht in der Hijacker file mehr als ich. ;)

Ich hoffe so sehr das mir vielleicht einer von euch helfen kann. Bitte bitte helft mir. Weiß einfach keinen Rat mehr und bin echt verzweifelt... ;(

Bin über jeden Ratschlag oder hilfe, Tipp sehr dankbar.

vielen dank im Vorraus und es tut mir leid wegen den unannehmlichkeiten ;)

Lg Badabus


Hier anbei die Hijacker File weiß nicht genau wo der sitzen könnte. ;)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:08:34, on 07.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS.0\system32\WgaTray.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Razer\DeathAdder\razerhid.exe
C:\Programme\Razer\Tarantula\razerhid.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Razer\DeathAdder\razertra.exe
C:\Programme\Razer\DeathAdder\razerofa.exe
C:\Programme\Razer\Tarantula\razertra.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AskBarDis\bar\bin\AskService.exe
C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Programme\Gemeinsame Dateien\Common Toolkit Suite\AVEngine\AVScanningService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Common Toolkit Suite\FighterSuiteService.exe
C:\WINDOWS.0\system32\nvsvc32.exe
C:\Programme\iPod\bin\iPodService.exe
F:\Programme\bin\jqs.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Gemeinsame Dateien\Common Toolkit Suite\FighterLauncher.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Softonic VLC DE Toolbar - {64577f6f-8a9d-413a-b4c8-d080d6aeaf88} - C:\Programme\Softonic_VLC_DE\tbSof1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Programme\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Programme\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Softonic VLC DE Toolbar - {64577f6f-8a9d-413a-b4c8-d080d6aeaf88} - C:\Programme\Softonic_VLC_DE\tbSof1.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [DeathAdder] C:\Programme\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [Tarantula] C:\Programme\Razer\Tarantula\razerhid.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SWPROguard] F:\Programme\Spyware Fighter\Fighters\SPYWAREfighter\SWPROTray.exe
O4 - HKLM\..\Run: [SpywareCease.exe] C:\Programme\Spyware Cease\SpywareCease.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [NCsoft Launcher] C:\programme\ncsoft\launcher\NCLauncher.exe /Minimized
O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe" -autorun
O4 - HKCU\..\RunOnce: [UniblueRegistryBooster] "C:\Programme\Uniblue\RegistryBooster\launcher.exe" delay 20000
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Startup: CurseClientStartup.ccip
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O20 - Winlogon Notify: cbssreg - C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Dokumente\Settings\cbss.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: AV Engine Scanning Service - Preventon Technologies Limited - C:/Programme/Gemeinsame Dateien/Common Toolkit Suite/AVEngine/AVScanningService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Common Toolkit Service - SPAMfighter - C:\Programme\Gemeinsame Dateien\Common Toolkit Suite\FighterSuiteService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Programme\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe

--
End of file - 8722 bytes

Chris4You 07.04.2010 07:47
Hi,

Bitte folgende Files prüfen (ev. f/p):

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
    und suche folgende Datei/Dateien:
Code:
C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Temp\SIntfNT.dll
C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Dokumente\Settings\cbss.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Du hast Bearshare, Askbar etc. drauf, da sollte man sich nicht wundern....
Spywarecease.exe etc. ist jetzt auch nicht daß, für dass es sich ausgibt...

Mal sehen was MAM so alles terminiert...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Badabus 07.04.2010 12:27
Danke für deine Hilfe. Bin echt am verzweifeln. Aber du hast vollkommen recht. Diese blöden bearshare usw... sachen sind sicher großteils schuld daran. Aber naja in erster linie ich weil ich sie runtergeladen hab...

Habe versucht die dateien zu suchen und hochzuladen. Prob ist hab nur eine gefunden von den 2. Glaub eine hat gestern Malware gelöscht. ich post mal den den ich gefunden habe.



Datei SIntfNT.dll empfangen 2010.04.07 11:21:16 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/39 (7.7%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.07 -
AhnLab-V3 5.0.0.2 2010.04.06 -
AntiVir 7.10.6.39 2010.04.07 -
Antiy-AVL 2.0.3.7 2010.04.07 -
Authentium 5.2.0.5 2010.04.07 -
Avast 4.8.1351.0 2010.04.07 -
Avast5 5.0.332.0 2010.04.07 -
AVG 9.0.0.787 2010.04.07 -
BitDefender 7.2 2010.04.07 -
CAT-QuickHeal 10.00 2010.04.07 Trojan.Agent.ATV
ClamAV 0.96.0.3-git 2010.04.07 -
Comodo 4528 2010.04.07 -
DrWeb 5.0.2.03300 2010.04.07 -
eSafe 7.0.17.0 2010.04.06 -
eTrust-Vet 35.2.7412 2010.04.07 -
F-Prot 4.5.1.85 2010.04.06 -
F-Secure 9.0.15370.0 2010.04.07 -
Fortinet 4.0.14.0 2010.04.07 -
GData 19 2010.04.07 -
Ikarus T3.1.1.80.0 2010.04.07 -
Jiangmin 13.0.900 2010.04.07 -
Kaspersky 7.0.0.125 2010.04.07 -
McAfee-GW-Edition 6.8.5 2010.04.07 -
Microsoft 1.5605 2010.04.07 -
NOD32 5006 2010.04.07 -
Norman 6.04.11 2010.04.07 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.06 -
PCTools 7.0.3.5 2010.04.07 -
Prevx 3.0 2010.04.07 -
Rising 22.42.02.03 2010.04.07 -
Sophos 4.52.0 2010.04.07 -
Sunbelt 6147 2010.04.07 -
Symantec 20091.2.0.41 2010.04.07 -
TheHacker 6.5.2.0.256 2010.04.07 Trojan/Proxy.Ranky.kz
TrendMicro 9.120.0.1004 2010.04.07 PAK_Generic.001
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.7.2265 2010.04.07 -
VirusBuster 5.0.27.0 2010.04.06 -
weitere Informationen
File size: 24516 bytes
MD5...: bae6a1dd9b99a42d883469bdd47c9f87
SHA1..: 3682e51fea5dba7c689213f3fe62eb318e95d6e8
SHA256: 5228987a595b9196c4e7ae1ce7e36ec50f09323182cd42b3aef6af0d274a27a0
ssdeep: 384:v/i7ye8zdTyBsyqAIZhgwSUKc+BNIyDPhhx1buzWUVyRq5EVyvsdUBy0kyRU
bIt:zWsyqAggkKc+BfTvKhsBOsdUkeabU
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xc10b
timedatestamp.....: 0x3cce5a9f (Tue Apr 30 08:49:35 2002)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xb000 0x41c4 7.99 10f51fc2daeaaeb05bb454e70db949c9
.petite 0xc000 0x1863 0x1a00 6.23 3fed09907849f141f40e9cc169222098
0xe000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 2 imports )
> KERNEL32.dll: ExitProcess, LoadLibraryA, GetProcAddress, GlobalAlloc
> user32.dll: MessageBoxA, wsprintfA

( 17 exports )
ADI32, ATI32, C32, FGDM32, GCDL32, GDS32, GFP32, GGDM32, GNOCD32, INQ32, LD32, LOH32, MSEL32, RLOS32, STS32, TC32, TUR32
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
packers (Kaspersky): Petite
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (F-Prot): Petite

Badabus 07.04.2010 14:32
Der Malware bericht:



Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3962

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.04.2010 15:14:14
mbam-log-2010-04-07 (15-14-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Durchsuchte Objekte: 253404
Laufzeit: 1 Stunde(n), 43 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\i6sj8irs.default\Cache\745380BFd01 (Rogue.CleanUpAntivirus) -> No action taken.
C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\i6sj8irs.default\Cache\7453B0BFd01 (Rogue.CleanUpAntivirus) -> No action taken.


Fange jetzt mit OTL an. Danke nochmal ohne dich wüsst ich nicht was ich machen soll. Danke danke danke *g*

Badabus 07.04.2010 14:58
Die OTL berichte


1.

OTL logfile created on: 07.04.2010 15:34:57 - Run 1
OTL by OldTimer - Version 3.2.1.0 Folder = C:\Dokumente und Einstellungen\daniel\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 80,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS.0 | %ProgramFiles% = C:\Programme
Drive C: | 37,19 Gb Total Space | 1,23 Gb Free Space | 3,30% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 648,38 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive F: | 661,39 Gb Total Space | 203,55 Gb Free Space | 30,78% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: DANIEL-JATRAUNI
Current User Name: daniel
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - f:\Programme\Warcraft III\War3.exe (Blizzard Entertainment)
PRC - C:\Dokumente und Einstellungen\daniel\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - F:\Programme\Bin\jqs.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Pando Networks\Media Booster\PMB.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Common Toolkit Suite\FighterSuiteService.exe (SPAMfighter)
PRC - F:\Programme\Spyware Fighter\Fighters\SPYWAREfighter\swproTray.exe (SPAMfighter)
PRC - C:\Programme\Gemeinsame Dateien\Common Toolkit Suite\AVEngine\AVScanningService.exe (Preventon Technologies Limited)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\DAEMON Tools Pro\DTProAgent.exe (DT Soft Ltd)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe ()
PRC - C:\Programme\AskBarDis\bar\bin\AskService.exe ()
PRC - C:\WINDOWS.0\system32\WgaTray.exe (Microsoft Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS.0\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Razer\DeathAdder\razerhid.exe ()
PRC - C:\Programme\Razer\DeathAdder\razerofa.exe (Razer Inc.)
PRC - C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
PRC - C:\Programme\Razer\DeathAdder\razertra.exe ()
PRC - C:\Programme\Razer\Tarantula\razerhid.exe ()
PRC - C:\Programme\Razer\Tarantula\razertra.exe ()
PRC - C:\Programme\Analog Devices\SoundMAX\SMax4.exe (Analog Devices, Inc.)


========== Modules (SafeList) ==========

MOD - C:\Dokumente und Einstellungen\daniel\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)


========== Win32 Services (SafeList) ==========

SRV - (NetTcpPortSharing) -- File not found
SRV - (JavaQuickStarterService) -- F:\Programme\bin\jqs.exe (Sun Microsystems, Inc.)
SRV - (Common Toolkit Service) -- C:\Programme\Gemeinsame Dateien\Common Toolkit Suite\FighterSuiteService.exe (SPAMfighter)
SRV - (AV Engine Scanning Service) -- C:/Programme/Gemeinsame Dateien/Common Toolkit Suite/AVEngine/AVScanningService.exe ()
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (ASKUpgrade) -- C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe ()
SRV - (ASKService) -- C:\Programme\AskBarDis\bar\bin\AskService.exe ()
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)


========== Driver Services (SafeList) ==========

DRV - (SSHDRV76) -- C:\WINDOWS.0\system32\drivers\SSHDRV76.sys ()
DRV - (atksgt) -- C:\WINDOWS.0\system32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\WINDOWS.0\system32\drivers\lirsgt.sys ()
DRV - (AVFSFilter) -- C:\WINDOWS.0\system32\drivers\avfsfilter.sys ()
DRV - (acedrv11) -- C:\WINDOWS.0\system32\drivers\acedrv11.sys (Protect Software GmbH)
DRV - (sptd) -- C:\WINDOWS.0\System32\Drivers\sptd.sys ()
DRV - (avgntflt) -- C:\WINDOWS.0\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (taphss) -- C:\WINDOWS.0\system32\drivers\taphss.sys (AnchorFree Inc)
DRV - (ssmdrv) -- C:\WINDOWS.0\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS.0\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (nv) -- C:\WINDOWS.0\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS.0\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (HDAudBus) -- C:\WINDOWS.0\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (DAdderFltr) -- C:\WINDOWS.0\system32\drivers\dadder.sys (Razer (Asia-Pacific) Pte Ltd)
DRV - (ADIHdAudAddService) -- C:\WINDOWS.0\system32\drivers\ADIHdAud.sys (Analog Devices, Inc.)
DRV - (TarFltr) -- C:\WINDOWS.0\system32\drivers\UsbFltr.sys (Waytech Development, Inc.)
DRV - (RTLE8023xp) -- C:\WINDOWS.0\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation )
DRV - (SenFiltService) -- C:\WINDOWS.0\system32\drivers\senfilt.sys (Sensaura)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS.0\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS.0\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\..\URLSearchHook: {64577f6f-8a9d-413a-b4c8-d080d6aeaf88} - C:\Programme\Softonic_VLC_DE\tbSof1.dll (Conduit Ltd.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

========== FireFox ==========

FF - prefs.js..browser.search.defaultthis.engineName: "Softonic VLC DE Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2365318&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "DAEMON Search"
FF - prefs.js..browser.startup.homepage: "hxxp://search.conduit.com/?ctid=CT2365318&SearchSource=13"
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:7
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.6.20090220
FF - prefs.js..network.proxy.no_proxies_on: "*.local"

FF - HKLM\software\mozilla\Firefox\Extensions\\jqs@sun.com: F:\Programme\lib\deploy\jqs\ff [2010.04.07 01:18:53 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.04.07 01:42:13 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.04.07 01:19:14 | 000,000,000 | ---D | M]

[2009.08.15 21:59:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Mozilla\Extensions
[2009.08.15 21:33:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Mozilla\Firefox\extensions
[2009.08.15 21:33:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Mozilla\Firefox\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
[2010.04.07 14:31:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\i6sj8irs.default\extensions
[2009.08.15 23:35:25 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\i6sj8irs.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.04.02 18:08:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\i6sj8irs.default\extensions\DTToolbar@toolbarnet.com
[2009.10.06 18:02:26 | 000,000,892 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\i6sj8irs.default\searchplugins\conduit.xml
[2010.04.02 18:08:20 | 000,002,059 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\i6sj8irs.default\searchplugins\daemon-search.xml
[2010.04.07 15:29:13 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.08.15 21:59:56 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Programme\Mozilla Firefox\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2010.03.14 22:30:58 | 000,238,776 | ---- | M] (Pando Networks) -- C:\Programme\Mozilla Firefox\plugins\npPandoWebInst.dll
[2009.07.31 00:59:14 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.07.31 00:59:14 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.07.31 00:59:14 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.10.08 11:52:44 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.07.31 00:59:14 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2001.08.18 16:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS.0\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Programme\Bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Programme\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKLM\..\Toolbar: (Softonic VLC DE Toolbar) - {64577f6f-8a9d-413a-b4c8-d080d6aeaf88} - C:\Programme\Softonic_VLC_DE\tbSof1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll (BearShare)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (Softonic VLC DE Toolbar) - {64577F6F-8A9D-413A-B4C8-D080D6AEAF88} - C:\Programme\Softonic_VLC_DE\tbSof1.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll (BearShare)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [DeathAdder] C:\Programme\Razer\DeathAdder\razerhid.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS.0\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS.0\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS.0\System32\nwiz.exe ()
O4 - HKLM..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SWPROguard] F:\Programme\Spyware Fighter\Fighters\SPYWAREfighter\swproTray.exe (SPAMfighter)
O4 - HKLM..\Run: [Tarantula] C:\Programme\Razer\Tarantula\razerhid.exe ()
O4 - HKCU..\Run: [DAEMON Tools Pro Agent] C:\Programme\DAEMON Tools Pro\DTProAgent.exe (DT Soft Ltd)
O4 - HKCU..\Run: [NCsoft Launcher] C:\programme\ncsoft\launcher\NCLauncher.exe (NCSoft)
O4 - HKCU..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe ()
O4 - HKCU..\Run: [PlayNC Launcher] File not found
O4 - HKCU..\RunOnce: [UniblueRegistryBooster] C:\Programme\Uniblue\RegistryBooster\launcher.exe (Uniblue Systems Limited)
O4 - Startup: C:\Dokumente und Einstellungen\daniel\Startmenü\Programme\Autostart\CurseClientStartup.ccip ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab (System Requirements Lab Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2)
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 62.40.128.2 195.202.128.3 195.202.128.2
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS.0\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.03.10 13:58:24 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2002.06.17 21:40:00 | 000,053,248 | R--- | M] () - E:\autoplay.exe -- [ CDFS ]
O32 - AutoRun File - [2001.07.23 21:25:04 | 000,000,047 | R--- | M] () - E:\autorun.inf -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.04.07 15:19:09 | 000,126,976 | ---- | C] (Blizzard Entertainment) -- C:\WINDOWS.0\War3Unin.exe
[2010.04.07 09:29:16 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\daniel\Recent
[2010.04.07 02:33:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Malwarebytes
[2010.04.07 02:33:02 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS.0\System32\drivers\mbamswissarmy.sys
[2010.04.07 02:33:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes
[2010.04.07 02:32:59 | 000,020,824 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS.0\System32\drivers\mbam.sys
[2010.04.07 02:32:59 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.04.07 01:43:39 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2010.04.07 01:19:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Sun
[2010.04.07 01:19:14 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS.0\System32\deploytk.dll
[2010.04.07 01:19:14 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS.0\System32\javaws.exe
[2010.04.07 01:19:14 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS.0\System32\javaw.exe
[2010.04.07 01:19:14 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS.0\System32\java.exe
[2010.04.07 01:19:14 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS.0\System32\javacpl.cpl
[2010.04.06 22:00:08 | 000,000,000 | ---D | C] -- C:\Programme\RegCleaner
[2010.04.06 21:57:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Uniblue
[2010.04.06 21:57:10 | 000,000,000 | ---D | C] -- C:\Programme\Uniblue
[2010.04.06 21:48:25 | 000,000,000 | ---D | C] -- C:\Programme\Registry Winner
[2010.04.05 19:59:37 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Thraex Software
[2010.04.05 17:59:11 | 001,440,641 | ---- | C] (System SoftLab ) -- C:\Dokumente und Einstellungen\daniel\Desktop\artmoney732eng.exe
[2010.04.05 17:18:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\daniel\Eigene Dateien\NeocoreGames
[2010.04.05 13:42:28 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Dokumente\Settings
[2010.04.05 00:36:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Solidshield
[2010.04.04 23:37:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Tages
[2010.04.04 18:44:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Z-Software
[2010.04.04 18:43:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Z-Software
[2010.04.04 17:07:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Common Toolkit Suite
[2010.04.04 17:07:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\clp
[2010.04.04 17:07:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Common Toolkit Suite
[2010.04.04 17:07:28 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Common Toolkit Suite
[2010.04.04 17:07:15 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\{88078557-37D5-402B-8B75-49F162ECEDBD}
[2010.04.04 17:05:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Fighters
[2010.04.04 17:05:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\PackageAware
[2010.04.04 16:01:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\The Humans
[2010.04.04 00:24:04 | 000,216,064 | R--- | C] (Indigo Rose Corporation) -- C:\WINDOWS.0\iun3405.exe
[2010.04.03 23:05:55 | 000,074,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\XAPOFX1_4.dll
[2010.04.03 23:05:54 | 000,528,216 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\XAudio2_6.dll
[2010.04.03 23:05:54 | 000,238,936 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\xactengine3_6.dll
[2010.04.03 23:05:54 | 000,022,360 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\X3DAudio1_7.dll
[2010.04.03 23:05:53 | 001,974,616 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\D3DCompiler_42.dll
[2010.04.03 23:05:53 | 000,515,416 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\XAudio2_5.dll
[2010.04.03 23:05:53 | 000,238,936 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\xactengine3_5.dll
[2010.04.03 23:05:52 | 005,501,792 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\d3dcsx_42.dll
[2010.04.03 23:05:52 | 000,235,344 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\d3dx11_42.dll
[2010.04.03 23:05:51 | 001,892,184 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\D3DX9_42.dll
[2010.04.03 23:05:51 | 000,453,456 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\d3dx10_42.dll
[2010.04.03 23:05:50 | 004,178,264 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\D3DX9_41.dll
[2010.04.03 23:05:50 | 001,846,632 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\D3DCompiler_41.dll
[2010.04.03 23:05:50 | 000,453,456 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\d3dx10_41.dll
[2010.04.03 23:05:49 | 000,517,448 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\XAudio2_4.dll
[2010.04.03 23:05:49 | 000,235,352 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\xactengine3_4.dll
[2010.04.03 23:05:49 | 000,069,464 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\XAPOFX1_3.dll
[2010.04.03 23:05:49 | 000,022,360 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\X3DAudio1_6.dll
[2010.04.03 15:24:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\daniel\Eigene Dateien\Sparta II
[2010.04.03 14:14:15 | 000,000,000 | ---D | C] -- C:\Programme\Sparta II
[2010.04.03 13:33:33 | 000,000,000 | ---D | C] -- C:\Programme\DAEMON Tools Pro
[2010.04.03 13:32:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\DAEMON Tools Pro
[2010.04.02 18:08:20 | 000,000,000 | ---D | C] -- C:\Programme\DAEMON Tools Toolbar
[2010.04.02 18:08:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\DAEMON Tools Lite
[2010.04.02 18:07:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\DAEMON Tools Lite
[2010.03.31 13:10:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\daniel\Desktop\7 Zip
[2010.03.31 13:10:02 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip
[2010.03.14 23:05:41 | 000,000,000 | ---D | C] -- C:\Programme\Outspark
[2010.03.14 22:31:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\PMB Files
[2010.03.14 22:31:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\PMB Files
[2010.03.14 22:30:54 | 000,000,000 | ---D | C] -- C:\Programme\Pando Networks
[2010.03.10 21:02:49 | 003,558,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS.0\System32\dllcache\moviemk.exe
[2009.03.10 16:11:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.03.10 15:34:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.03.10 14:52:18 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[2009.03.10 14:52:18 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[7 C:\WINDOWS.0\System32\*.tmp files -> C:\WINDOWS.0\System32\*.tmp -> ]
[4 C:\WINDOWS.0\*.tmp files -> C:\WINDOWS.0\*.tmp -> ]
[1 C:\WINDOWS.0\System32\dllcache\*.tmp files -> C:\WINDOWS.0\System32\dllcache\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2010.04.07 15:26:13 | 000,002,206 | ---- | M] () -- C:\WINDOWS.0\System32\wpa.dbl
[2010.04.07 15:25:32 | 000,215,383 | ---- | M] () -- C:\WINDOWS.0\System32\nvapps.xml
[2010.04.07 15:25:26 | 000,000,006 | -H-- | M] () -- C:\WINDOWS.0\tasks\SA.DAT
[2010.04.07 15:23:39 | 006,553,600 | -H-- | M] () -- C:\Dokumente und Einstellungen\daniel\NTUSER.DAT
[2010.04.07 15:22:15 | 000,016,852 | ---- | M] () -- C:\WINDOWS.0\War3Unin.dat
[2010.04.07 15:22:15 | 000,000,680 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Warcraft III.lnk
[2010.04.07 15:19:09 | 000,126,976 | ---- | M] (Blizzard Entertainment) -- C:\WINDOWS.0\War3Unin.exe
[2010.04.07 15:19:09 | 000,002,829 | ---- | M] () -- C:\WINDOWS.0\War3Unin.pif
[2010.04.07 08:48:35 | 000,010,176 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.04.07 08:47:32 | 000,000,390 | ---- | M] () -- C:\WINDOWS.0\tasks\Registry Winner Schedule.job
[2010.04.07 08:47:28 | 000,088,704 | ---- | M] () -- C:\WINDOWS.0\System32\FNTCACHE.DAT
[2010.04.07 02:33:05 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.07 01:43:45 | 000,001,698 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\HijackThis.lnk
[2010.04.07 01:35:03 | 000,049,180 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Eigene Dateien\cc_20100407_013214.reg
[2010.04.07 01:25:32 | 000,000,632 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\CCleaner.lnk
[2010.04.07 01:18:49 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS.0\System32\javaws.exe
[2010.04.07 01:18:49 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS.0\System32\javaw.exe
[2010.04.07 01:18:49 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS.0\System32\java.exe
[2010.04.07 01:18:49 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS.0\System32\javacpl.cpl
[2010.04.07 01:18:48 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS.0\System32\deploytk.dll
[2010.04.06 22:07:57 | 000,111,940 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Eigene Dateien\AnalysisReport Reg
[2010.04.06 22:07:45 | 000,111,940 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Eigene Dateien\AnalysisReport Sys Service
[2010.04.06 22:07:29 | 000,111,940 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Eigene Dateien\AnalysisReport Systeme
[2010.04.06 22:00:10 | 000,000,625 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\RegCleaner.lnk
[2010.04.06 21:42:08 | 000,000,042 | ---- | M] () -- C:\WINDOWS.0\System32\scud.udf
[2010.04.06 16:33:43 | 000,175,104 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.04.05 23:00:37 | 001,583,236 | -H-- | M] () -- C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.04.05 20:47:17 | 000,000,689 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Silverfall - Wächter der Elemente.lnk
[2010.04.05 20:04:11 | 001,038,171 | ---- | M] () -- C:\WINDOWS.0\Prison Tycoon 3 Uninstaller.exe
[2010.04.05 19:57:43 | 000,000,581 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\Dungeon Keeper 2.lnk
[2010.04.05 18:01:16 | 000,000,547 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\ArtMoney SE v7.32.lnk
[2010.04.05 17:59:12 | 001,440,641 | ---- | M] (System SoftLab ) -- C:\Dokumente und Einstellungen\daniel\Desktop\artmoney732eng.exe
[2010.04.05 17:44:23 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Dokumente\PCD604.L!C
[2010.04.05 17:44:20 | 000,053,760 | ---- | M] () -- C:\WINDOWS.0\System32\drivers\SSHDRV76.sys
[2010.04.05 15:21:20 | 000,000,661 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\King Arthur.lnk
[2010.04.05 00:32:46 | 000,000,891 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\ANNO 1404 - Venedig.lnk
[2010.04.05 00:17:26 | 000,000,867 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\ANNO 1404.lnk
[2010.04.04 23:36:10 | 000,281,760 | ---- | M] () -- C:\WINDOWS.0\System32\drivers\atksgt.sys
[2010.04.04 23:36:09 | 000,025,888 | ---- | M] () -- C:\WINDOWS.0\System32\drivers\lirsgt.sys
[2010.04.04 17:07:32 | 000,001,852 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\SPYWAREfighter.lnk
[2010.04.04 15:13:26 | 000,000,651 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit Dungeon Keeper 2.lnk
[2010.04.04 15:12:58 | 000,000,636 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit Pryson Tycoon.lnk
[2010.04.04 15:12:26 | 000,000,656 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit Schwimmbad Tycoon.lnk
[2010.04.04 15:11:55 | 000,000,691 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit Airline Tycoon Evolution.lnk
[2010.04.04 14:38:55 | 000,004,096 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Dokumente\00001497.LCS
[2010.04.04 13:24:32 | 000,002,048 | R-S- | M] () -- C:\WINDOWS.0\bootstat.dat
[2010.04.04 00:24:38 | 000,000,753 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Snes9x - Version 1.39 (2).lnk
[2010.04.04 00:24:04 | 000,000,520 | R--- | M] () -- C:\WINDOWS.0\win.ini
[2010.04.04 00:23:19 | 000,216,064 | R--- | M] (Indigo Rose Corporation) -- C:\WINDOWS.0\iun3405.exe
[2010.04.03 23:17:17 | 000,000,631 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit Die Pizzeria.lnk
[2010.04.03 23:06:00 | 000,001,047 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit www.torrent.to...HANDBALL.SIMULATOR.2010.EUROPEAN.TOURNAMENT.GERMAN-POSTMORTEM.lnk
[2010.04.03 14:16:41 | 000,000,608 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Age of Alexander.lnk
[2010.04.03 13:33:37 | 000,001,559 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\DAEMON Tools Pro.lnk
[2010.04.03 02:04:14 | 000,000,613 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit BioWare.lnk
[2010.04.03 02:03:55 | 000,000,755 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit www.bitreactor.to_Dragon_Age_Origins.lnk
[2010.04.03 01:12:05 | 000,000,797 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\World of Warcraft.lnk
[2010.04.03 01:09:28 | 000,000,738 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit Mfatigue.lnk
[2010.03.29 15:24:58 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS.0\System32\drivers\mbamswissarmy.sys
[2010.03.29 15:24:46 | 000,020,824 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS.0\System32\drivers\mbam.sys
[2010.03.28 19:04:42 | 001,070,080 | ---- | M] () -- C:\WINDOWS.0\System32\PerfStringBackup.INI
[2010.03.28 19:04:42 | 000,458,822 | ---- | M] () -- C:\WINDOWS.0\System32\perfh007.dat
[2010.03.28 19:04:42 | 000,441,124 | ---- | M] () -- C:\WINDOWS.0\System32\perfh009.dat
[2010.03.28 19:04:42 | 000,084,326 | ---- | M] () -- C:\WINDOWS.0\System32\perfc007.dat
[2010.03.28 19:04:42 | 000,071,060 | ---- | M] () -- C:\WINDOWS.0\System32\perfc009.dat
[2010.03.20 17:56:43 | 000,000,053 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\Eigene Dateien\aionmemo_171da721.dat
[2010.03.20 15:54:24 | 000,004,906 | ---- | M] () -- C:\Dokumente und Einstellungen\daniel\FilterData.dat
[2010.03.11 13:15:53 | 000,010,264 | ---- | M] () -- C:\WINDOWS.0\System32\drivers\avfsfilter.sys
[7 C:\WINDOWS.0\System32\*.tmp files -> C:\WINDOWS.0\System32\*.tmp -> ]
[4 C:\WINDOWS.0\*.tmp files -> C:\WINDOWS.0\*.tmp -> ]
[1 C:\WINDOWS.0\System32\dllcache\*.tmp files -> C:\WINDOWS.0\System32\dllcache\*.tmp -> ]

========== Files Created - No Company Name ==========

[2010.04.07 15:22:15 | 000,000,680 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Warcraft III.lnk
[2010.04.07 15:19:09 | 000,016,852 | ---- | C] () -- C:\WINDOWS.0\War3Unin.dat
[2010.04.07 15:19:09 | 000,002,829 | ---- | C] () -- C:\WINDOWS.0\War3Unin.pif
[2010.04.07 02:33:05 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.04.07 01:43:40 | 000,001,698 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\HijackThis.lnk
[2010.04.07 01:32:19 | 000,049,180 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Eigene Dateien\cc_20100407_013214.reg
[2010.04.07 01:25:32 | 000,000,632 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\CCleaner.lnk
[2010.04.06 22:07:57 | 000,111,940 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Eigene Dateien\AnalysisReport Reg
[2010.04.06 22:07:45 | 000,111,940 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Eigene Dateien\AnalysisReport Sys Service
[2010.04.06 22:07:29 | 000,111,940 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Eigene Dateien\AnalysisReport Systeme
[2010.04.06 22:00:10 | 000,000,625 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\RegCleaner.lnk
[2010.04.06 21:48:32 | 000,000,390 | ---- | C] () -- C:\WINDOWS.0\tasks\Registry Winner Schedule.job
[2010.04.06 21:42:08 | 000,000,042 | ---- | C] () -- C:\WINDOWS.0\System32\scud.udf
[2010.04.06 21:42:00 | 000,034,736 | ---- | C] () -- C:\WINDOWS.0\System32\drivers\RKHit.sys
[2010.04.05 20:47:17 | 000,000,689 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Silverfall - Wächter der Elemente.lnk
[2010.04.05 20:04:08 | 001,038,171 | ---- | C] () -- C:\WINDOWS.0\Prison Tycoon 3 Uninstaller.exe
[2010.04.05 19:57:43 | 000,000,581 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\Dungeon Keeper 2.lnk
[2010.04.05 18:01:16 | 000,000,547 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\ArtMoney SE v7.32.lnk
[2010.04.05 17:44:23 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Dokumente\PCD604.L!C
[2010.04.05 17:44:20 | 000,053,760 | ---- | C] () -- C:\WINDOWS.0\System32\drivers\SSHDRV76.sys
[2010.04.05 15:21:20 | 000,000,661 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\King Arthur.lnk
[2010.04.05 00:32:46 | 000,000,891 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\ANNO 1404 - Venedig.lnk
[2010.04.05 00:17:26 | 000,000,867 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\ANNO 1404.lnk
[2010.04.04 17:07:32 | 000,001,852 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\SPYWAREfighter.lnk
[2010.04.04 15:13:28 | 000,000,651 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit Dungeon Keeper 2.lnk
[2010.04.04 15:12:59 | 000,000,636 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit Pryson Tycoon.lnk
[2010.04.04 15:12:28 | 000,000,656 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit Schwimmbad Tycoon.lnk
[2010.04.04 15:11:58 | 000,000,691 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit Airline Tycoon Evolution.lnk
[2010.04.04 14:31:54 | 000,004,096 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Dokumente\00001497.LCS
[2010.04.04 00:24:38 | 000,000,753 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Snes9x - Version 1.39 (2).lnk
[2010.04.03 23:17:19 | 000,000,631 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit Die Pizzeria.lnk
[2010.04.03 23:06:02 | 000,001,047 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit www.torrent.to...HANDBALL.SIMULATOR.2010.EUROPEAN.TOURNAMENT.GERMAN-POSTMORTEM.lnk
[2010.04.03 14:16:41 | 000,000,608 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Age of Alexander.lnk
[2010.04.03 13:33:37 | 000,001,559 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Desktop\DAEMON Tools Pro.lnk
[2010.04.03 02:04:16 | 000,000,613 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit BioWare.lnk
[2010.04.03 02:03:59 | 000,000,755 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit www.bitreactor.to_Dragon_Age_Origins.lnk
[2010.04.03 01:09:30 | 000,000,738 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Desktop\Verknüpfung mit Mfatigue.lnk
[2010.03.14 23:12:05 | 000,230,752 | R--- | C] () -- C:\WINDOWS.0\patchw32.dll
[2010.03.14 23:12:05 | 000,118,176 | R--- | C] () -- C:\WINDOWS.0\patchw.dll
[2010.03.11 13:15:53 | 000,010,264 | ---- | C] () -- C:\WINDOWS.0\System32\drivers\avfsfilter.sys
[2010.01.20 19:43:07 | 000,004,906 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\FilterData.dat
[2009.12.09 17:41:18 | 000,000,069 | R--- | C] () -- C:\WINDOWS.0\NeroDigital.ini
[2009.12.09 12:56:30 | 000,000,188 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\default.rss
[2009.12.01 23:56:01 | 000,281,760 | ---- | C] () -- C:\WINDOWS.0\System32\drivers\atksgt.sys
[2009.12.01 23:56:00 | 000,025,888 | ---- | C] () -- C:\WINDOWS.0\System32\drivers\lirsgt.sys
[2009.11.24 15:19:17 | 000,000,060 | R--- | C] () -- C:\WINDOWS.0\Sierra.ini
[2009.11.24 00:53:17 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009.11.04 21:55:35 | 000,691,696 | ---- | C] () -- C:\WINDOWS.0\System32\drivers\sptd.sys
[2009.08.14 14:27:35 | 000,175,104 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.07.18 09:10:51 | 000,000,373 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\settings.Conf
[2009.05.16 12:07:00 | 000,354,816 | ---- | C] () -- C:\WINDOWS.0\System32\psisdecd.dll
[2009.04.20 17:53:43 | 000,076,407 | ---- | C] () -- C:\Dokumente und Einstellungen\daniel\Anwendungsdaten\Smiley.ico
[2009.04.15 04:29:31 | 000,001,024 | -H-- | C] () -- C:\Dokumente und Einstellungen\daniel\ntuser.dat.LOG
[2009.04.15 04:29:31 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\daniel\ntuser.ini
[2009.04.15 04:29:30 | 006,553,600 | -H-- | C] () -- C:\Dokumente und Einstellungen\daniel\NTUSER.DAT
[2009.03.28 00:03:00 | 001,724,416 | ---- | C] () -- C:\WINDOWS.0\System32\nvwdmcpl.dll
[2009.03.28 00:03:00 | 001,503,232 | ---- | C] () -- C:\WINDOWS.0\System32\nview.dll
[2009.03.28 00:03:00 | 001,101,824 | ---- | C] () -- C:\WINDOWS.0\System32\nvwimg.dll
[2009.03.28 00:03:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS.0\System32\nvshell.dll
[2008.10.07 23:13:30 | 000,197,912 | ---- | C] () -- C:\WINDOWS.0\System32\physxcudart_20.dll
[2008.10.07 23:13:22 | 000,058,648 | ---- | C] () -- C:\WINDOWS.0\System32\AgCPanelTraditionalChinese.dll
[2008.10.07 23:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS.0\System32\AgCPanelSwedish.dll
[2008.10.07 23:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS.0\System32\AgCPanelSpanish.dll
[2008.10.07 23:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS.0\System32\AgCPanelSimplifiedChinese.dll
[2008.10.07 23:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS.0\System32\AgCPanelPortugese.dll
[2008.10.07 23:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS.0\System32\AgCPanelKorean.dll
[2008.10.07 23:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS.0\System32\AgCPanelJapanese.dll
[2008.10.07 23:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS.0\System32\AgCPanelGerman.dll
[2008.10.07 23:13:20 | 000,058,648 | ---- | C] () -- C:\WINDOWS.0\System32\AgCPanelFrench.dll
[1997.11.17 18:13:16 | 000,010,240 | ---- | C] () -- C:\WINDOWS.0\System32\vidx16.dll
< End of report >



**********************************************************
**********************************************************

2. EXTRAS


OTL Extras logfile created on: 07.04.2010 15:34:57 - Run 1
OTL by OldTimer - Version 3.2.1.0 Folder = C:\Dokumente und Einstellungen\daniel\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 80,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 89,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS.0 | %ProgramFiles% = C:\Programme
Drive C: | 37,19 Gb Total Space | 1,23 Gb Free Space | 3,30% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 648,38 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive F: | 661,39 Gb Total Space | 203,55 Gb Free Space | 30,78% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: DANIEL-JATRAUNI
Current User Name: daniel
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "F:\Programme\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "F:\Programme\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Directory [scan_with_SPYWAREfighter] -- F:\Programme\Spyware Fighter\Fighters\SPYWAREfighter\swproTray.exe /scan "%1" (SPAMfighter)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"3724:TCP" = 3724:TCP:*:Enabled:Blizzard Downloader: 3724
"56856:TCP" = 56856:TCP:*:Enabled:Pando Media Booster
"56856:UDP" = 56856:UDP:*:Enabled:Pando Media Booster

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\BearShare Applications\BearShare\BearShare.exe" = C:\Programme\BearShare Applications\BearShare\BearShare.exe:*:Enabled:BearShare -- (MusicLab, LLC)
"C:\Programme\World of Warcraft\Launcher.exe" = C:\Programme\World of Warcraft\Launcher.exe:*:Enabled:Blizzard Launcher -- (Blizzard Entertainment)
"C:\Programme\World of Warcraft\BackgroundDownloader.exe" = C:\Programme\World of Warcraft\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"C:\Programme\World of Warcraft\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe" = C:\Programme\World of Warcraft\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"C:\Programme\Vuze\Azureus.exe" = C:\Programme\Vuze\Azureus.exe:*:Enabled:Azureus -- File not found
"C:\Programme\TuneUpMedia\TuneUpApp.exe" = C:\Programme\TuneUpMedia\TuneUpApp.exe:*:Enabled:TuneUpApp -- ()
"C:\Programme\Mozilla Firefox\firefox.exe" = C:\Programme\Mozilla Firefox\firefox.exe:*:Enabled:Firefox -- (Mozilla Corporation)
"C:\Programme\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe" = C:\Programme\World of Warcraft\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"C:\Programme\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe" = C:\Programme\World of Warcraft\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"C:\Programme\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe" = C:\Programme\World of Warcraft\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"F:\Programme\Starcraft\StarCraft.exe" = F:\Programme\Starcraft\StarCraft.exe:*:Enabled:Starcraft -- (Blizzard Entertainment)
"F:\Programme\World of Warcraft Public Test\WoW-0.3.0.10522-deDE-ptr-downloader.exe" = F:\Programme\World of Warcraft Public Test\WoW-0.3.0.10522-deDE-ptr-downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"F:\Programme\World of Warcraft Public Test\WoW-0.3.0.10522-to-0.3.0.10554-deDE-ptr-downloader.exe" = F:\Programme\World of Warcraft Public Test\WoW-0.3.0.10522-to-0.3.0.10554-deDE-ptr-downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"F:\Programme\World of Warcraft Public Test\Launcher.exe" = F:\Programme\World of Warcraft Public Test\Launcher.exe:*:Enabled:Blizzard Launcher -- (Blizzard Entertainment)
"F:\Programme\World of Warcraft Public Test\WoW-0.3.0.10554-to-0.3.0.10571-deDE-ptr-downloader.exe" = F:\Programme\World of Warcraft Public Test\WoW-0.3.0.10554-to-0.3.0.10571-deDE-ptr-downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"F:\Programme\World of Warcraft Public Test\WoW-0.3.0.10571-to-0.3.0.10596-deDE-ptr-downloader.exe" = F:\Programme\World of Warcraft Public Test\WoW-0.3.0.10571-to-0.3.0.10596-deDE-ptr-downloader.exe:*:Enabled:Blizzard Downloader -- (Blizzard Entertainment)
"C:\Programme\BitTorrent\bittorrent.exe" = C:\Programme\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent -- (BitTorrent, Inc.)
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"F:\Programme\Filme\F Spiele Sammlung\Prototyp !!!\prototypef.exe" = F:\Programme\Filme\F Spiele Sammlung\Prototyp !!!\prototypef.exe:*:Enabled:Prototype(TM) -- (Activision)
"C:\WINDOWS.0\system32\dpvsetup.exe" = C:\WINDOWS.0\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Dokumente und Einstellungen\daniel\Desktop\Teamspeak 3\teamspeak3-server_win32\ts3server_win32.exe" = C:\Dokumente und Einstellungen\daniel\Desktop\Teamspeak 3\teamspeak3-server_win32\ts3server_win32.exe:*:Enabled:TeamSpeak 3 Server -- File not found
"F:\Programme\Electronic Arts\Die Schlacht um Mittelerde II\game.dat" = F:\Programme\Electronic Arts\Die Schlacht um Mittelerde II\game.dat:*:Enabled:Die Schlacht um Mittelerde™ II -- (Electronic Arts Inc.)
"F:\Programme\Electronic Arts\Die Schlacht um Mittelerde II\patchget.dat" = F:\Programme\Electronic Arts\Die Schlacht um Mittelerde II\patchget.dat:*:Enabled:patchgrabber -- (Electronic Arts)
"C:\Dokumente und Einstellungen\daniel\Desktop\Metal Fatigue !!!\metfatigue\Mfatigue.exe" = C:\Dokumente und Einstellungen\daniel\Desktop\Metal Fatigue !!!\metfatigue\Mfatigue.exe:*:Enabled:Mfatigue -- File not found
"F:\Programme\LOTR\Belagerung des Düsterwalds\lotroclient.exe" = F:\Programme\LOTR\Belagerung des Düsterwalds\lotroclient.exe:*:Enabled:lotroclient -- (Turbine, Inc.)
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
"C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Apps\2.0\7EC7XXZR.LM8\G4Q1LRBP.BR3\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\CurseClient.exe" = C:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Apps\2.0\7EC7XXZR.LM8\G4Q1LRBP.BR3\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\CurseClient.exe:*:Enabled:Curse Client 4.0 -- (Curse)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0513EE35-E0FB-4166-B663-BD1AE3A803DE}" = Anno 1404
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{07287123-B8AC-41CE-8346-3D777245C35B}" = Bonjour
"{1C4551A6-4743-4093-91E4-1477CD655043}" = NVIDIA PhysX
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java(TM) 6 Update 19
"{2A9F95AB-65A3-432c-8631-B8BC5BF7477A}" = Die Schlacht um Mittelerde™ II
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3AC54383-31D1-4907-961B-B12CBB1D0AE8}" = MobileMe Control Panel
"{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}" = ANNO 1404
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5A7D2B13-9522-48A9-A06F-A9C4AA33D8AD}" = SPYWAREfighter
"{655B9514-3963-490B-9EE1-431E80444889}" = Razer Tarantula
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{7148F0A8-6813-11D6-A77B-00B0D0142000}" = Java 2 Runtime Environment, SE v1.4.2
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8B56D56B-9F06-4B02-AD8A-47FE772F78C9}_is1" = AeroSnap 0.52.1
"{9322A850-9091-4D0E-B252-3E82EDA3D94A}" = Prototype(TM)
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A07B2C21-863B-47AB-AE7E-20BB00BD7D33}" = ANNO 1404 - Venedig
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}" = QuickTime
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}" = Apple Mobile Device Support
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3 - Deutsch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{C9FB868B-2086-4EE2-BD4F-BFBA36B131F4}" = NCsoft Launcher
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CBCD1FF1-6127-41A5-ABF3-D8C494E59094}" = SA31xx Device Manager & Media Converter
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CE36800-BA90-4861-B05D-0B65A87EF8D9}_is1" = Chronostorm
"{D0B3089C-EBDA-436C-9043-4FC23DE47DE7}" = Aion
"{D1A74FBB-CA8D-4CCA-9B89-BAAA436DB178}" = iTunes
"{D6E4E5D6-7693-4BB4-95BA-21F38FAFEE90}" = Safari
"{E572B060-C98B-4984-A48E-E4FA56265903}" = SA31xx Device Manager & Media Converter
"{E63E34A7-E552-412B-9E40-FD6FC5227ABA}_is1" = Uniblue RegistryBooster
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EB1B8449-CD8F-485B-ADB6-02FBCFE180D3}" = Razer DeathAdder(TM) Mouse
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{FEDC23D8-263C-4BA8-AFF3-2526225630BF}" = Premier Manager 10
"13860389BCE916343D6A5C65169C6F0C6BF6E3EA" = Windows Driver Package - Cypress (CyUsb) USB
"15 Days" = 15 Days
"4f6dcc3b-179d-4b1b-80f0-b6083a0b3ce6_is1" = Der Herr der Ringe Online: Die Belagerung des Düsterwalds v03.0
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"ArtMoney SE_is1" = ArtMoney SE v7.32
"Ask Toolbar_is1" = Vuze Toolbar
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVS Update Manager_is1" = AVS Update Manager 1.0
"AVS4YOU Software Navigator_is1" = AVS4YOU Software Navigator 1.3
"AVS4YOU Video Converter 6_is1" = AVS Video Converter 6
"BearShare" = BearShare
"BearShare MediaBar" = MediaBar 2.0
"BitTorrent" = BitTorrent
"CCleaner" = CCleaner
"DA73216D935E3CBA996AFD6E6513ECC587E0C3C1" = Windows Driver Package - Razer (HidUsb) HIDClass (02/02/2007 1.0.5.0)
"DAEMON Tools Toolbar" = DAEMON Tools Toolbar
"Der IQ-Test" = Der IQ-Test
"Dungeon Keeper II" = Dungeon Keeper 2
"Emperor" = Emperor - Schlacht um Dune
"Final Fantasy VII" = Final Fantasy VII
"Handball Manager 2010 " = Handball Manager 2010
"Handball-Simulator: European Tournament 2010" = Handball-Simulator: European Tournament 2010
"HijackThis" = HijackThis 2.0.2
"ie8" = Windows Internet Explorer 8
"InstallShield_{9322A850-9091-4D0E-B252-3E82EDA3D94A}" = Prototype(TM)
"King Arthur_is1" = King Arthur
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1 (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.5.8)" = Mozilla Firefox (3.5.8)
"NVIDIA Drivers" = NVIDIA Drivers
"Prison Tycoon 3" = Prison Tycoon 3
"ProtectDisc Driver 11" = ProtectDisc Driver, Version 11
"Silverfall" = Silverfall - Wächter der Elemente
"Snes9x" = Snes9x
"Softonic_VLC_DE Toolbar" = Softonic_VLC_DE Toolbar
"Sparta II" = Age of Alexander
"SPYWAREfighter" = SPYWAREfighter
"Starcraft" = Starcraft
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"TS Admin-Client 2_is1" = TS Admin-Client 2.2.3-alpha [Build: 1485]
"TuneUpMedia" = TuneUp Companion 1.5.10
"VLC media player" = VLC media player 1.0.3
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"WOLAPI" = Gemeinsam genutzte Internet-Komponenten von Westwood
"World of Warcraft" = World of Warcraft
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"090215de958f1060" = Curse Client
"Move Media Player" = Move Media Player
"NCsoft-AionEU" = Aion
"Warcraft III" = Warcraft III

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 05.04.2010 13:59:25 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung 7zG.exe, Version 4.65.0.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 05.04.2010 13:59:25 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung 7zG.exe, Version 4.65.0.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 05.04.2010 16:14:54 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x4ebb83bd.

Error - 05.04.2010 16:34:26 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung Snes9XW.exe, Version 1.30.0.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 06.04.2010 13:04:52 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung dkii.exe, Version 0.0.0.0, fehlgeschlagenes
Modul dkii.exe, Version 0.0.0.0, Fehleradresse 0x00006b32.

Error - 06.04.2010 14:39:43 | Computer Name = *** | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung war3_install.exe, Version 1.5.0.0, fehlgeschlagenes
Modul war3_install.exe, Version 1.5.0.0, Fehleradresse 0x0000e61c.

Error - 06.04.2010 16:32:49 | Computer Name = *** | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während
der internen Verarbeitung erkannt. HRESULT war 800706BF von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor

Error - 06.04.2010 19:42:41 | Computer Name = *** | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3685, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 06.04.2010 19:42:47 | Computer Name = *** | Source = Application Hang | ID = 1001
Description = Fehlerhafter Speicherbereich 1694679004.

Error - 07.04.2010 02:48:21 | Computer Name = *** | Source = ESENT | ID = 490
Description = svchost (1120) Versuch, Datei "C:\WINDOWS.0\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.

[ System Events ]
Error - 28.02.2010 19:47:02 | Computer Name = *** | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 28.02.2010 19:47:06 | Computer Name = *** | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 28.02.2010 19:47:10 | Computer Name = *** | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 28.02.2010 19:47:15 | Computer Name = *** | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 28.02.2010 19:47:19 | Computer Name = *** | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 14.03.2010 16:16:17 | Computer Name = *** | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 14.03.2010 16:16:21 | Computer Name = *** | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 14.03.2010 16:16:25 | Computer Name = *** | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 14.03.2010 16:16:30 | Computer Name = *** | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.

Error - 14.03.2010 16:16:34 | Computer Name = *** | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.


< End of report >


lg Badabus

Chris4You 07.04.2010 19:01
Hi,

folgende Files bei Virustotal prüfen, eines davon kann ein Rootkit sein ...
Code:
C:\WINDOWS.0\System32\drivers\SSHDRV76.sys
C:\WINDOWS.0\System32\drivers\RKHit.sy
Du hast Torrentclients installiert, Bearshare und die Askbar. Die letzten beiden entfernen, die sind nicht ganz, äh, "sauber"...

Das gleiche gilt für den Spywarefighter...

Die Auswertung der Datei "SIntfNT.dll" hat mich nicht überzeugt, Avira hatte schonmal deswegen einen Fehlalarm, daher die Datei aus der Quarantäne zu Avira schicken und Ergebniss abwarten!
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
Code:
:OTL
SRV - (ASKUpgrade) -- C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe ()
SRV - (ASKService) -- C:\Programme\AskBarDis\bar\bin\AskService.exe ()
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = dword:0x00
:Commands
[emptytemp]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Lade dir Lop S&D (http://eric.71.mespages.googlepages.com/LopSD.exe) herunter.

Führe Lop S&D.exe per Doppelklick aus.
Bei Vista und Win7 bitte unter Admin-Rechten ausführen!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

chris

Badabus 07.04.2010 20:41
Soll ich alle Torrent files die ich mal geladen hab löschen?

Und soll ich gleich alle bearshare sachen also musik usw. auch entfernen?

Wäre lieb wenn du mir das noch beantworten könntest. Find das soooo lieb das du mir so mit Rat und Tat zur Seite stehst. So einen fehler mach ich sicher nimma...

Hätte auch die Gmer daten soll ich die noch posten?

Vielen dank nochmal

Lg Badabus

Badabus 07.04.2010 20:51
Hab die durchlaufen lassen ist das auch ein Rootkit das rote?

Datei SSHDRV76.sys empfangen 2010.04.07 19:44:04 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/39 (2.57%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.07 -
AhnLab-V3 5.0.0.2 2010.04.07 -
AntiVir 7.10.6.41 2010.04.07 -
Antiy-AVL 2.0.3.7 2010.04.07 -
Authentium 5.2.0.5 2010.04.07 -
Avast 4.8.1351.0 2010.04.07 -
Avast5 5.0.332.0 2010.04.07 -
AVG 9.0.0.787 2010.04.07 -
BitDefender 7.2 2010.04.07 -
CAT-QuickHeal 10.00 2010.04.07 -
ClamAV 0.96.0.3-git 2010.04.07 -
Comodo 4532 2010.04.07 Heur.Pck.PKLITE32
DrWeb 5.0.2.03300 2010.04.07 -
eSafe 7.0.17.0 2010.04.07 -
eTrust-Vet 35.2.7413 2010.04.07 -
F-Prot 4.5.1.85 2010.04.07 -
F-Secure 9.0.15370.0 2010.04.07 -
Fortinet 4.0.14.0 2010.04.07 -
GData 19 2010.04.07 -
Ikarus T3.1.1.80.0 2010.04.07 -
Jiangmin 13.0.900 2010.04.07 -
Kaspersky 7.0.0.125 2010.04.07 -
McAfee-GW-Edition 6.8.5 2010.04.07 -
Microsoft 1.5605 2010.04.07 -
NOD32 5008 2010.04.07 -
Norman 6.04.11 2010.04.07 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.07 -
PCTools 7.0.3.5 2010.04.07 -
Prevx 3.0 2010.04.07 -
Rising 22.42.02.03 2010.04.07 -
Sophos 4.52.0 2010.04.07 -
Sunbelt 6148 2010.04.07 -
Symantec 20091.2.0.41 2010.04.07 -
TheHacker 6.5.2.0.257 2010.04.07 -
TrendMicro 9.120.0.1004 2010.04.07 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.7.2265 2010.04.07 -
VirusBuster 5.0.27.0 2010.04.07 -
weitere Informationen
File size: 53760 bytes
MD5...: ef3504dd32e2ea222be0cbc9a0895f89
SHA1..: 045ca007add445fffae37e589e645888c5815948
SHA256: 3d24631effcb4567478bea863d3f8bd280b1771c471cca3a16beed510bb622da
ssdeep: 1536:LYK3kJkKaN3bTc6yCcZVa3iv7s0CzkJfY:LYK0Gv3bIhCLO7s0P
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1f000
timedatestamp.....: 0x405efc45 (Mon Mar 22 14:46:29 2004)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x16204 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x18000 0x244 0x400 2.73 cae18fec52655a527375e290f8798fb2
.data 0x19000 0x92c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
INIT 0x1a000 0x48e 0x600 4.51 d73e9f6e71d3c4bfb51ec6fd653602d2
.rsrc 0x1b000 0x410 0x600 2.49 721fe6ef9087d949e566e42bba317ae1
.delete 0x1c000 0x28a4 0x200 6.33 fb852b060e7eee549a9354d35902257a
.pklstb 0x1f000 0xfa00 0xba00 7.85 83cefe929d4d974f05c65a08cf9620d0
.relo2 0x2f000 0x86 0x200 1.89 f5de1c72a0b183a58829006e2cafe71d

( 1 imports )
> ntoskrnl.exe: ZwCreateFile, ZwQuerySystemInformation, IoCreateDevice, ObfDereferenceObject, KeSetEvent, IofCompleteRequest, IoCreateSymbolicLink, IoDeleteDevice, IoDeleteSymbolicLink, PsGetCurrentProcessId, KeSetAffinityThread, RtlInitUnicodeString, IoGetDeviceObjectPointer, IoFreeIrp, IoGetAttachedDevice, RtlFreeUnicodeString, KeInitializeEvent, IoBuildSynchronousFsdRequest, KeWaitForSingleObject, ExAllocatePool, IoAllocateIrp, IofCallDriver, MmUnlockPages, IoFreeMdl, ExFreePool, RtlAnsiStringToUnicodeString, RtlInitString, KeNumberProcessors, memmove, ExReleaseResourceLite, IoDetachDevice, ExAcquireResourceExclusiveLite, KdDebuggerEnabled, toupper, strrchr, ExAllocatePoolWithTag, _except_handler3, KeGetCurrentThread, ExDeleteResourceLite, IoAttachDeviceByPointer, IoGetRelatedDeviceObject, ZwClose, ObReferenceObjectByHandle, tolower, ExInitializeResourceLite

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: n/a
copyright....: Copyright (C) 2004 Pinnacle Systems GmbH, Dipl. Inform. Henrik Nordhaus
product......: ProtectCD
description..: ProtectCD Copyprotection Helper I/O Driver for Accounts with limited Access Rights
original name: nthwio.sys
internal name: Hardware I/O Control Driver
file version.: 76, 0, 0, 1042
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PKLite32
packers (F-Prot): PKLite32

********************************************************************************************************************

2. DATEI:

Datei RKHit.sys empfangen 2010.04.07 19:49:25 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/39 (7.7%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.07 Adware.Win32.SpywareCease!A2
AhnLab-V3 5.0.0.2 2010.04.07 -
AntiVir 7.10.6.41 2010.04.07 -
Antiy-AVL 2.0.3.7 2010.04.07 -
Authentium 5.2.0.5 2010.04.07 -
Avast 4.8.1351.0 2010.04.07 -
Avast5 5.0.332.0 2010.04.07 -
AVG 9.0.0.787 2010.04.07 -
BitDefender 7.2 2010.04.07 -
CAT-QuickHeal 10.00 2010.04.07 -
ClamAV 0.96.0.3-git 2010.04.07 -
Comodo 4532 2010.04.07 -
DrWeb 5.0.2.03300 2010.04.07 -
eSafe 7.0.17.0 2010.04.07 -
eTrust-Vet 35.2.7413 2010.04.07 -
F-Prot 4.5.1.85 2010.04.07 -
F-Secure 9.0.15370.0 2010.04.07 -
Fortinet 4.0.14.0 2010.04.07 -
GData 19 2010.04.07 -
Ikarus T3.1.1.80.0 2010.04.07 -
Jiangmin 13.0.900 2010.04.07 -
Kaspersky 7.0.0.125 2010.04.07 -
McAfee-GW-Edition 6.8.5 2010.04.07 -
Microsoft 1.5605 2010.04.07 -
NOD32 5008 2010.04.07 Win32/Adware.SpywareCease
Norman 6.04.11 2010.04.07 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.07 -
PCTools 7.0.3.5 2010.04.07 -
Prevx 3.0 2010.04.07 -
Rising 22.42.02.03 2010.04.07 RootKit.Win32.Agent.GEN
Sophos 4.52.0 2010.04.07 -
Sunbelt 6148 2010.04.07 -
Symantec 20091.2.0.41 2010.04.07 -
TheHacker 6.5.2.0.257 2010.04.07 -
TrendMicro 9.120.0.1004 2010.04.07 -
VBA32 3.12.12.4 2010.04.05 -
ViRobot 2010.4.7.2265 2010.04.07 -
VirusBuster 5.0.27.0 2010.04.07 -
weitere Informationen
File size: 34736 bytes
MD5...: cbd3a6fd0cc383fc506371ebe1a1f266
SHA1..: ae30c1ea9bbdc04975189253e6345fee0063891c
SHA256: 61e5bbe04457d4d15926b8e2a48d38f4015651f2a162959ee08bf1ee6f714df5
ssdeep: 768:wRMSsWThz9w+I2kSjjWbTd2qv3UdwH0mm8wi5aLMbb:0XtntI2kSjjWbTdHv
kug8wkakb
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6285
timedatestamp.....: 0x4a531824 (Tue Jul 07 09:40:52 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0x49d0 0x4a00 6.29 c44083d559bd2f5ea2ee8953a47ec3d1
.rdata 0x4e80 0x2e4 0x300 3.83 0d2d551e8086a103dc42d6b30ace8689
.data 0x5180 0x1090 0x1100 0.01 15800a9c230a2a86476577d9a2d48c09
INIT 0x6280 0x998 0xa00 5.27 7273809c11df1ac13647336bd0ce333d
.reloc 0x6c80 0x592 0x600 5.96 1a260ce650d7302cc1057718e115d76a

( 2 imports )
> ntoskrnl.exe: _except_handler3, MmUnlockPages, ObfDereferenceObject, KeUnstackDetachProcess, KeStackAttachProcess, PsLookupProcessByProcessId, MmIsAddressValid, KeInitializeSpinLock, ObReferenceObjectByName, IoDriverObjectType, RtlInitUnicodeString, ExFreePool, _stricmp, strrchr, ExAllocatePoolWithTag, ZwQuerySystemInformation, IoFileObjectType, ZwClose, ObReferenceObjectByHandle, ZwOpenKey, PsProcessType, IoDeviceObjectType, MmSectionObjectType, ZwUnmapViewOfSection, ZwMapViewOfSection, ZwCreateSection, ZwOpenFile, RtlImageDirectoryEntryToData, NtBuildNumber, RtlAppendUnicodeStringToString, RtlVolumeDeviceToDosName, IoCreateFile, wcscpy, ProbeForRead, IoGetCurrentProcess, KeGetCurrentThread, KeServiceDescriptorTable, ObQueryNameString, ObReferenceObjectByPointer, ZwQueryInformationProcess, ObOpenObjectByPointer, PsGetVersion, IoAllocateMdl, ObfReferenceObject, PsLookupThreadByThreadId, IoThreadToProcess, NtGlobalFlag, PsThreadType, IofCallDriver, ZwOpenDirectoryObject, MmGetVirtualForPhysical, MmGetPhysicalAddress, MmSystemRangeStart, IoFreeIrp, KeSetEvent, KeWaitForSingleObject, MmBuildMdlForNonPagedPool, IoAllocateIrp, IoGetBaseFileSystemDeviceObject, KeInitializeEvent, IoGetDeviceObjectPointer, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, swprintf, IoGetConfigurationInformation, ZwTerminateProcess, PsGetCurrentProcessId, KeInsertQueueApc, KeInitializeApc, KeClearEvent, ExfInterlockedInsertTailList, ExfInterlockedRemoveHeadList, wcsstr, _wcsupr, IoCreateSynchronizationEvent, MmGetSystemRoutineAddress, ZwOpenEvent, IoDeleteDevice, RtlInitAnsiString, IofCompleteRequest, IoCreateSymbolicLink, IoCreateDevice, KeTickCount, KeBugCheckEx, MmProbeAndLockPages, MmMapLockedPagesSpecifyCache, MmUserProbeAddress, IoFreeMdl
> HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, KeStallExecutionProcessor

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (51.1%)
Win16/32 Executable Delphi generic (12.4%)
Clipper DOS Executable (12.1%)
Generic Win/DOS Executable (12.0%)
DOS Executable Generic (12.0%)
packers (Kaspersky): PE_Patch
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: Qiwang Computer
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 4:20 AM 7/8/2009
verified.....: -

********************************************************************************************************************

Soll ich beide Dateien löschen oder nur die 2 Datei?

Vielen dank nochmal tut mir leid, dass ich dauernd frag aber hab angst das ich was falsch mache... ;)

Lg Badabus

Badabus 07.04.2010 21:19
So hier nun die gefixte OTL datei.


All processes killed
========== OTL ==========
Error: No service named ASKUpgrade was found to stop!
Service\Driver key ASKUpgrade not found.
File C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe not found.
Error: No service named ASKService was found to stop!
Service\Driver key ASKService not found.
File C:\Programme\AskBarDis\bar\bin\AskService.exe not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}\ not found.
File C:\Programme\AskBarDis\bar\bin\askBar.dll not found.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirstRunDisabled" | dword:0x00 /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 1150156 bytes
->Temporary Internet Files folder emptied: 75807461 bytes
->Flash cache emptied: 405 bytes

User: All Users

User: All Users.WINDOWS.0

User: daniel
->Temp folder emptied: 2321798005 bytes
->Temporary Internet Files folder emptied: 82054 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 45915949 bytes
->Flash cache emptied: 3845330 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User.WINDOWS.0
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 377708 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 44933676 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 6711687 bytes
%systemroot%\System32\dllcache .tmp files removed: 205312 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 982247 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 2.388,00 mb


OTL by OldTimer - Version 3.2.1.0 log created on 04072010_221123

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...



Askbar + bearshare + bittorrent hab ich gelöscht frage nur solll ich wie schon geschrieben die ganzen sachen die ich mal downgeloaded hab auch noch löschen? oder sind die jetzt sicher?

Vielen dank für deinen Einsatz und hilfe. Werde jetzt noch den letzten punkt auf deiner liste bearbeiten. Und den log dann auch wieder posten. =)

Was würde man bloß ohne so nette hilfsbereite leute wie dich machen. =)
Hätte ich nie so geschafft ohne deine super anleitungen immer =)

Lg badabus

Badabus 07.04.2010 21:30
Hier noch der bericht von LOP:



--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz )
BIOS : BIOS Date: 07/13/07 21:27:16 Ver: 08.00.12
USER : daniel ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:4 Go)
D:\ (CD or DVD)
E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
F:\ (Local Disk) - NTFS - Total:661 Go (Free:236 Go)
G:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 07.04.2010|22:21 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[10.03.2009|15:36] C:\DOKUME~1\ADMINI~1\ANWEND~1\Adobe
[10.03.2009|14:34] C:\DOKUME~1\ADMINI~1\ANWEND~1\Identities
[10.03.2009|14:48] C:\DOKUME~1\ADMINI~1\ANWEND~1\Macromedia
[10.03.2009|16:11] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
[6|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

[10.03.2009|15:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[10.03.2009|16:11] C:\DOKUME~1\ALLUSE~1\ANWEND~1\avg8
[10.03.2009|15:36] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[10.03.2009|15:26] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NOS
[10.03.2009|15:08] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[7|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[06.11.2009|17:27] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[15.08.2009|20:52] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[17.07.2009|12:19] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\16280
[05.05.2009|17:47] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\19251
[31.01.2010|15:31] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Adobe
[15.08.2009|20:50] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Apple
[15.08.2009|20:51] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Apple Computer
[15.08.2009|20:44] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Avira
[06.11.2009|18:00] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\AVS4YOU
[15.08.2009|21:34] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Azureus
[02.01.2010|01:02] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\BioWare
[21.04.2009|12:28] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Blizzard
[20.08.2009|19:24] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Blizzard Entertainment
[04.04.2010|17:37] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\clp
[07.04.2010|21:47] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Common Toolkit Suite
[02.04.2010|18:08] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\DAEMON Tools Lite
[03.04.2010|13:33] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\DAEMON Tools Pro
[18.01.2010|05:39] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Islands
[07.04.2010|02:33] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Malwarebytes
[10.10.2009|11:55] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\McAfee
[08.10.2009|11:55] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\McAfee Security Scan
[24.11.2009|12:02] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Microsoft
[06.04.2010|20:10] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Nero
[03.12.2009|13:57] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Norton
[01.12.2009|13:37] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\NortonInstaller
[14.03.2010|22:31] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\PMB Files
[05.04.2010|00:36] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Solidshield
[07.04.2010|01:19] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Sun
[01.12.2009|21:20] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Symantec
[04.04.2010|23:37] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Tages
[04.04.2010|16:01] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\The Humans
[15.08.2009|21:36] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\TuneUpMedia
[23.04.2009|16:46] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Windows Genuine Advantage
[04.04.2010|18:43] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Z-Software
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Bytes
[36|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1.0\ANWEND~1\Bytes frei

[20.01.2010|18:44] C:\DOKUME~1\daniel\ANWEND~1\.#
[18.07.2009|11:00] C:\DOKUME~1\daniel\ANWEND~1\Acreon
[01.11.2009|18:35] C:\DOKUME~1\daniel\ANWEND~1\Adobe
[06.11.2009|17:33] C:\DOKUME~1\daniel\ANWEND~1\Apple Computer
[06.11.2009|18:00] C:\DOKUME~1\daniel\ANWEND~1\AVS4YOU
[13.11.2009|19:18] C:\DOKUME~1\daniel\ANWEND~1\Azureus
[02.04.2010|18:09] C:\DOKUME~1\daniel\ANWEND~1\DAEMON Tools Lite
[04.11.2009|22:01] C:\DOKUME~1\daniel\ANWEND~1\DAEMON Tools Pro
[22.03.2010|10:39] C:\DOKUME~1\daniel\ANWEND~1\dvdcss
[04.04.2010|17:05] C:\DOKUME~1\daniel\ANWEND~1\Fighters
[16.02.2010|03:11] C:\DOKUME~1\daniel\ANWEND~1\GetRightToGo
[15.04.2009|04:29] C:\DOKUME~1\daniel\ANWEND~1\Identities
[16.05.2009|12:05] C:\DOKUME~1\daniel\ANWEND~1\InstallShield
[19.04.2009|15:29] C:\DOKUME~1\daniel\ANWEND~1\Macromedia
[07.04.2010|02:33] C:\DOKUME~1\daniel\ANWEND~1\Malwarebytes
[09.01.2010|00:41] C:\DOKUME~1\daniel\ANWEND~1\Meine Die Schlacht um Mittelerde™ II-Dateien
[05.11.2009|15:25] C:\DOKUME~1\daniel\ANWEND~1\Microsoft
[02.11.2009|20:33] C:\DOKUME~1\daniel\ANWEND~1\Move Networks
[12.01.2010|21:44] C:\DOKUME~1\daniel\ANWEND~1\Mozilla
[08.12.2009|19:55] C:\DOKUME~1\daniel\ANWEND~1\Nero
[04.04.2010|14:31] C:\DOKUME~1\daniel\ANWEND~1\ProtectDisc
[24.10.2009|12:21] C:\DOKUME~1\daniel\ANWEND~1\Sun
[12.03.2010|21:14] C:\DOKUME~1\daniel\ANWEND~1\teamspeak2
[02.04.2010|23:49] C:\DOKUME~1\daniel\ANWEND~1\TuneUpMedia
[16.02.2010|09:31] C:\DOKUME~1\daniel\ANWEND~1\Turbine
[06.04.2010|21:57] C:\DOKUME~1\daniel\ANWEND~1\Uniblue
[16.08.2009|15:52] C:\DOKUME~1\daniel\ANWEND~1\uTorrent
[06.04.2010|16:35] C:\DOKUME~1\daniel\ANWEND~1\vlc
[06.11.2009|18:11] C:\DOKUME~1\daniel\ANWEND~1\WinRAR
[04.04.2010|18:44] C:\DOKUME~1\daniel\ANWEND~1\Z-Software
[0|Datei(en)] C:\DOKUME~1\daniel\ANWEND~1\Bytes
[32|Verzeichnis(se),] C:\DOKUME~1\daniel\ANWEND~1\Bytes frei

[10.03.2009|13:58] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[18.05.2009|03:00] C:\DOKUME~1\DEFAUL~1.0\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1.0\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1.0\ANWEND~1\Bytes frei

[10.03.2009|14:52] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[24.10.2009|12:30] C:\DOKUME~1\LOCALS~1.NT-\ANWEND~1\Adobe
[05.11.2009|15:25] C:\DOKUME~1\LOCALS~1.NT-\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1.NT-\ANWEND~1\Bytes
[4|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1.NT-\ANWEND~1\Bytes frei

[10.03.2009|14:52] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

[05.11.2009|15:25] C:\DOKUME~1\NETWOR~1.NT-\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1.NT-\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1.NT-\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS.0\Tasks

[07.04.2010 08:47][--a------] C:\WINDOWS.0\tasks\Registry Winner Schedule.job
[16.02.2010 08:25][--a------] C:\WINDOWS.0\tasks\AppleSoftwareUpdate.job
[07.04.2010 22:13][--ah-----] C:\WINDOWS.0\tasks\SA.DAT
[18.08.2001 16:00][-r-h-----] C:\WINDOWS.0\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[31.03.2010|13:10] C:\Programme\7-Zip
[10.03.2009|15:06] C:\Programme\Adobe
[15.08.2009|20:41] C:\Programme\AeroSnap BETA
[02.01.2010|00:16] C:\Programme\AGEIA Technologies
[19.04.2009|15:13] C:\Programme\Analog Devices
[15.08.2009|20:50] C:\Programme\Apple Software Update
[15.08.2009|20:44] C:\Programme\Avira
[06.11.2009|18:00] C:\Programme\AVS4YOU
[07.04.2010|21:57] C:\Programme\BearShare Applications
[15.08.2009|20:51] C:\Programme\Bonjour
[10.03.2009|13:55] C:\Programme\ComPlus Applications
[06.11.2009|17:46] C:\Programme\Conduit
[03.04.2010|13:33] C:\Programme\DAEMON Tools Pro
[03.04.2010|00:55] C:\Programme\DAEMON Tools Toolbar
[28.08.2009|15:49] C:\Programme\DIFX
[07.04.2010|21:47] C:\Programme\Gemeinsame Dateien
[07.04.2010|21:57] C:\Programme\InstallShield Installation Information
[10.03.2009|14:38] C:\Programme\Intel
[01.04.2010|12:49] C:\Programme\Internet Explorer
[06.11.2009|17:26] C:\Programme\iPod
[06.11.2009|17:27] C:\Programme\iTunes
[24.10.2009|12:21] C:\Programme\Java
[07.04.2010|08:39] C:\Programme\Malwarebytes' Anti-Malware
[02.05.2009|03:02] C:\Programme\Messenger
[10.03.2009|14:08] C:\Programme\microsoft frontpage
[10.03.2009|14:48] C:\Programme\Microsoft Office
[10.03.2009|14:47] C:\Programme\Microsoft Visual Studio
[10.03.2009|14:48] C:\Programme\Microsoft Works
[11.03.2010|03:18] C:\Programme\Movie Maker
[07.04.2010|22:15] C:\Programme\Mozilla Firefox
[01.08.2009|03:23] C:\Programme\MSBuild
[10.03.2009|13:55] C:\Programme\MSN
[10.03.2009|13:54] C:\Programme\MSN Gaming Zone
[28.11.2009|04:00] C:\Programme\MSXML 4.0
[20.01.2010|19:19] C:\Programme\NCsoft
[01.05.2009|11:19] C:\Programme\NetMeeting
[10.03.2009|13:55] C:\Programme\Online Services
[10.03.2009|13:57] C:\Programme\Online-Dienste
[12.08.2009|22:13] C:\Programme\Outlook Express
[14.03.2010|23:05] C:\Programme\Outspark
[14.03.2010|22:30] C:\Programme\Pando Networks
[16.05.2009|12:07] C:\Programme\Philips
[24.11.2009|14:25] C:\Programme\ProtectDisc Driver Installer
[06.11.2009|17:25] C:\Programme\QuickTime
[28.08.2009|15:56] C:\Programme\Razer
[20.04.2009|05:10] C:\Programme\Realtek
[01.08.2009|03:23] C:\Programme\Reference Assemblies
[06.04.2010|22:05] C:\Programme\RegCleaner
[06.04.2010|21:56] C:\Programme\Registry Winner
[16.02.2010|08:41] C:\Programme\Safari
[22.03.2010|13:15] C:\Programme\Softonic_VLC_DE
[03.04.2010|14:14] C:\Programme\Sparta II
[19.04.2009|15:30] C:\Programme\SystemRequirementsLab
[28.12.2009|15:50] C:\Programme\TeamSpeak 3 Client
[19.06.2009|15:46] C:\Programme\Teamspeak2_RC2
[07.04.2010|01:43] C:\Programme\Trend Micro
[05.07.2009|18:20] C:\Programme\TS Admin-Client 2
[13.11.2009|18:49] C:\Programme\TuneUpMedia
[10.03.2009|14:34] C:\Programme\Uninstall Information
[06.11.2009|17:59] C:\Programme\Windows Media Player
[01.05.2009|11:19] C:\Programme\Windows NT
[10.03.2009|14:52] C:\Programme\WindowsUpdate
[06.11.2009|18:11] C:\Programme\WinRAR
[03.04.2010|01:12] C:\Programme\World of Warcraft
[10.03.2009|14:08] C:\Programme\xerox
[0|Datei(en)] C:\Programme\Bytes
[67|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[31.01.2010|15:31] C:\Programme\Gemeinsame Dateien\Adobe
[06.11.2009|17:26] C:\Programme\Gemeinsame Dateien\Apple
[06.11.2009|18:00] C:\Programme\Gemeinsame Dateien\AVSMedia
[01.01.2010|17:35] C:\Programme\Gemeinsame Dateien\BioWare
[01.11.2009|02:27] C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
[10.03.2009|14:48] C:\Programme\Gemeinsame Dateien\DESIGNER
[13.04.2009|01:27] C:\Programme\Gemeinsame Dateien\Dienste
[15.08.2009|21:33] C:\Programme\Gemeinsame Dateien\i4j_jres
[27.11.2009|16:14] C:\Programme\Gemeinsame Dateien\InstallShield
[07.04.2010|01:19] C:\Programme\Gemeinsame Dateien\Java
[10.03.2009|16:11] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[10.03.2009|13:56] C:\Programme\Gemeinsame Dateien\MSSoap
[06.04.2010|20:11] C:\Programme\Gemeinsame Dateien\Nero
[10.03.2009|13:43] C:\Programme\Gemeinsame Dateien\ODBC
[10.03.2009|13:43] C:\Programme\Gemeinsame Dateien\SpeechEngines
[20.01.2010|18:43] C:\Programme\Gemeinsame Dateien\SWF Studio
[01.05.2009|11:19] C:\Programme\Gemeinsame Dateien\System
[05.04.2010|19:59] C:\Programme\Gemeinsame Dateien\Thraex Software
[02.01.2010|00:17] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[21|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 43 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER


--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-07 22:25:41
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen


Kein anderen Infektionen gefunden !

[F:3][D:3]-> C:\DOKUME~1\daniel\LOKALE~1\Temp
[F:1][D:0]-> C:\DOKUME~1\daniel\Cookies
[F:11][D:4]-> C:\DOKUME~1\daniel\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 07.04.2010|22:27 - Option : [1]

--------------------\\ Scan beendet um 22:27:13



Muss ich jetzt noch was beachten. Kann man den entfernen oder wurde er nun entfernt? Wäre lieb wenndu mir da nochmal helfen könntest =)

Danke lg Badabus

Chris4You 08.04.2010 06:26
Hi,

folgende Datei löschen:
C:\WINDOWS.0\System32\drivers\RKHit.sys

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

Badabus 08.04.2010 08:38
Oki ist gelöscht bin gerade in der Arbeit aber gegen 17.30 zuhause dann werd ich den gleich nochmal durchrennen lassen.

Nachdem ich die datei entfernt hab ich kanns noch ned glauben seit dem geht wieder alles ^^. Hab auch ask bar + Bittorrent + Bearshare gelöscht. seit dem Geht er um einiges besser =)
Er findet das cd laufwerk spielt cds ab usw... das war ja gestern garnicht mehr der Fall.

Das du dich da soooo super auskennst echt klasse danke =).

Ohne dich wüsst ich ned was ich machen soll. Vielen dank Chris bist echt ein super netter. =)

lg Badabus =)

Badabus 09.04.2010 08:56
Tut mir echt leid, dass ich gestern den Log nicht mehr posten konnte. Aber bei meiner Razer Tastatur da funktionieren die tasten im Menü nicht. Also ich kann nciht beim Hochfahren auf F8 Drücken um so in den Abgesicherten Modus zu kommen. Wüsste nicht das ich da ohne auch hinkomm?

Ich hol mir die alte Tastatur von meiner Mutter. Damit funktioniert es. Weiß auch nicht warum ich gerade im Menü nichts machen kann aber mit der anderen Tastatur ists immer gegangen. Schließ die dann wenn ich zuhause bin (gegen 14 Uhr) an und lass den scanner durchlaufen.


Hoffe das ich trotzdem noch auf deine Hilfe bauen kann ;)

Bis am nachmittag lg Badabus :huepp:

Badabus 11.04.2010 17:15
Er hat etwas gefunden. Glaub das deshalb mein Compi gesponnen hat...

Aber du bist der Profi *g* was meinst du?

Poste mal Dr.Web-CureIt Report

wurde nur die eine Datei gefunden:


Speichervorgang: C:\WINDOWS.0\system32\svchost.exe:1060;;BackDoor.Tdss.565;Beseitigt.;


Es kamen auch dauernd Avira meldungen das ein Trojaner gefunden wurde der hat sich immer in:

C:WIndows.0\Temp\cgln.Tmp\Svchost.exe
oder
C:Windows.0\Temp\xoqh.tmp\svchost.exe
C:Windows.0\Temp\jutf.tmp\svchost.exe
C:Windows.0\Temp\hkbt.tmp\svchost.exe

Der nennt sich TR/Crypt.ZPACK.Gen

der setzt sich immer in der Temp datei von Windows.0 ab. Immer wenn den avira erkennt lösch ich den. Aber paar min später ist er wieder da. ;(

Kann ich da was machen. Hab gelesen das paar l eute schon dieses Problem hatten aber dabei ging es um SPiele. und bei mir ist es ja doch in der windows.0\Temp datei drinnen.

Dauernd erstellen sich dort ordner. Und in einem ist dann der crypt.ZPACK.Gen drinnen. Hatte die letzten tage echt angst das ich ins Internet gehe...

Kann ich da was machen?

Vielen dank für die HIlfe die ich schon von dir erhalten habe hoffe du kannst mir einen Tipp rat geben. =)

Wäre dir echt dankbar.

Lg Badabus

Chris4You 11.04.2010 19:31
Hi,

okay, dann wollen wir mal:

MAM updaten, CF downloaden und dann offline gehen.

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.

CF-Log sichern und direkt nach dem CF-Lauf (nach dem Reboot) MAM laufen lassen, Log sichern, online gehen und beide Logs posten...

chris

Badabus 11.04.2010 21:58
Hier das CS log:


uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\i6sj8irs.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2365318&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - www.google.at
FF - plugin: c:\dokumente und einstellungen\daniel\Anwendungsdaten\Move Networks\plugins\npqmp071505000010.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - plugin: f:\programme\bin\new_plugin\npdeploytk.dll
FF - plugin: f:\programme\bin\new_plugin\npjp2.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.0\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
AddRemove-HitmanPro35 - c:\programme\Hitman Pro 3.5\HitmanPro35.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-11 21:39
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\dokume~1\daniel\LOKALE~1\Temp\RGI4.tmp 7118 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89907AC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28
\Driver\ACPI -> ACPI.sys @ 0xb9e73cb8
\Driver\atapi -> atapi.sys @ 0xb9e08b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xb9d11bb0
PacketIndicateHandler -> NDIS.sys @ 0xb9d1ea21
SendHandler -> NDIS.sys @ 0xb9cfc87b
user & kernel MBR OK

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'explorer.exe'(2988)
c:\windows.0\system32\webcheck.dll
c:\windows.0\system32\WPDShServiceObj.dll
c:\windows.0\system32\PortableDeviceTypes.dll
c:\windows.0\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
f:\programme\bin\jqs.exe
c:\windows.0\system32\nvsvc32.exe
c:\windows.0\system32\WgaTray.exe
c:\windows.0\system32\wscntfy.exe
c:\windows.0\system32\RUNDLL32.EXE
c:\windows.0\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe
c:\programme\Pando Networks\Media Booster\PMB .exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-11 21:44:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-11 19:44

Vor Suchlauf: 5.141.647.360 Bytes frei
Nach Suchlauf: 5.110.161.408 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 16D5935EA686273FB474A4758B30332A



****************************************************************************************************************************************************** ************************



Und MAM log:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3978

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.04.2010 22:48:00
mbam-log-2010-04-11 (22-48-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|)
Durchsuchte Objekte: 225503
Laufzeit: 1 Stunde(n), 2 Minute(n), 12 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Chris4You 12.04.2010 06:31
Hi,

das CF-log ist nicht vollständig, bitte noch mal posten...
Daemon-Tools deinstallieren und GMER laufen lassen...

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Badabus 12.04.2010 08:15
Tut mir echt leid. Hier nun das CF log hoffe diesmal fehlt nix sorry ;)

ComboFix 10-04-10.02 - daniel 11.04.2010 21:31:18.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3007.2690 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\daniel\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users.WINDOWS.0\Dokumente\Settings
c:\dokumente und einstellungen\daniel\Anwendungsdaten\.#
c:\recycler\S-1-5-21-73586283-1085031214-682003330-500

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_RKHIT


((((((((((((((((((((((( Dateien erstellt von 2010-03-11 bis 2010-04-11 ))))))))))))))))))))))))))))))
.

2010-04-11 16:51 . 2010-04-11 16:54 15944 ----a-w- c:\windows.0\system32\drivers\hitmanpro35.sys
2010-04-11 16:49 . 2010-04-11 18:58 -------- d-----w- c:\programme\Hitman Pro 3.5
2010-04-11 16:49 . 2010-04-11 16:49 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Hitman Pro
2010-04-11 13:28 . 2010-04-11 13:28 -------- d-----w- c:\dokumente und einstellungen\daniel\DoctorWeb
2010-04-08 23:54 . 2010-04-08 23:54 52224 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll
2010-04-08 23:54 . 2010-04-09 15:31 117760 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2010-04-08 23:53 . 2010-04-08 23:53 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\SUPERAntiSpyware.com
2010-04-08 23:53 . 2010-04-11 19:06 -------- d-----w- c:\programme\SUPERAntiSpyware
2010-04-08 23:53 . 2010-04-08 23:53 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\SUPERAntiSpyware.com
2010-04-07 20:20 . 2010-04-07 20:27 -------- d-----w- C:\Lop SD
2010-04-07 20:11 . 2010-04-07 20:11 -------- d-----w- C:\_OTL
2010-04-07 13:19 . 2010-04-07 21:16 51837 ----a-w- c:\windows.0\War3Unin.dat
2010-04-07 13:19 . 2010-04-07 21:15 2829 ----a-w- c:\windows.0\War3Unin.pif
2010-04-07 13:19 . 2010-04-07 21:15 139264 ----a-w- c:\windows.0\War3Unin.exe
2010-04-07 02:00 . 2010-02-12 10:03 293376 ------w- c:\windows.0\system32\browserchoice.exe
2010-04-07 00:33 . 2010-04-07 00:33 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Malwarebytes
2010-04-07 00:33 . 2010-03-29 13:24 38224 ----a-w- c:\windows.0\system32\drivers\mbamswissarmy.sys
2010-04-07 00:33 . 2010-04-07 00:33 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Malwarebytes
2010-04-07 00:32 . 2010-04-07 06:39 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-04-07 00:32 . 2010-03-29 13:24 20824 ----a-w- c:\windows.0\system32\drivers\mbam.sys
2010-04-06 23:43 . 2010-04-06 23:43 -------- d-----w- c:\programme\Trend Micro
2010-04-06 23:19 . 2010-04-06 23:19 61440 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-39738a10-n\decora-sse.dll
2010-04-06 23:19 . 2010-04-06 23:19 503808 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-64d71a2c-n\msvcp71.dll
2010-04-06 23:19 . 2010-04-06 23:19 499712 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-64d71a2c-n\jmc.dll
2010-04-06 23:19 . 2010-04-06 23:19 348160 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-64d71a2c-n\msvcr71.dll
2010-04-06 23:19 . 2010-04-06 23:19 12800 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-39738a10-n\decora-d3d.dll
2010-04-06 23:19 . 2010-04-06 23:18 411368 ----a-w- c:\windows.0\system32\deploytk.dll
2010-04-06 20:00 . 2010-04-06 20:05 -------- d-----w- c:\programme\RegCleaner
2010-04-06 19:57 . 2010-04-06 19:57 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Uniblue
2010-04-05 15:44 . 2010-04-05 15:44 53760 ----a-w- c:\windows.0\system32\drivers\SSHDRV76.sys
2010-04-04 22:36 . 2010-04-04 22:36 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Solidshield
2010-04-04 21:37 . 2010-04-04 21:37 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Tages
2010-04-04 16:44 . 2010-04-04 16:44 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Z-Software
2010-04-04 16:43 . 2010-04-04 16:43 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Z-Software
2010-04-04 15:07 . 2010-04-04 15:37 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\clp
2010-04-04 15:07 . 2010-04-07 19:47 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Common Toolkit Suite
2010-04-04 15:05 . 2010-04-04 15:05 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Fighters
2010-04-04 15:05 . 2010-04-04 15:05 -------- d-----w- c:\dokumente und einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\PackageAware
2010-04-04 14:01 . 2010-04-04 14:01 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\The Humans
2010-04-04 12:31 . 2010-04-04 12:31 3909760 ----a-w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\ProtectDisc\pe17f5f3ba.dll
2010-04-03 22:24 . 2010-04-03 22:23 216064 ----a-r- c:\windows.0\iun3405.exe
2010-04-03 12:14 . 2010-04-03 12:14 -------- d-----w- c:\programme\Sparta II
2010-04-03 11:33 . 2010-04-11 19:06 -------- d-----w- c:\programme\DAEMON Tools Pro
2010-04-03 11:32 . 2010-04-03 11:33 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\DAEMON Tools Pro
2010-04-02 16:08 . 2010-04-02 22:55 -------- d-----w- c:\programme\DAEMON Tools Toolbar
2010-04-02 16:08 . 2010-04-02 16:09 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\DAEMON Tools Lite
2010-04-02 16:07 . 2010-04-02 16:08 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\DAEMON Tools Lite
2010-03-31 11:10 . 2010-03-31 11:10 -------- d-----w- c:\programme\7-Zip
2010-03-14 21:12 . 2010-01-13 15:48 230752 ----a-r- c:\windows.0\patchw32.dll
2010-03-14 21:12 . 2010-01-13 15:48 118176 ----a-r- c:\windows.0\patchw.dll
2010-03-14 21:05 . 2010-03-14 21:05 -------- d-----w- c:\programme\Outspark
2010-03-14 20:31 . 2010-04-11 19:40 -------- d-----w- c:\dokumente und einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\PMB Files
2010-03-14 20:31 . 2010-03-14 20:31 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\PMB Files
2010-03-14 20:30 . 2010-03-14 20:30 -------- d-----w- c:\programme\Pando Networks

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-11 19:09 . 2010-04-11 17:02 112 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\54154G.dat
2010-04-11 19:09 . 2010-04-11 19:09 71170 ----a-w- c:\windows.0\Fonts\5Wpt60QJ.com_
2010-04-11 19:06 . 2009-11-06 15:25 -------- d-----w- c:\programme\QuickTime
2010-04-11 19:06 . 2009-08-15 18:51 -------- d-----w- c:\programme\iTunes
2010-04-08 22:21 . 2009-04-19 13:36 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2010-04-07 19:57 . 2009-03-10 12:36 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-04-07 06:48 . 2009-08-01 01:38 10176 ----a-w- c:\dokumente und einstellungen\daniel\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-04-06 23:19 . 2009-10-24 10:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Java
2010-04-06 18:11 . 2009-12-08 17:28 -------- d-----w- c:\programme\Gemeinsame Dateien\Nero
2010-04-06 18:10 . 2009-12-08 17:28 -------- d-----w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Nero
2010-04-06 14:35 . 2009-11-06 15:46 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\vlc
2010-04-04 21:36 . 2009-12-01 21:56 281760 ----a-w- c:\windows.0\system32\drivers\atksgt.sys
2010-04-04 21:36 . 2009-12-01 21:56 25888 ----a-w- c:\windows.0\system32\drivers\lirsgt.sys
2010-04-04 12:31 . 2009-11-24 12:54 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\ProtectDisc
2010-04-02 23:12 . 2009-04-20 15:49 -------- d-----w- c:\programme\World of Warcraft
2010-04-02 21:49 . 2009-08-15 19:36 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\TuneUpMedia
2010-03-28 17:04 . 2001-08-18 14:00 84326 ----a-w- c:\windows.0\system32\perfc007.dat
2010-03-28 17:04 . 2001-08-18 14:00 458822 ----a-w- c:\windows.0\system32\perfh007.dat
2010-03-22 08:39 . 2009-11-07 00:40 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\dvdcss
2010-03-20 13:54 . 2010-01-20 17:43 4906 ----a-w- c:\dokumente und einstellungen\daniel\FilterData.dat
2010-03-12 19:14 . 2009-04-23 16:29 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\teamspeak2
2010-02-25 06:15 . 2005-10-27 16:20 916480 ----a-w- c:\windows.0\system32\wininet.dll
2010-02-16 07:31 . 2010-02-16 07:31 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\Turbine
2010-02-16 06:41 . 2010-02-16 06:41 -------- d-----w- c:\programme\Safari
2010-02-16 06:40 . 2010-02-16 06:40 79144 ----a-w- c:\dokumente und einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Apple Computer\Installer Cache\Safari 5.31.21.10\SetupAdmin.exe
2010-02-16 01:11 . 2010-02-15 22:17 -------- d-----w- c:\dokumente und einstellungen\daniel\Anwendungsdaten\GetRightToGo
2010-02-04 08:01 . 2010-04-03 21:05 74072 ----a-w- c:\windows.0\system32\XAPOFX1_4.dll
2010-02-04 08:01 . 2010-04-03 21:05 528216 ----a-w- c:\windows.0\system32\XAudio2_6.dll
2010-02-04 08:01 . 2010-04-03 21:05 238936 ----a-w- c:\windows.0\system32\xactengine3_6.dll
2010-02-04 08:01 . 2010-04-03 21:05 22360 ----a-w- c:\windows.0\system32\X3DAudio1_7.dll
2010-01-20 11:28 . 2010-01-20 11:28 295432 ----a-w- c:\windows.0\system32\drivers\acedrv11.sys
.
Code:
<pre>
c:\programme\Adobe\Reader 9.0\Reader\Reader_sl .exe
c:\programme\Analog Devices\Core\smax4pnp .exe
c:\programme\Analog Devices\SoundMAX\Smax4  .exe
c:\programme\Analog Devices\SoundMAX\Smax4 .exe
c:\programme\DAEMON Tools Pro\DTProAgent .exe
c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM .exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier .exe
c:\programme\Gemeinsame Dateien\Java\Java Update\jusched .exe
c:\programme\Hitman Pro 3.5\HitmanPro35 .exe
c:\programme\iTunes\iTunesHelper .exe
c:\programme\Pando Networks\Media Booster\PMB .exe
c:\programme\QuickTime\QTTask  .exe
c:\programme\QuickTime\QTTask .exe
c:\programme\Razer\DeathAdder\razerhid .exe
c:\programme\Razer\Tarantula\razerhid .exe
c:\programme\SUPERAntiSpyware\SUPERAntiSpyware .exe
</pre>
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PlayNC Launcher"="" [N/A]
"NCsoft Launcher"="c:\programme\ncsoft\launcher\NCLauncher.exe" [2010-04-05 38184]
"Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2010-04-11 41480]
"DAEMON Tools Pro Agent"="c:\programme\DAEMON Tools Pro\DTProAgent.exe" [2010-04-11 41480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\programme\QuickTime\QTTask .exe -atboottime" [X]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [N/A]
"nwiz"="nwiz.exe" [2009-03-27 1657376]
"NvMediaCenter"="c:\windows.0\system32\NvMcTray.dll" [2009-03-27 86016]
"DeathAdder"="c:\programme\Razer\DeathAdder\razerhid.exe" [N/A]
"Tarantula"="c:\programme\Razer\Tarantula\razerhid.exe" [N/A]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [N/A]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [N/A]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [N/A]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2010-04-11 41476]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [N/A]
"NvCplDaemon"="c:\windows.0\system32\NvCpl.dll" [2009-03-27 13684736]
"HitmanPro35"="c:\programme\Hitman Pro 3.5\HitmanPro35.exe" [N/A]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"nlhr"="c:\windows.0\System32\AdvPack.Dll" [2009-03-08 128512]
"tscuninstall"="c:\windows.0\system32\tscupgrd.exe" [2004-08-04 44544]

c:\dokumente und einstellungen\daniel\Startmen\Programme\Autostart\
CurseClientStartup.ccip [2009-12-24 0]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\World of Warcraft\\Launcher.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.1.3.9947-to-3.2.0.10192-deDE-downloader.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\TuneUpMedia\\TuneUpApp.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"=
"c:\\Programme\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"=
"f:\\Programme\\Starcraft\\StarCraft.exe"=
"f:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10522-deDE-ptr-downloader.exe"=
"f:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10522-to-0.3.0.10554-deDE-ptr-downloader.exe"=
"f:\\Programme\\World of Warcraft Public Test\\Launcher.exe"=
"f:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10554-to-0.3.0.10571-deDE-ptr-downloader.exe"=
"f:\\Programme\\World of Warcraft Public Test\\WoW-0.3.0.10571-to-0.3.0.10596-deDE-ptr-downloader.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"f:\\Programme\\Filme\\F Spiele Sammlung\\Prototyp !!!\\prototypef.exe"=
"c:\\WINDOWS.0\\system32\\dpvsetup.exe"=
"f:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\game.dat"=
"f:\\Programme\\Electronic Arts\\Die Schlacht um Mittelerde II\\patchget.dat"=
"f:\\Programme\\LOTR\\Belagerung des Düsterwalds\\lotroclient.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Dokumente und Einstellungen\\daniel\\Lokale Einstellungen\\Apps\\2.0\\7EC7XXZR.LM8\\G4Q1LRBP.BR3\\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\\CurseClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"56856:TCP"= 56856:TCP:Pando Media Booster
"56856:UDP"= 56856:UDP:Pando Media Booster

R0 sptd;sptd;c:\windows.0\system32\drivers\sptd.sys [04.11.2009 21:55 691696]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [17.02.2010 11:25 12872]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [17.02.2010 11:15 66632]
R1 SSHDRV76;SSHDRV76;c:\windows.0\system32\drivers\SSHDRV76.sys [05.04.2010 17:44 53760]
R2 acedrv11;acedrv11;c:\windows.0\system32\drivers\acedrv11.sys [20.01.2010 13:28 295432]
R3 DAdderFltr;DeathAdder Mouse;c:\windows.0\system32\drivers\dadder.sys [28.08.2009 15:49 22784]
S3 AVFSFilter;AVFSFilter;c:\windows.0\system32\DRIVERS\avfsfilter.sys --> c:\windows.0\system32\DRIVERS\avfsfilter.sys [?]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [17.02.2010 11:15 12872]
S3 TarFltr;Razer Tarantula USB Keyboard;c:\windows.0\system32\drivers\UsbFltr.sys [28.08.2009 15:57 44800]
.
Inhalt des "geplante Tasks" Ordners

2010-02-16 c:\windows.0\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = www.google.at
mStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\dokumente und einstellungen\daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\i6sj8irs.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2365318&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - www.google.at
FF - plugin: c:\dokumente und einstellungen\daniel\Anwendungsdaten\Move Networks\plugins\npqmp071505000010.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - plugin: f:\programme\bin\new_plugin\npdeploytk.dll
FF - plugin: f:\programme\bin\new_plugin\npjp2.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows.0\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
AddRemove-HitmanPro35 - c:\programme\Hitman Pro 3.5\HitmanPro35.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-04-11 21:39
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\dokume~1\daniel\LOKALE~1\Temp\RGI4.tmp 7118 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89907AC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecf28
\Driver\ACPI -> ACPI.sys @ 0xb9e73cb8
\Driver\atapi -> atapi.sys @ 0xb9e08b40
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xb9d11bb0
PacketIndicateHandler -> NDIS.sys @ 0xb9d1ea21
SendHandler -> NDIS.sys @ 0xb9cfc87b
user & kernel MBR OK

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\programme\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'explorer.exe'(2988)
c:\windows.0\system32\webcheck.dll
c:\windows.0\system32\WPDShServiceObj.dll
c:\windows.0\system32\PortableDeviceTypes.dll
c:\windows.0\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
f:\programme\bin\jqs.exe
c:\windows.0\system32\nvsvc32.exe
c:\windows.0\system32\WgaTray.exe
c:\windows.0\system32\wscntfy.exe
c:\windows.0\system32\RUNDLL32.EXE
c:\windows.0\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe
c:\programme\Pando Networks\Media Booster\PMB .exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-04-11 21:44:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-04-11 19:44

Vor Suchlauf: 5.141.647.360 Bytes frei
Nach Suchlauf: 5.110.161.408 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 16D5935EA686273FB474A4758B30332A

Chris4You 12.04.2010 09:22
Hi,

folgende Auffälligkeiten im CF-log (bei virustotal.com prüfen lassen):
Code:
c:\windows.0\War3Unin.exe prüfen lassen (es gibt einen gleichnamingen Wurm!)
c:\windows.0\Fonts\5Wpt60QJ.com_
c:\Dokumente und Einstellungen\daniel\Lokale Einstellungen\Apps\2.0\7EC7XXZR.LM8\G4Q1LRBP.BR3\curs..tion_eee711038731a406_0004.0000_152ef8e82e8f5a48\CurseClient.exe
Was zeigt GMER an, es sind einige Modifikation in Low-Level-Treiber da.
Bitte Daemon-Tools deinstallieren und nach GMER noch OSAM:

OSAM
Prüft Programme/Treiber die gestartet werden online.
Folge den Anweisungen hier ( http://www.trojaner-board.de/84180-anleitung-osam-autorun-manager.html ) zur Erstellung eines
Logs und poste das hier in Deinem Thread.

chris

Badabus 12.04.2010 10:11
Gmer stürtzt mir immer ab weiß nicht was ich machen soll. Kann nicht mal log posten. Weil wenn ich auf copie geh funkt garnichts mehr. Kann dann nicht mal gmer beende oder sonst irgendwas machen. Beim 1. Bericht hat er mir was rot angezeigt in den Gemeinsamen dokumenten als *hidden*. Soll ich mit den anderen schritten weiter machen oder meinst du das ich es weiter probieren soll?

Lg badabus

Edit: Deamon Tools deinstalliert =)

Chris4You 12.04.2010 10:40
Hi,

wahrscheinlichkeit ist hoch, das wir es tatsächlich noch mit einem Rootkit zu tun haben. Boote in den abgesicherten Modus (F8 beim Booten) und probiere dann GMER laufen zu lassen...

chris

Badabus 12.04.2010 13:28
ok ichversuche es sofort.
post dir dann gleich den log.

vielen dank lg badabus

Badabus 12.04.2010 14:27
hier die Gmer daten mache gleich mit OSAM weiter.



GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-12 15:20:01
Windows 5.1.2600 Service Pack 3
Running: mwrzyf5n.exe; Driver: C:\DOKUME~1\daniel\LOKALE~1\Temp\uwldipow.sys


---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS.0\system32\drivers\SSHDRV76.sys section is writeable [0xBA4C2000, 0x16204, 0xE8000020]
.pklstb C:\WINDOWS.0\system32\drivers\SSHDRV76.sys entry point in ".pklstb" section [0xBA4E0000]
.relo2 C:\WINDOWS.0\system32\drivers\SSHDRV76.sys unknown last section [0xBA4F0000, 0x86, 0x42000040]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINDOWS.0\Explorer.EXE[944] @ C:\WINDOWS.0\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS.0\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x7A 0x21 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCF 0x2B 0x8C 0xEE ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x7A 0x21 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xCF 0x2B 0x8C 0xEE ...

---- EOF - GMER 1.0.15 ----








Lg Badabus

Chris4You 12.04.2010 14:38
Hi,

das sieht i. O. aus, "SSHDRV76.sys" ist ein Kopierschutztreiber...

chris

Badabus 12.04.2010 14:39
Schau was ich gefunden hab. Hattest recht gab in Windows.0 3.Dateien mit dem namen War3Unin.exe eine davon mit virus glaub ich ich schick dir mal die auswertung von VIrus Total und scanne lieber die anderen 2 die du mir gesagt hast auch. =)



Datei War3Unin.exe empfangen 2010.04.12 13:34:26 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 1/39 (2.57%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit ist zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.12 -
AhnLab-V3 5.0.0.2 2010.04.10 -
AntiVir 7.10.6.62 2010.04.12 -
Antiy-AVL 2.0.3.7 2010.04.12 -
Authentium 5.2.0.5 2010.04.12 -
Avast 4.8.1351.0 2010.04.12 -
Avast5 5.0.332.0 2010.04.12 -
AVG 9.0.0.787 2010.04.12 -
BitDefender 7.2 2010.04.12 -
CAT-QuickHeal 10.00 2010.04.12 -
ClamAV 0.96.0.3-git 2010.04.12 -
Comodo 4575 2010.04.12 -
DrWeb 5.0.2.03300 2010.04.12 -
eSafe 7.0.17.0 2010.04.11 Virus in password protected archive
eTrust-Vet 35.2.7420 2010.04.12 -
F-Prot 4.5.1.85 2010.04.12 -
F-Secure 9.0.15370.0 2010.04.12 -
Fortinet 4.0.14.0 2010.04.12 -
GData 19 2010.04.12 -
Ikarus T3.1.1.80.0 2010.04.12 -
Jiangmin 13.0.900 2010.04.12 -
Kaspersky 7.0.0.125 2010.04.12 -
McAfee-GW-Edition 6.8.5 2010.04.12 -
Microsoft 1.5605 2010.04.12 -
NOD32 5020 2010.04.12 -
Norman 6.04.11 2010.04.12 -
nProtect 2009.1.8.0 2010.04.06 -
Panda 10.0.2.2 2010.04.11 -
PCTools 7.0.3.5 2010.04.12 -
Prevx 3.0 2010.04.12 -
Rising 22.43.00.04 2010.04.12 -
Sophos 4.52.0 2010.04.12 -
Sunbelt 6166 2010.04.12 -
Symantec 20091.2.0.41 2010.04.12 -
TheHacker 6.5.2.0.259 2010.04.12 -
TrendMicro 9.120.0.1004 2010.04.12 -
VBA32 3.12.12.4 2010.04.09 -
ViRobot 2010.4.12.2272 2010.04.12 -
VirusBuster 5.0.27.0 2010.04.12 -
weitere Informationen
File size: 139264 bytes
MD5...: 682d2ab104bc8ad3bcdfa152f9b31d5f
SHA1..: 290a9ffc155656b68fae24c23c90f1a65115d185
SHA256: 37fba145c4781a1517b2cf8f67d1513d16b71050d4daf1d88e0ab75af7ec9bb4
ssdeep: 3072:hnswMRCqbt+LdY3+tNguwG+eC6KQyyBiP:hnL+t+JW7eky
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13860
timedatestamp.....: 0x3ecc56c9 (Thu May 22 04:49:13 2003)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x12da2 0x13000 6.47 6b9f6a1b7c6ac93d4331c9fb510200c9
.rdata 0x14000 0x2dc2 0x3000 4.68 be1a9fce320bb5cedcf6bd4c9aa12f90
.data 0x17000 0x11e0c 0x4000 5.15 26b94a000c908725d0e95d0f284af051
.rsrc 0x29000 0x6bb0 0x7000 5.83 f4b0ba5cc3fd78d2b2f1bb80979f40a3

( 6 imports )
> MSVCRT.dll: strrchr, _controlfp, qsort, _onexit, __dllonexit, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, __1type_info@@UAE@XZ, free, calloc, strtoul, _except_handler3, sprintf, _purecall, fclose, fprintf, fopen, _vsnprintf, __CxxFrameHandler, strpbrk, vsprintf, strncpy, isprint
> KERNEL32.dll: InterlockedIncrement, HeapAlloc, GetStartupInfoA, FormatMessageA, GetLastError, ExitProcess, lstrcatA, lstrcpyA, lstrcmpA, lstrlenA, SetLastError, SetCurrentDirectoryA, GetCurrentDirectoryA, CreateDirectoryA, RemoveDirectoryA, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, lstrcmpiA, CloseHandle, CreateFileA, GetFileAttributesA, GetFileSize, WriteFile, ReadFile, GetModuleHandleA, GetCurrentProcess, MoveFileA, GetSystemInfo, lstrcpynA, GetVersion, GetCurrentThread, CreateEventA, GetModuleFileNameA, DeleteCriticalSection, GetProcessHeap, InterlockedDecrement, EnterCriticalSection, InitializeCriticalSection, LeaveCriticalSection, TerminateProcess, GetExitCodeProcess, VirtualAlloc, OutputDebugStringA, FreeLibrary, GetProcAddress, LoadLibraryA, GetLocalTime, IsBadReadPtr, VirtualFree, GetComputerNameA, IsBadWritePtr, VirtualQuery
> USER32.dll: IsWindow, GetDlgItem, IsWindowVisible, RegisterWindowMessageA, CheckDlgButton, FindWindowA, LoadCursorA, SetCursor, EnableWindow, GetDC, ReleaseDC, GetWindowRect, SetWindowPos, LoadStringA, PostMessageA, EndDialog, SetDlgItemTextA, DialogBoxParamA, wvsprintfA, MessageBoxA, wsprintfA
> GDI32.dll: GetDeviceCaps
> ADVAPI32.dll: RegDeleteKeyA, GetUserNameA, RegEnumKeyA, RegEnumValueA, RegDeleteValueA, RegQueryValueExA, RegQueryInfoKeyA, RegCloseKey, RegOpenKeyExA
> SHELL32.dll: ShellExecuteA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: Blizzard Entertainment
copyright....: Copyright (c) 2002
product......: Warcraft III Uninstaller
description..: Warcraft III Uninstaller
original name: W3Unin.exe
internal name: W3Unin
file version.: 1, 0, 0, 0
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned



Was meinst du löschen?
Lg Badabus

Badabus 12.04.2010 14:41
Was ist ein kopierschutztreiber? kenn mich da leider nicht so aus.


c:\windows.0\Fonts\5Wpt60QJ.com_
die datei war auch einer avira hat den wie ich reingegangen bin sofort rausgenommen. =)


die datei in dokumente und einstellungen hab ich nicht gefunden. Kann sein das den avira bereits entfernt hat schlägt leider immer wieder an....

lg

Chris4You 12.04.2010 14:54
Hi,

für das File "c:\windows.0\War3Unin.exe" halte ich es für ein Fehlalarm...
Hänge hinten ein .vir an, für den Fall das es noch gebraucht wird (umbennenen auf War3Unin.exe.vir)...

Welche Meldung bringt Avira wo?
Lass auch noch OSAM laufen...

chris

Badabus 12.04.2010 14:54
Hier der Osam log:


Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 15:53:29 on 12.04.2010
OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Mozilla Corporation Firefox 3.5.9

Scanner Settings
Rootkits detection (hidden registry)
Rootkits detection (hidden files)
Retrieve files information
Check Microsoft signatures

Filters
Trusted entries
Empty entries
Hidden registry entries (rootkit activity)
Exclusively opened files
Not found files
Files without detailed information
Existing files
Non-startable services
Non-startable drivers
Active entries
Disabled entries

Risk Name Publisher Full Path Status
Common
%SystemRoot%\Tasks
|||| "AppleSoftwareUpdate.job" "Apple Inc." C:\Programme\Apple Software Update\SoftwareUpdate.exe File exists
Control Panel Objects
%SystemRoot%\system32
|||||| "DeathAdder.cpl" "Razer Inc." C:\WINDOWS.0\system32\DeathAdder.cpl File exists
|||||| "infocardcpl.cpl" "Microsoft Corporation" C:\WINDOWS.0\system32\infocardcpl.cpl File exists
|||||| "javacpl.cpl" "Sun Microsystems, Inc." C:\WINDOWS.0\system32\javacpl.cpl File exists
|||||| "nvcpl.cpl" "NVIDIA Corporation" C:\WINDOWS.0\system32\nvcpl.cpl File exists
|||||| "nvtuicpl.cpl" "NVIDIA Corporation" C:\WINDOWS.0\system32\nvtuicpl.cpl File exists
|||||| "PhysX.cpl" "NVIDIA Corporation" C:\WINDOWS.0\system32\PhysX.cpl File exists
|||||| "Tarantula.cpl" "Razer Inc." C:\WINDOWS.0\system32\Tarantula.cpl File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls
|||||| "Avira AntiVir Personal - Free Antivirus " "Avira GmbH" C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl File exists
|||||| "Pando" "Pando Networks" C:\Programme\Pando Networks\Media Booster\PMB.cpl File exists
|||||| "QuickTime" "Apple Inc." C:\Programme\QuickTime\QTSystem\QuickTime.cpl File exists
|||||| "SMAX4CP" "Analog Devices, Inc." C:\Programme\Analog Devices\SoundMAX\SMax4.cpl File exists
Drivers
HKLM\SYSTEM\CurrentControlSet\Services
"acedrv11" (acedrv11) "Protect Software GmbH" C:\WINDOWS.0\system32\drivers\acedrv11.sys File exists
|||||| "Anchorfree HSS Adapter" (taphss) "AnchorFree Inc" C:\WINDOWS.0\System32\DRIVERS\taphss.sys File exists
|||||| "atksgt" (atksgt) C:\WINDOWS.0\System32\DRIVERS\atksgt.sys File found, but it contains no detailed information
"AVFSFilter" (AVFSFilter) C:\WINDOWS.0\System32\DRIVERS\avfsfilter.sys File not found
|||||| "avgio" (avgio) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avgio.sys File exists
|||||| "avgntflt" (avgntflt) "Avira GmbH" C:\WINDOWS.0\System32\DRIVERS\avgntflt.sys File exists
|||||| "avipbb" (avipbb) "Avira GmbH" C:\WINDOWS.0\System32\DRIVERS\avipbb.sys File exists
"catchme" (catchme) C:\ComboFix\catchme.sys File not found
"Changer" (Changer) C:\WINDOWS.0\system32\drivers\Changer.sys File not found
"i2omgmt" (i2omgmt) C:\WINDOWS.0\system32\drivers\i2omgmt.sys File not found
"lbrtfdc" (lbrtfdc) C:\WINDOWS.0\system32\drivers\lbrtfdc.sys File not found
|||||| "lirsgt" (lirsgt) C:\WINDOWS.0\System32\DRIVERS\lirsgt.sys File found, but it contains no detailed information
"PCIDump" (PCIDump) C:\WINDOWS.0\system32\drivers\PCIDump.sys File not found
"PDCOMP" (PDCOMP) C:\WINDOWS.0\system32\drivers\PDCOMP.sys File not found
"PDFRAME" (PDFRAME) C:\WINDOWS.0\system32\drivers\PDFRAME.sys File not found
"PDRELI" (PDRELI) C:\WINDOWS.0\system32\drivers\PDRELI.sys File not found
"PDRFRAME" (PDRFRAME) C:\WINDOWS.0\system32\drivers\PDRFRAME.sys File not found
|||||| "Razer Tarantula USB Keyboard" (TarFltr) "Waytech Development, Inc." C:\WINDOWS.0\System32\Drivers\UsbFltr.sys File exists
|||||| "Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver" (RTLE8023xp) "Realtek Semiconductor Corporation " C:\WINDOWS.0\System32\DRIVERS\Rtenicxp.sys File exists
|||||| "SASDIFSV" (SASDIFSV) "SUPERAdBlocker.com and SUPERAntiSpyware.com" C:\Programme\SUPERAntiSpyware\SASDIFSV.SYS File exists
|||||| "SASENUM" (SASENUM) " SUPERAdBlocker.com and SUPERAntiSpyware.com" C:\Programme\SUPERAntiSpyware\SASENUM.SYS File exists
|||||| "SASKUTIL" (SASKUTIL) "SUPERAdBlocker.com and SUPERAntiSpyware.com" C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS File exists
|||||| "sptd" (sptd) "Duplex Secure Ltd." C:\WINDOWS.0\System32\Drivers\sptd.sys File is exclusively opened, access blocked
|||||| "SSHDRV76" (SSHDRV76) C:\WINDOWS.0\system32\drivers\SSHDRV76.sys File exists
|||||| "ssmdrv" (ssmdrv) "Avira GmbH" C:\WINDOWS.0\System32\DRIVERS\ssmdrv.sys File exists
"WDICA" (WDICA) C:\WINDOWS.0\system32\drivers\WDICA.sys File not found
Explorer
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
|||||| {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" "Microsoft Corporation" C:\WINDOWS.0\system32\Rundll32.exe C:\WINDOWS.0\system32\mscories.dll,Install File exists
HKLM\Software\Classes\Folder\shellex\ColumnHandlers
|||||| {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" "Adobe Systems, Inc." C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll File exists
HKLM\Software\Classes\Protocols\Filter
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS.0\system32\mscoree.dll File exists
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS.0\system32\mscoree.dll File exists
|||||| {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" "Microsoft Corporation" C:\WINDOWS.0\system32\mscoree.dll File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
|||||| {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} "SABShellExecuteHook Class" "SuperAdBlocker.com" C:\Programme\SUPERAntiSpyware\SASSEH.DLL File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
|||||| {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" "Igor Pavlov" C:\Programme\7-Zip\7-zip.dll File exists
|||||| {6230EF55-8E71-4F40-861A-DBA282584FF5} "AVSVideoConverter Object" "Online Media Technologies Ltd." F:\Programme\AVSVideoConverter6\AVSVideoConverterShExt.dll File exists
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" deskpan.dll File not found
|||||| {1CDB2949-8F65-4355-8456-263E7C208A5D} "Desktop Explorer" "NVIDIA Corporation" C:\WINDOWS.0\system32\nvshell.dll File exists
|||||| {1E9B04FB-F9E5-4718-997B-B8DA88302A47} "Desktop Explorer Menu" "NVIDIA Corporation" C:\WINDOWS.0\system32\nvshell.dll File exists
|||||| {1D2680C9-0E2A-469d-B787-065558BC7D43} "Fusion Cache" "Microsoft Corporation" C:\WINDOWS.0\system32\mscoree.dll File exists
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" File not found | COM-object registry key not found
|||||| {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} "iTunes" "Apple Inc." C:\Programme\iTunes\iTunesMiniPlayer.dll File exists
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" File not found | COM-object registry key not found
|||||| {1E9B04FB-F9E5-4718-997B-B8DA88302A48} "nView Desktop Context Menu" "NVIDIA Corporation" C:\WINDOWS.0\system32\nvshell.dll File exists
|||||| {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\shlext.dll File exists
|||||| {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" "Microsoft Corporation" C:\WINDOWS.0\system32\dfshim.dll File exists
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" File not found | COM-object registry key not found
|||||| {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" "Microsoft Corporation" C:\WINDOWS.0\system32\dfshim.dll File exists
|||||| {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" "Alexander Roshal" C:\Programme\WinRAR\rarext.dll File exists
Internet Explorer
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
"BearShare MediaBar" C:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found
"DAEMON Tools Toolbar" C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll File exists
ITBar7Height "ITBar7Height" File not found | COM-object registry key not found
"ITBar7Layout" File not found | COM-object registry key not found
"ITBarLayout" File not found | COM-object registry key not found
"{A057A204-BACC-4D26-9990-79A187E2698E}" File not found | COM-object registry key not found
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
|||| {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} "Java Plug-in 1.4.2"
hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab "JavaSoft / Sun Microsystems, Inc." C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll File exists
|||| {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_19"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab "Sun Microsystems, Inc." F:\Programme\bin\npjpi160_19.dll File exists
|||| {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab "Sun Microsystems, Inc." F:\Programme\bin\npjpi160_19.dll File exists
|||| {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_19"
hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab "Sun Microsystems, Inc." F:\Programme\bin\npjpi160_19.dll File exists
|||| {1E54D648-B804-468d-BC78-4AFFED8E262E} "System Requirements Lab Class"
hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab "Husdawg, LLC" C:\WINDOWS.0\Downloaded Program Files\sysreqlab_srl.dll File exists
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
"BearShare MediaBar" C:\Programme\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found
"DAEMON Tools Toolbar" C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
|||| {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" "Sun Microsystems, Inc." F:\Programme\bin\jp2ssv.dll File exists
|||| {E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" "Sun Microsystems, Inc." F:\Programme\lib\deploy\jqs\ie\jqs_plugin.dll File exists
Logon
%AllUsersProfile%\Startmenü\Programme\Autostart
|||||| "desktop.ini" C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Startmenü\Programme\Autostart\desktop.ini File exists
%UserProfile%\Startmenü\Programme\Autostart
"CurseClientStartup.ccip" C:\Dokumente und Einstellungen\daniel\Startmenü\Programme\Autostart\CurseClientStartup.ccip File exists
|||||| "desktop.ini" C:\Dokumente und Einstellungen\daniel\Startmenü\Programme\Autostart\desktop.ini File exists
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"NCsoft Launcher" "NCSoft" C:\programme\ncsoft\launcher\NCLauncher.exe /Minimized File exists
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Adobe ARM" "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" File not found
"Adobe Reader Speed Launcher" "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" File not found
|||||| "avgnt" "Avira GmbH" "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min File exists
"DeathAdder" C:\Programme\Razer\DeathAdder\razerhid.exe File not found
"HitmanPro35" "C:\Programme\Hitman Pro 3.5\HitmanPro35.exe" /scan:boot File not found
"iTunesHelper" "C:\Programme\iTunes\iTunesHelper.exe" File not found
|||| "nwiz" "NVIDIA Corporation" nwiz.exe /install File exists
|||| "QuickTime Task" "Apple Inc." "C:\Programme\QuickTime\QTTask .exe" -atboottime File exists
"SoundMAXPnP" C:\Programme\Analog Devices\Core\smax4pnp.exe File not found
"SunJavaUpdateSched" "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" File not found
"Tarantula" C:\Programme\Razer\Tarantula\razerhid.exe File not found
Services
HKLM\SYSTEM\CurrentControlSet\Services
|||||| ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) "Microsoft Corporation" c:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe File exists
|||||| "Apple Mobile Device" (Apple Mobile Device) "Apple Inc." C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe File exists
|||||| "ASP.NET-Zustandsdienst" (aspnet_state) "Microsoft Corporation" C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe File exists
|||||| "Avira AntiVir Guard" (AntiVirService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\avguard.exe File exists
|||||| "Avira AntiVir Planer" (AntiVirSchedulerService) "Avira GmbH" C:\Programme\Avira\AntiVir Desktop\sched.exe File exists
|||||| "Bonjour-Dienst" (Bonjour Service) "Apple Inc." C:\Programme\Bonjour\mDNSResponder.exe File exists
|||| "InstallDriver Table Manager" (IDriverT) "Macrovision Corporation" C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe File exists
|||||| "iPod-Dienst" (iPod Service) "Apple Inc." C:\Programme\iPod\bin\iPodService.exe File exists
|||||| "Java Quick Starter" (JavaQuickStarterService) "Sun Microsystems, Inc." F:\Programme\bin\jqs.exe File exists
|||||| "Windows CardSpace" (idsvc) "Microsoft Corporation" c:\WINDOWS.0\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe File exists
|||||| "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) "Microsoft Corporation" c:\WINDOWS.0\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe File exists
Winlogon
HKCU\Control Panel\IOProcs
"MVB" mvfs32.dll File not found
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
|||||| "!SASWinLogon" "SUPERAntiSpyware.com" C:\Programme\SUPERAntiSpyware\SASWINLO.dll File exists
|||| "WgaLogon" "Microsoft Corporation" C:\WINDOWS.0\system32\WgaLogon.dll File exists
Winsock Providers
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
|||||| "mdnsNSP" "Apple Inc." C:\Programme\Bonjour\mdnsNSP.dll File exists

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

lg badabus

Chris4You 12.04.2010 14:58
Hi,

auch nichts aussergewöhnliches (ich werde hier noch zum Elch), was meldet Avira und wo?

chris

Badabus 12.04.2010 14:59
HIer avira bericht:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 12. April 2010 15:42

Es wird nach 1988803 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DANIEL-JATRAUNI

Versionsinformationen:
BUILD.DAT : 10.0.0.561 32098 Bytes 18.03.2010 15:35:00
AVSCAN.EXE : 10.0.2.3 433832 Bytes 07.03.2010 15:57:03
AVSCAN.DLL : 10.0.2.0 55144 Bytes 15.02.2010 14:03:11
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 20:55:50
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 20:55:50
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 20:55:51
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 20:55:51
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:55:51
VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 20:55:51
VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 20:55:51
VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 20:55:51
VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 20:55:51
VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 20:55:51
VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 20:55:51
VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 20:55:51
VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 20:55:51
VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 20:55:51
VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 20:55:51
VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 20:55:51
VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 20:55:51
VBASE017.VDF : 7.10.5.91 119808 Bytes 15.03.2010 20:55:51
VBASE018.VDF : 7.10.5.121 112640 Bytes 18.03.2010 20:55:51
VBASE019.VDF : 7.10.5.138 139776 Bytes 18.03.2010 07:18:08
VBASE020.VDF : 7.10.5.164 113152 Bytes 22.03.2010 07:18:08
VBASE021.VDF : 7.10.5.182 108032 Bytes 23.03.2010 07:18:08
VBASE022.VDF : 7.10.5.199 123904 Bytes 24.03.2010 07:18:09
VBASE023.VDF : 7.10.5.217 279552 Bytes 25.03.2010 07:18:09
VBASE024.VDF : 7.10.5.234 202240 Bytes 26.03.2010 07:18:09
VBASE025.VDF : 7.10.5.254 187904 Bytes 30.03.2010 07:18:10
VBASE026.VDF : 7.10.6.18 130560 Bytes 01.04.2010 07:18:10
VBASE027.VDF : 7.10.6.34 136192 Bytes 06.04.2010 07:18:10
VBASE028.VDF : 7.10.6.44 232448 Bytes 07.04.2010 07:18:11
VBASE029.VDF : 7.10.6.45 2048 Bytes 07.04.2010 07:18:11
VBASE030.VDF : 7.10.6.46 2048 Bytes 07.04.2010 07:18:11
VBASE031.VDF : 7.10.6.56 122368 Bytes 11.04.2010 07:18:11
Engineversion : 8.2.1.210
AEVDF.DLL : 8.1.1.3 106868 Bytes 11.04.2010 20:55:52
AESCRIPT.DLL : 8.1.3.24 1282425 Bytes 12.04.2010 07:18:14
AESCN.DLL : 8.1.5.0 127347 Bytes 11.04.2010 20:55:52
AESBX.DLL : 8.1.2.1 254323 Bytes 11.04.2010 20:55:52
AERDL.DLL : 8.1.4.3 541043 Bytes 11.04.2010 20:55:52
AEPACK.DLL : 8.2.1.1 426358 Bytes 12.04.2010 07:18:13
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 11.04.2010 20:55:52
AEHEUR.DLL : 8.1.1.16 2503031 Bytes 12.04.2010 07:18:13
AEHELP.DLL : 8.1.11.3 242039 Bytes 12.04.2010 07:18:12
AEGEN.DLL : 8.1.3.6 373108 Bytes 12.04.2010 07:18:12
AEEMU.DLL : 8.1.1.0 393587 Bytes 11.04.2010 20:55:51
AECORE.DLL : 8.1.13.1 188790 Bytes 12.04.2010 07:18:11
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.1.2 52072 Bytes 29.01.2010 09:47:36
AVSCPLR.DLL : 10.0.2.3 83304 Bytes 07.03.2010 16:02:25
AVARKT.DLL : 10.0.0.13 227176 Bytes 07.03.2010 15:48:35
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.46.0 98664 Bytes 05.03.2010 08:09:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_cf504f51\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,

Beginn des Suchlaufs: Montag, 12. April 2010 15:42

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dfsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINDOWS.0\Fonts\5Wpt60QJ.com_'
C:\WINDOWS.0\Fonts\5Wpt60QJ.com_
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e3b82df.qua' verschoben!


Ende des Suchlaufs: Montag, 12. April 2010 15:42
Benötigte Zeit: 00:09 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
29 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
28 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Badabus 12.04.2010 14:59
2.>Avira Bericht alles heute gefunden hat am vormittag einige male gepiept


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 12. April 2010 09:27

Es wird nach 1988803 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DANIEL-JATRAUNI

Versionsinformationen:
BUILD.DAT : 10.0.0.561 32098 Bytes 18.03.2010 15:35:00
AVSCAN.EXE : 10.0.2.3 433832 Bytes 07.03.2010 15:57:03
AVSCAN.DLL : 10.0.2.0 55144 Bytes 15.02.2010 14:03:11
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 20:55:50
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 20:55:50
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 20:55:51
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 20:55:51
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:55:51
VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 20:55:51
VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 20:55:51
VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 20:55:51
VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 20:55:51
VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 20:55:51
VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 20:55:51
VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 20:55:51
VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 20:55:51
VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 20:55:51
VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 20:55:51
VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 20:55:51
VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 20:55:51
VBASE017.VDF : 7.10.5.91 119808 Bytes 15.03.2010 20:55:51
VBASE018.VDF : 7.10.5.121 112640 Bytes 18.03.2010 20:55:51
VBASE019.VDF : 7.10.5.138 139776 Bytes 18.03.2010 07:18:08
VBASE020.VDF : 7.10.5.164 113152 Bytes 22.03.2010 07:18:08
VBASE021.VDF : 7.10.5.182 108032 Bytes 23.03.2010 07:18:08
VBASE022.VDF : 7.10.5.199 123904 Bytes 24.03.2010 07:18:09
VBASE023.VDF : 7.10.5.217 279552 Bytes 25.03.2010 07:18:09
VBASE024.VDF : 7.10.5.234 202240 Bytes 26.03.2010 07:18:09
VBASE025.VDF : 7.10.5.254 187904 Bytes 30.03.2010 07:18:10
VBASE026.VDF : 7.10.6.18 130560 Bytes 01.04.2010 07:18:10
VBASE027.VDF : 7.10.6.34 136192 Bytes 06.04.2010 07:18:10
VBASE028.VDF : 7.10.6.44 232448 Bytes 07.04.2010 07:18:11
VBASE029.VDF : 7.10.6.45 2048 Bytes 07.04.2010 07:18:11
VBASE030.VDF : 7.10.6.46 2048 Bytes 07.04.2010 07:18:11
VBASE031.VDF : 7.10.6.56 122368 Bytes 11.04.2010 07:18:11
Engineversion : 8.2.1.210
AEVDF.DLL : 8.1.1.3 106868 Bytes 11.04.2010 20:55:52
AESCRIPT.DLL : 8.1.3.24 1282425 Bytes 12.04.2010 07:18:14
AESCN.DLL : 8.1.5.0 127347 Bytes 11.04.2010 20:55:52
AESBX.DLL : 8.1.2.1 254323 Bytes 11.04.2010 20:55:52
AERDL.DLL : 8.1.4.3 541043 Bytes 11.04.2010 20:55:52
AEPACK.DLL : 8.2.1.1 426358 Bytes 12.04.2010 07:18:13
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 11.04.2010 20:55:52
AEHEUR.DLL : 8.1.1.16 2503031 Bytes 12.04.2010 07:18:13
AEHELP.DLL : 8.1.11.3 242039 Bytes 12.04.2010 07:18:12
AEGEN.DLL : 8.1.3.6 373108 Bytes 12.04.2010 07:18:12
AEEMU.DLL : 8.1.1.0 393587 Bytes 11.04.2010 20:55:51
AECORE.DLL : 8.1.13.1 188790 Bytes 12.04.2010 07:18:11
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.1.2 52072 Bytes 29.01.2010 09:47:36
AVSCPLR.DLL : 10.0.2.3 83304 Bytes 07.03.2010 16:02:25
AVARKT.DLL : 10.0.0.13 227176 Bytes 07.03.2010 15:48:35
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.46.0 98664 Bytes 05.03.2010 08:09:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_cf4fc9b2\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,

Beginn des Suchlaufs: Montag, 12. April 2010 09:27
Die Reparatur von Rootkits ist nur im interaktiven Modus möglich!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avwsc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dfsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleSyncNotifier.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe>
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NCLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe'
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AppleSyncNotifier> wurde erfolgreich entfernt.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '56ad4fde.qua' verschoben!


Ende des Suchlaufs: Montag, 12. April 2010 09:27
Benötigte Zeit: 00:27 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
32 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
30 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Badabus 12.04.2010 15:00
3. Avira bericht: auch heute


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 12. April 2010 09:03

Es wird nach 1867270 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DANIEL-JATRAUNI

Versionsinformationen:
BUILD.DAT : 10.0.0.561 32098 Bytes 18.03.2010 15:35:00
AVSCAN.EXE : 10.0.2.3 433832 Bytes 07.03.2010 15:57:03
AVSCAN.DLL : 10.0.2.0 55144 Bytes 15.02.2010 14:03:11
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 20:55:50
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 20:55:50
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 20:55:51
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 20:55:51
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:55:51
VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 20:55:51
VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 20:55:51
VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 20:55:51
VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 20:55:51
VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 20:55:51
VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 20:55:51
VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 20:55:51
VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 20:55:51
VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 20:55:51
VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 20:55:51
VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 20:55:51
VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 20:55:51
VBASE017.VDF : 7.10.5.91 119808 Bytes 15.03.2010 20:55:51
VBASE018.VDF : 7.10.5.121 112640 Bytes 18.03.2010 20:55:51
VBASE019.VDF : 7.10.5.122 2048 Bytes 18.03.2010 11:01:24
VBASE020.VDF : 7.10.5.123 2048 Bytes 18.03.2010 11:01:24
VBASE021.VDF : 7.10.5.124 2048 Bytes 18.03.2010 11:01:24
VBASE022.VDF : 7.10.5.125 2048 Bytes 18.03.2010 11:01:24
VBASE023.VDF : 7.10.5.126 2048 Bytes 18.03.2010 11:01:24
VBASE024.VDF : 7.10.5.127 2048 Bytes 18.03.2010 11:01:24
VBASE025.VDF : 7.10.5.128 2048 Bytes 18.03.2010 11:01:24
VBASE026.VDF : 7.10.5.129 2048 Bytes 18.03.2010 11:01:24
VBASE027.VDF : 7.10.5.130 2048 Bytes 18.03.2010 11:01:24
VBASE028.VDF : 7.10.5.131 2048 Bytes 18.03.2010 11:01:24
VBASE029.VDF : 7.10.5.132 2048 Bytes 18.03.2010 11:01:24
VBASE030.VDF : 7.10.5.133 2048 Bytes 18.03.2010 11:01:25
VBASE031.VDF : 7.10.5.134 16384 Bytes 18.03.2010 11:01:25
Engineversion : 8.2.1.194
AEVDF.DLL : 8.1.1.3 106868 Bytes 11.04.2010 20:55:52
AESCRIPT.DLL : 8.1.3.18 1024378 Bytes 17.03.2010 09:09:47
AESCN.DLL : 8.1.5.0 127347 Bytes 11.04.2010 20:55:52
AESBX.DLL : 8.1.2.1 254323 Bytes 11.04.2010 20:55:52
AERDL.DLL : 8.1.4.3 541043 Bytes 11.04.2010 20:55:52
AEPACK.DLL : 8.2.1.0 426356 Bytes 02.03.2010 13:01:39
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 11.04.2010 20:55:52
AEHEUR.DLL : 8.1.1.13 2470262 Bytes 17.03.2010 09:09:46
AEHELP.DLL : 8.1.10.2 237941 Bytes 17.03.2010 09:09:46
AEGEN.DLL : 8.1.2.2 373107 Bytes 17.03.2010 09:09:45
AEEMU.DLL : 8.1.1.0 393587 Bytes 11.04.2010 20:55:51
AECORE.DLL : 8.1.12.3 188789 Bytes 17.03.2010 09:09:45
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.1.2 52072 Bytes 29.01.2010 09:47:36
AVSCPLR.DLL : 10.0.2.3 83304 Bytes 07.03.2010 16:02:25
AVARKT.DLL : 10.0.0.13 227176 Bytes 07.03.2010 15:48:35
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.46.0 98664 Bytes 05.03.2010 08:09:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_cf4e0627\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,

Beginn des Suchlaufs: Montag, 12. April 2010 09:03

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dfsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NCLauncher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe'
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4eb8675b.qua' verschoben!


Ende des Suchlaufs: Montag, 12. April 2010 09:04
Benötigte Zeit: 00:09 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
31 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
30 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Badabus 12.04.2010 15:00
Letzter avira bericht von heute...




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 12. April 2010 00:03

Es wird nach 1867270 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : DANIEL-JATRAUNI

Versionsinformationen:
BUILD.DAT : 10.0.0.561 32098 Bytes 18.03.2010 15:35:00
AVSCAN.EXE : 10.0.2.3 433832 Bytes 07.03.2010 15:57:03
AVSCAN.DLL : 10.0.2.0 55144 Bytes 15.02.2010 14:03:11
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 16:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 09:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 20:55:50
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 20:55:50
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 20:55:51
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 20:55:51
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 20:55:51
VBASE005.VDF : 7.10.4.204 2048 Bytes 05.03.2010 20:55:51
VBASE006.VDF : 7.10.4.205 2048 Bytes 05.03.2010 20:55:51
VBASE007.VDF : 7.10.4.206 2048 Bytes 05.03.2010 20:55:51
VBASE008.VDF : 7.10.4.207 2048 Bytes 05.03.2010 20:55:51
VBASE009.VDF : 7.10.4.208 2048 Bytes 05.03.2010 20:55:51
VBASE010.VDF : 7.10.4.209 2048 Bytes 05.03.2010 20:55:51
VBASE011.VDF : 7.10.4.210 2048 Bytes 05.03.2010 20:55:51
VBASE012.VDF : 7.10.4.211 2048 Bytes 05.03.2010 20:55:51
VBASE013.VDF : 7.10.4.242 153088 Bytes 08.03.2010 20:55:51
VBASE014.VDF : 7.10.5.17 99328 Bytes 10.03.2010 20:55:51
VBASE015.VDF : 7.10.5.44 107008 Bytes 11.03.2010 20:55:51
VBASE016.VDF : 7.10.5.69 92672 Bytes 12.03.2010 20:55:51
VBASE017.VDF : 7.10.5.91 119808 Bytes 15.03.2010 20:55:51
VBASE018.VDF : 7.10.5.121 112640 Bytes 18.03.2010 20:55:51
VBASE019.VDF : 7.10.5.122 2048 Bytes 18.03.2010 11:01:24
VBASE020.VDF : 7.10.5.123 2048 Bytes 18.03.2010 11:01:24
VBASE021.VDF : 7.10.5.124 2048 Bytes 18.03.2010 11:01:24
VBASE022.VDF : 7.10.5.125 2048 Bytes 18.03.2010 11:01:24
VBASE023.VDF : 7.10.5.126 2048 Bytes 18.03.2010 11:01:24
VBASE024.VDF : 7.10.5.127 2048 Bytes 18.03.2010 11:01:24
VBASE025.VDF : 7.10.5.128 2048 Bytes 18.03.2010 11:01:24
VBASE026.VDF : 7.10.5.129 2048 Bytes 18.03.2010 11:01:24
VBASE027.VDF : 7.10.5.130 2048 Bytes 18.03.2010 11:01:24
VBASE028.VDF : 7.10.5.131 2048 Bytes 18.03.2010 11:01:24
VBASE029.VDF : 7.10.5.132 2048 Bytes 18.03.2010 11:01:24
VBASE030.VDF : 7.10.5.133 2048 Bytes 18.03.2010 11:01:25
VBASE031.VDF : 7.10.5.134 16384 Bytes 18.03.2010 11:01:25
Engineversion : 8.2.1.194
AEVDF.DLL : 8.1.1.3 106868 Bytes 11.04.2010 20:55:52
AESCRIPT.DLL : 8.1.3.18 1024378 Bytes 17.03.2010 09:09:47
AESCN.DLL : 8.1.5.0 127347 Bytes 11.04.2010 20:55:52
AESBX.DLL : 8.1.2.1 254323 Bytes 11.04.2010 20:55:52
AERDL.DLL : 8.1.4.3 541043 Bytes 11.04.2010 20:55:52
AEPACK.DLL : 8.2.1.0 426356 Bytes 02.03.2010 13:01:39
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 11.04.2010 20:55:52
AEHEUR.DLL : 8.1.1.13 2470262 Bytes 17.03.2010 09:09:46
AEHELP.DLL : 8.1.10.2 237941 Bytes 17.03.2010 09:09:46
AEGEN.DLL : 8.1.2.2 373107 Bytes 17.03.2010 09:09:45
AEEMU.DLL : 8.1.1.0 393587 Bytes 11.04.2010 20:55:51
AECORE.DLL : 8.1.12.3 188789 Bytes 17.03.2010 09:09:45
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 09:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 09:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 14:47:40
AVREG.DLL : 10.0.1.2 52072 Bytes 29.01.2010 09:47:36
AVSCPLR.DLL : 10.0.2.3 83304 Bytes 07.03.2010 16:02:25
AVARKT.DLL : 10.0.0.13 227176 Bytes 07.03.2010 15:48:35
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 07:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 10:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 13:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 12:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 11:10:08
RCTEXT.DLL : 10.0.46.0 98664 Bytes 05.03.2010 08:09:35

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_cf510fd3\guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,

Beginn des Suchlaufs: Montag, 12. April 2010 00:03

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMB.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WgaTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{901FA82D-14B8-4CCD-BF8A-7362818CF5A6}\RP335\A0044774.exe'
C:\System Volume Information\_restore{901FA82D-14B8-4CCD-BF8A-7362818CF5A6}\RP335\A0044774.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4958e631.qua' verschoben!


Ende des Suchlaufs: Montag, 12. April 2010 00:03
Benötigte Zeit: 00:12 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
31 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
30 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

Badabus 12.04.2010 15:02
Ich verstehe es auch nicht.... ABer der findet immer wieder diesen komischen trojaner. Da piepst es so oft und teilweise ist der in nützlichen programmen.

Jetzt ist gerade ruhe versteh ich aber eigentlich nicht normal piepst der dauernd. Gestern auch da hat er eine nach der anderen gemeldet teilweise 3x hintereinander

Badabus 12.04.2010 15:06
der hat sogar einen in superantispyware gefunden usw.... i tunes und noch viele mehr. Sonst hat er sich immer in eine C:Windows.0\Temp und dort einen ordner erstellt da war der dann immer drinnen. Aber seit gestern meldet der den überall nich tnur im Temp ordner. Aber wie gesagt jetzt meldet der nichts. Immer wenn ich rein und wieder raus geh war das oder wenn ich Warcraft3 das spiel starte. Irgendwie komisch...

Badabus 12.04.2010 15:15
Im Temp ordner legt sich jetzt immer eine

Perflib_Perfdata_7ac

Datei an aber ich kann sie nicht löschen. Weiß nicht ob das überhaupt was bedeutet aber vielleicht hilft dir das ja. ;)

Bin echt schon am verzweifeln.

SOll ich den computer mal neu starten und schauen ob dann wieder ne meldung kommt?

Lg

Chris4You 12.04.2010 15:16
Hi,

das er die Datei "SIntfNT.dll" erkannt hat ist ein F/P, die gehört wohl zu Worldofwarcraft. Das mit den anderen Dateien ist höchst seltsam.
Zitat:
Teil des SecuROM Kopierschutzes, der unter anderem von WC3 verwendet wird.
Verschicke die Dateien zur Überprüfung aus der Quarantäne raus an Avira, wenn Du Superantispyware aus einer vertrauenswürdigen Quelle hast, denke ich muss sie sauber sein. Wenn Du einen Fileinfektor hättest, müssten weit mehr Programme verseucht sein... Das ergibt alles keinen richtigen Sinn...

Fahr den Rechner ein paar mal rauf und runter OHNE World of Warcraft zu starten, dann mal mit...

chris
Ps.: Keine Panik, die Datei gehört zu Windows... (Perflib_Perfdata_7aXX)

Badabus 12.04.2010 15:24
Superantispyware hab ich von euch. ALso da bin ich mir 100 pro sicher das die safe ist.

Hab die alle von euch.

Versteh das nicht. er hat mir HitmanPro (was ich auch von euch hab) auch als infiziert ausgegeben. Total komisch.

Soll ich Superantispyware wiederherstellen?

Lg

Chris4You 12.04.2010 15:32
Hi,

ich wäre eher dafür, Avira neu zu installieren...
Oder per Rettungs-Cd von CD aus mal die Platte zu untersuchen...


Boot-CD erstellen:
Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!).
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann.
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u.
gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung.

Schnellanweisung für XP:
Im Groben sieht das so aus;
UBCD runterladen, installieren, XP-CD auf die Festplatte kopieren (Speicherplatz beachten, es muss daraus dann nochmal eine ISO-Datei erstellt werden).
Erstelle auf Deinem Rechner ein Verzeichnis (C:\XPCD), kopiere dann den gesamten Inhalt der CD da rein (vorher im Explorer einschalten, dass alle versteckten Dateien etc. angezeigt und Systemdateien nicht ausgeblendet werden (damit auch alles kopiert werden kann)).
Ist die gesamte XP-CD kopiert, starte UBCD4WinBuilder.exe (Normalerweise im Verzeichnis C:\ubcd4win zu finden), Copyright etc. abnicken, "Search for Windows installation Files" -> No, im darauffolgenden Fenster "Source" ->C:\XPCD, Outputpath wie Du willst oder einfach so lassen, dann entweder für das spätere Brennen eine ISO-Datei erstellen lassen (dann einen Filenamen bei "Create ISO-Image" eingeben!), oder gleich eine leere DVD rein und direkt brennen lassen. "Custom" leer lassen. Dann Build auswählen... Nochmal MS-Copyright abnicken und es geht los.
Und nach ca. 0,5-1h haben wir eine Bootfertige Not-CD mit allem was man so braucht ;o)...

chris

Badabus 12.04.2010 15:40
Das Prob daran ist das alle cds mein Onkel hat. Der spielt mir die rechner immer rauf. Der macht bei unserer Firma die ganzen pcs. Und nachdem ich mich da ja nicht so auskenne macht der das für mich mit. Aber bräuchte nur mit ihm reden und kann ihn schon fragen ob ich die XP cd haben kann. Nur werd ich den erst morgen erreichen können. Der ist heute unterwegs. Wäre das ok?

ABer muss dazu sagen das jetzt keine meldung und nichts mehr kommt. Weiß ned was war aber zur zeit ist alles ruhig. Irgendwie so die Ruhe vor dem Sturm ^^

Viel zu ruhig. Irgendwie komisch. Sonst waren immer meldungen und jetzt kommt keine mehr. Versteh das nicht. Könnt auch alles neu aufsetzten lassen von meinem Onkel. Vertrau da deinem Rat. Kenn mich wie gesagt einfach nicht genug aus ;)

LG Badabus


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131