Trojaner-Board - IExplorer poppt auf mit Werbung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - IExplorer poppt auf mit Werbung (https://www.trojaner-board.de/88891-iexplorer-poppt-werbung.html)

IExplorer poppt auf mit Werbung

Hallo Zusammen,
bin neu und hab folgendes Problem.
Zunächst war es so, dass der IE immer wieder mit Werbung aufgepoppt ist.
Dann kamen Meldungen von antivir dazu. Als ich dann bei diesen Meldungen den Haken bei umbenenne zu setzen war das Problem mit den Werbungs Poppups erstmal weg.
Nun kommen aber immer häufiger die antivir Trojaner Warnungen. (sobald er wieder was Anzeigt werde ich den Namen hier posten)
Deshalb habe ich mal einen neuen Thread eröffnet.

Ich kenne mich nicht sehr gut aus mit der Beseitigung solcher Programme ...

War schön, wenn mir hier geholfen werden könnte.

hier erstmal ein aktueller Logfile von HighJackThis

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 10:42:52, on 30.07.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\nvsvc32.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Programme\Avira\AntiVir Desktop\sched.exe

E:\WINDOWS\Explorer.EXE

E:\DOKUME~1\MARC__~1\LOKALE~1\Temp\Rfh.exe

E:\Programme\Avira\AntiVir Desktop\avguard.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\RTHDCPL.EXE

E:\Programme\Avira\AntiVir Desktop\avgnt.exe

E:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

E:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

E:\WINDOWS\system32\ctfmon.exe

C:\Programme\PACKER\Winzip\WZQKPICK.EXE

E:\Programme\OpenOffice.org 3\program\soffice.exe

E:\Programme\OpenOffice.org 3\program\soffice.bin

E:\Dokumente und Einstellungen\Marc_______\Desktop\Internetsicherheit\HiJackThis204.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [MMTray] E:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "E:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [Windows Live Communications service] C:\windows\wlcomm.exe

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [5DR8ZAD8GX] E:\DOKUME~1\MARC__~1\LOKALE~1\Temp\Rfh.exe

O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "E:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MSI" TRANSFORMS="E:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MST" WISE_SETUP_EXE_PATH="e:\nvidia\displaydriver\195.62\winxp\international\PhysX_9.09.0814_SystemSoftware.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 3.0.lnk = E:\Programme\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\PACKER\Winzip\WZQKPICK.EXE

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\System32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
 

--

End of file - 4847 bytes

--- --- ---

Danke schonmal.

Grüße,

Marc

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen!
(nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den
Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

E:\DOKUME~1\MARC__~1\LOKALE~1\Temp\Rfh.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Falls erkannt, Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
(Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren:
Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->dHäkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen)->exit)

Code:

O4 - HKCU\..\Run: [5DR8ZAD8GX] E:\DOKUME~1\MARC__~1\LOKALE~1\Temp\Rfh.exe

Avira:
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt

Poste die Logfiles hier in den Thread

chris

Hallo Chris,

Danke erstmal für die schnelle Antwort.
Leider habe ich wohl zu lange gewartet. :headbang:
Die RFH.exe ist nicht mehr zu finden. Ich hab bei Antivir öfter auf löschen geklickt, wenn was gemeldet worden ist

Hier nochmal ein aktueller Logfile von HiJack

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 22:01:05, on 02.08.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\nvsvc32.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\Programme\Avira\AntiVir Desktop\sched.exe

E:\WINDOWS\Explorer.EXE

E:\Programme\Avira\AntiVir Desktop\avguard.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\RTHDCPL.EXE

E:\Programme\Avira\AntiVir Desktop\avgnt.exe

E:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe

E:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

E:\WINDOWS\system32\ctfmon.exe

C:\Programme\PACKER\Winzip\WZQKPICK.EXE

E:\Programme\OpenOffice.org 3\program\soffice.exe

E:\Programme\OpenOffice.org 3\program\soffice.bin

E:\WINDOWS\system32\wuauclt.exe

E:\Programme\Mozilla Firefox\firefox.exe

E:\Dokumente und Einstellungen\Marc_______\Desktop\Internetsicherheit\HiJackThis204.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avgnt] "E:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [MMTray] E:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "E:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [Windows Live Communications service] C:\windows\wlcomm.exe

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [5DR8ZAD8GX] E:\DOKUME~1\MARC__~1\LOKALE~1\Temp\Rfh.exe

O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "E:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MSI" TRANSFORMS="E:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MST" WISE_SETUP_EXE_PATH="e:\nvidia\displaydriver\195.62\winxp\international\PhysX_9.09.0814_SystemSoftware.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 3.0.lnk = E:\Programme\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\PACKER\Winzip\WZQKPICK.EXE

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - E:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - E:\WINDOWS\System32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - E:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
 

--

End of file - 4930 bytes

--- --- ---

Diesmal werde ich schneller handeln.
Ach ja

Zitat:

ls erstes versteckte Dateien anzeigen lassen!
(nur Punkt 1 durchführen!)

habe ich erledigt.

Danke.

Grüße,

Marc

Hi,

ist zwar weg, lass aber unbedingt MAM laufen!

chris

okay mach ich.

Danke

done:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4390

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.08.2010 22:03:11
mbam-log-2010-08-04 (22-03-11).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 122138
Laufzeit: 5 Minute(n), 11 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\5DR8ZAD8GX (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\5dr8zad8gx (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
E:\WINDOWS\system32\sshnas21.VIR (Trojan.FraudPack) -> Quarantined and deleted successfully.
E:\WINDOWS\Rganaa.VIR (Trojan.FakeAlert) -> Quarantined and deleted successfully.
E:\WINDOWS\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
E:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Und nun?

Hi,

bitte umgehend (wie oben beschrieben) ein OTL-Bericht erstellen und posten...

chris

ja gut.

OTL Logfile:

Code:

OTL logfile created on: 05.08.2010 20:47:42 - Run 1

OTL by OldTimer - Version 3.2.9.1     Folder = E:\Dokumente und Einstellungen\Marc_______\Desktop\Internetsicherheit

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 85,00% Memory free

5,00 Gb Paging File | 5,00 Gb Available in Paging File | 93,00% Paging File free

Paging file location(s): E:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = E: | %SystemRoot% = E:\WINDOWS | %ProgramFiles% = E:\Programme

Drive C: | 298,08 Gb Total Space | 33,90 Gb Free Space | 11,37% Space Free | Partition Type: NTFS

D: Drive not present or media not loaded

Drive E: | 465,75 Gb Total Space | 433,55 Gb Free Space | 93,09% Space Free | Partition Type: NTFS

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: MARC

Current User Name: Marc_______

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Processes (SafeList) ==========

 

PRC - E:\Dokumente und Einstellungen\Marc_______\Desktop\Internetsicherheit\OTL.exe (OldTimer Tools)

PRC - E:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

PRC - E:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

PRC - E:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

PRC - E:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

PRC - E:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

PRC - E:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)

PRC - E:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)

PRC - E:\WINDOWS\explorer.exe (Microsoft Corporation)

PRC - E:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe (MUSICMATCH, Inc.)

PRC - C:\Programme\PACKER\Winzip\WZQKPICK.EXE (WinZip Computing, Inc.)

 

 
 ========== Modules (SafeList) ==========

 

MOD - E:\Dokumente und Einstellungen\Marc_______\Desktop\Internetsicherheit\OTL.exe (OldTimer Tools)

MOD - E:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (AntiVirService) -- E:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (AntiVirSchedulerService) -- E:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (MxlW2k) -- E:\WINDOWS\System32\drivers\MxlW2k.sys (MusicMatch, Inc.)

DRV - (avgntflt) -- E:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (nv) -- E:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)

DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- E:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)

DRV - (ssmdrv) -- E:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (avipbb) -- E:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgio) -- E:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)

DRV - (Ambfilt) -- E:\WINDOWS\system32\drivers\Ambfilt.sys (Creative)

DRV - (Monfilt) -- E:\WINDOWS\system32\drivers\Monfilt.sys (Creative Technology Ltd.)

DRV - (iteatapi) -- E:\WINDOWS\System32\DRIVERS\iteatapi.sys (Integrated Technology Express, Inc.)

DRV - (sfsync02) StarForce Protection Synchronization Driver (version 2.x) -- E:\WINDOWS\System32\drivers\sfsync02.sys (Protection Technology)

DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- E:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology)

DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- E:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology)

DRV - (yukonwxp) -- E:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)

DRV - (HDAudBus) -- E:\WINDOWS\system32\drivers\Hdaudbus.sys (Windows (R) Server 2003 DDK provider)

DRV - (MTsensor) -- E:\WINDOWS\system32\drivers\ASACPI.sys ()

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

 
 ========== FireFox ==========

 

FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"

FF - prefs.js..extensions.enabledItems: illimitux@illimitux.net:4.0

 

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: E:\Programme\Mozilla Firefox\components [2010.07.24 22:27:36 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: E:\Programme\Mozilla Firefox\plugins [2010.07.24 22:27:36 | 000,000,000 | ---D | M]

 

[2009.12.30 21:27:09 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Marc_______\Anwendungsdaten\Mozilla\Extensions

[2010.08.04 21:39:56 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Marc_______\Anwendungsdaten\Mozilla\Firefox\Profiles\mdoe45br.default\extensions

[2010.05.15 21:53:32 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- E:\Dokumente und Einstellungen\Marc_______\Anwendungsdaten\Mozilla\Firefox\Profiles\mdoe45br.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}

[2010.05.16 21:02:33 | 000,000,000 | ---D | M] -- E:\Dokumente und Einstellungen\Marc_______\Anwendungsdaten\Mozilla\Firefox\Profiles\mdoe45br.default\extensions\illimitux@illimitux.net

[2009.12.30 22:16:10 | 000,000,000 | ---D | M] -- E:\Programme\Mozilla Firefox\extensions

[2010.07.16 22:23:00 | 000,001,392 | ---- | M] () -- E:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2010.07.16 22:23:00 | 000,002,344 | ---- | M] () -- E:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2010.07.16 22:23:00 | 000,006,805 | ---- | M] () -- E:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2010.07.16 22:23:00 | 000,001,178 | ---- | M] () -- E:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2010.07.16 22:23:00 | 000,001,105 | ---- | M] () -- E:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2002.09.17 08:55:45 | 000,000,820 | ---- | M]) - E:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Adobe ARM] E:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [avgnt] E:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKLM..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe File not found

O4 - HKLM..\Run: [MMTray] E:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe (MUSICMATCH, Inc.)

O4 - HKLM..\Run: [NvCplDaemon] E:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] E:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [nwiz]  File not found

O4 - HKLM..\Run: [Windows Live Communications service] C:\windows\wlcomm.exe File not found

O4 - Startup: E:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk = C:\Programme\PACKER\Winzip\WZQKPICK.EXE (WinZip Computing, Inc.)

O4 - Startup: E:\Dokumente und Einstellungen\Marc_______\Startmenü\Programme\Autostart\OpenOffice.org 3.0.lnk = E:\Programme\OpenOffice.org 3\program\quickstart.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O15 - HKCU\..Trusted Domains:   ([]msn in My Computer)

O16 - DPF: DirectAnimation Java Classes file://E:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)

O16 - DPF: Microsoft XML Parser for Java file://E:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 80.69.100.230 192.168.0.1

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - E:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - E:\WINDOWS\explorer.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\Sedans\unbenannt.bmp

O24 - Desktop BackupWallPaper: C:\Sedans\unbenannt.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.12.30 19:43:16 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O33 - MountPoints2\{079ca226-1197-11df-aeef-001a92730f34}\Shell - "" = AutoRun

O33 - MountPoints2\{079ca226-1197-11df-aeef-001a92730f34}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{079ca226-1197-11df-aeef-001a92730f34}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found

O33 - MountPoints2\F\Shell - "" = AutoRun

O33 - MountPoints2\F\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.08.04 21:56:18 | 000,000,000 | ---D | C] -- E:\Dokumente und Einstellungen\Marc_______\Anwendungsdaten\Malwarebytes

[2010.08.04 21:56:10 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- E:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.08.04 21:56:08 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- E:\WINDOWS\System32\drivers\mbam.sys

[2010.08.04 21:56:08 | 000,000,000 | ---D | C] -- E:\Programme\Malwarebytes' Anti-Malware

[2010.08.04 21:56:08 | 000,000,000 | ---D | C] -- E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2010.07.27 13:14:58 | 000,000,000 | ---D | C] -- E:\Dokumente und Einstellungen\Marc_______\Desktop\Internetsicherheit

[2010.07.26 00:09:14 | 000,000,000 | ---D | C] -- E:\Dokumente und Einstellungen\Marc_______\Desktop\Whb_TC2

[2010.07.22 18:20:51 | 000,000,000 | ---D | C] -- E:\Dokumente und Einstellungen\Marc_______\Desktop\Weber DGAS

[2010.07.13 20:46:53 | 000,744,448 | ---- | C] (Microsoft Corporation) -- E:\WINDOWS\System32\dllcache\helpsvc.exe

[5 E:\WINDOWS\System32\*.tmp files -> E:\WINDOWS\System32\*.tmp -> ]

[4 E:\WINDOWS\*.tmp files -> E:\WINDOWS\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.08.05 20:25:55 | 000,272,291 | ---- | M] () -- E:\WINDOWS\System32\NvApps.xml

[2010.08.05 20:25:53 | 000,000,006 | -H-- | M] () -- E:\WINDOWS\tasks\SA.DAT

[2010.08.05 20:25:52 | 000,002,048 | --S- | M] () -- E:\WINDOWS\bootstat.dat

[2010.08.04 23:08:24 | 003,670,016 | ---- | M] () -- E:\Dokumente und Einstellungen\Marc_______\ntuser.dat

[2010.08.04 21:21:00 | 000,002,206 | ---- | M] () -- E:\WINDOWS\System32\wpa.dbl

[2010.07.27 08:29:42 | 008,503,296 | ---- | M] (Microsoft Corporation) -- E:\WINDOWS\System32\dllcache\shell32.dll

[2010.07.26 14:24:57 | 000,102,935 | ---- | M] () -- E:\Dokumente und Einstellungen\Marc_______\Desktop\Krankmeldung_Kremeier.jpg

[2010.07.13 23:14:21 | 000,001,374 | ---- | M] () -- E:\WINDOWS\imsins.BAK

[2010.07.07 17:14:40 | 000,026,624 | ---- | M] () -- E:\Dokumente und Einstellungen\Marc_______\Desktop\hbfriuwtr.bmp

[2010.07.07 09:25:26 | 000,015,576 | ---- | M] () -- E:\Dokumente und Einstellungen\Marc_______\Desktop\Fragebogen.odt

[2010.07.07 09:20:12 | 000,014,848 | ---- | M] () -- E:\Dokumente und Einstellungen\Marc_______\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[5 E:\WINDOWS\System32\*.tmp files -> E:\WINDOWS\System32\*.tmp -> ]

[4 E:\WINDOWS\*.tmp files -> E:\WINDOWS\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.07.26 14:24:28 | 000,102,935 | ---- | C] () -- E:\Dokumente und Einstellungen\Marc_______\Desktop\Krankmeldung_Kremeier.jpg

[2010.07.07 17:14:40 | 000,026,624 | ---- | C] () -- E:\Dokumente und Einstellungen\Marc_______\Desktop\hbfriuwtr.bmp

[2010.07.07 09:25:25 | 000,015,576 | ---- | C] () -- E:\Dokumente und Einstellungen\Marc_______\Desktop\Fragebogen.odt

[2009.12.30 20:31:11 | 000,019,959 | ---- | C] () -- E:\WINDOWS\Ascd_tmp.ini

[2009.12.30 20:31:10 | 000,005,810 | R--- | C] () -- E:\WINDOWS\System32\drivers\ASACPI.sys

[2009.12.30 20:30:56 | 000,010,288 | ---- | C] () -- E:\WINDOWS\System32\drivers\ASUSHWIO.SYS

[2008.10.28 17:40:48 | 000,173,552 | ---- | C] () -- E:\WINDOWS\System32\xlive.dll.cat

< End of report >

--- --- ---

und

OTL Logfile:

Code:

OTL Extras logfile created on: 05.08.2010 20:47:42 - Run 1

OTL by OldTimer - Version 3.2.9.1     Folder = E:\Dokumente und Einstellungen\Marc_______\Desktop\Internetsicherheit

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

3,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 85,00% Memory free

5,00 Gb Paging File | 5,00 Gb Available in Paging File | 93,00% Paging File free

Paging file location(s): E:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = E: | %SystemRoot% = E:\WINDOWS | %ProgramFiles% = E:\Programme

Drive C: | 298,08 Gb Total Space | 33,90 Gb Free Space | 11,37% Space Free | Partition Type: NTFS

D: Drive not present or media not loaded

Drive E: | 465,75 Gb Total Space | 433,55 Gb Free Space | 93,09% Space Free | Partition Type: NTFS

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: MARC

Current User Name: Marc_______

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.html [@ = FirefoxHTML] -- E:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

http [open] -- "E:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)

https [open] -- "E:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [AddToPlaylistVLC] -- E:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --playlist-enqueue "%1" ()

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [PlayWithVLC] -- E:\Programme\VideoLAN\VLC\vlc.exe --started-from-file --no-playlist-enqueue "%1" ()

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 1

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Games\Ubisoft\Gearbox Software\BrothersInArmsEiB\System\EiB.exe" = C:\Games\Ubisoft\Gearbox Software\BrothersInArmsEiB\System\EiB.exe:*:Enabled:Brothers In Arms Earned In Blood -- (Gearbox Software)

"E:\Programme\Opera\opera.exe" = E:\Programme\Opera\opera.exe:*:Enabled:Opera Internet Browser -- (Opera Software)

"C:\Games\Ubisoft\Faces of War\facesofwar.exe" = C:\Games\Ubisoft\Faces of War\facesofwar.exe:*:Enabled:FOW Application -- ("Bestway" Corp)

"E:\Programme\Codemasters\OF Dragon Rising\OFDR.exe" = E:\Programme\Codemasters\OF Dragon Rising\OFDR.exe:*:Enabled:OF Dragon Rising -- (Codemasters Software Company Limited)

"C:\Games\Bohemia Interactive\ArmA 2\arma2.exe" = C:\Games\Bohemia Interactive\ArmA 2\arma2.exe:*:Enabled:ArmA 2 -- (Bohemia Interactive)

"C:\Games\Call of Duty MW2\Steam.exe" = C:\Games\Call of Duty MW2\Steam.exe:*:Enabled:Steam -- File not found

"E:\Programme\BitTorrent\bittorrent.exe" = E:\Programme\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent -- (BitTorrent, Inc.)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0

"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter

"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate

"{1A4052AB-BA77-44F7-8EE7-9F9131BFD7A6}" = OF Dragon Rising

"{2C2F85C4-62C3-4F59-A5E1-AB60E5F76ADF}_is1" = "Faces of War" (Nur entfernen)

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker

"{45EBDA59-D33B-433A-956E-B2F236468B56}" = MUSICMATCH® Jukebox

"{4AA3D64E-9EC3-4B0F-AB91-5885AC55641F}" = Microsoft Games for Windows - LIVE 

"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053

"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable

"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec

"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable

"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player

"{974C4B12-4D02-4879-85E0-61C95CC63E9E}" = Fallout 3

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{A82A468C-E6DB-4B54-A061-60130F532F30}" = Philips Key Ring Audio Player

"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder

"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter

"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.2 - Deutsch

"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder

"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter

"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C950420B-4182-49EA-850A-A6A2ABF06C6B}" = Marvell Miniport Driver

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"{FB8148DD-C575-4B0A-9F6C-0CFC46937930}" = Opera 10.10

"{FD052FB9-FE90-4438-B355-15EDC89D8FB1}" = Microsoft Games for Windows - LIVE Redistributable

"7-Zip" = 7-Zip 9.10 beta

"AC3File_is1" = AC3File 0.7b

"AC3Filter" = AC3Filter (remove only)

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"ArmA 2" = ArmA 2 Uninstall

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"BitTorrent" = BitTorrent

"BrothersInArmsEiB" = Brothers In Arms EiB

"DivX Content Uploader" = DivX Content Uploader

"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters

"ie8" = Windows Internet Explorer 8

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)

"NVIDIA Display Control Panel" = NVIDIA Display Control Panel

"NVIDIA Drivers" = NVIDIA Drivers

"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager

"Operation Flashpoint" = Operation Flashpoint uninstall

"PANZERS - Phase1" = PANZERS - Phase1

"VLC media player" = VLC media player 0.9.8a

"Windows XP Service Pack" = Windows XP Service Pack 3

"WinRAR archiver" = WinRAR

"WinZip" = WinZip

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 06.07.2010 11:26:22 | Computer Name = MARC | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung fallout3.exe, Version 1.0.0.12, fehlgeschlagenes

 Modul fallout3.exe, Version 1.0.0.12, Fehleradresse 0x006d9558.

 

Error - 06.07.2010 11:54:58 | Computer Name = MARC | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung fallout3.exe, Version 1.0.0.12, fehlgeschlagenes

 Modul unknown, Version 0.0.0.0, Fehleradresse 0xb8908900.

 

Error - 08.07.2010 13:15:37 | Computer Name = MARC | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung firefox.exe, Version 1.9.1.3776, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 11.07.2010 12:50:17 | Computer Name = MARC | Source = crypt32 | ID = 131083

Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen

 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>

 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 

nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel

 in der signierten Datei.  .

 

Error - 11.07.2010 12:50:17 | Computer Name = MARC | Source = crypt32 | ID = 131083

Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen

 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>

 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 

nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel

 in der signierten Datei.  .

 

Error - 19.07.2010 16:06:56 | Computer Name = MARC | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung wmplayer.exe, Version 9.0.0.4503, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 19.07.2010 16:07:14 | Computer Name = MARC | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung wmplayer.exe, Version 9.0.0.4503, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 19.07.2010 16:08:12 | Computer Name = MARC | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung wmplayer.exe, Version 9.0.0.4503, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 19.07.2010 16:09:15 | Computer Name = MARC | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung wmplayer.exe, Version 9.0.0.4503, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 26.07.2010 08:57:05 | Computer Name = MARC | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung vlc.exe, Version 0.9.8.1, fehlgeschlagenes

 Modul libvlccore.dll, Version 0.9.8.1, Fehleradresse 0x00073fc7.

 

[ System Events ]

Error - 01.08.2010 03:18:26 | Computer Name = MARC | Source = Service Control Manager | ID = 7023

Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126

 

Error - 01.08.2010 15:10:25 | Computer Name = MARC | Source = Service Control Manager | ID = 7023

Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126

 

Error - 02.08.2010 01:58:19 | Computer Name = MARC | Source = Service Control Manager | ID = 7023

Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126

 

Error - 02.08.2010 05:25:05 | Computer Name = MARC | Source = Service Control Manager | ID = 7023

Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126

 

Error - 02.08.2010 15:43:46 | Computer Name = MARC | Source = Service Control Manager | ID = 7023

Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126

 

Error - 02.08.2010 15:57:32 | Computer Name = MARC | Source = Service Control Manager | ID = 7023

Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126

 

Error - 03.08.2010 04:02:05 | Computer Name = MARC | Source = Service Control Manager | ID = 7023

Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126

 

Error - 03.08.2010 13:32:37 | Computer Name = MARC | Source = Service Control Manager | ID = 7023

Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126

 

Error - 04.08.2010 15:21:22 | Computer Name = MARC | Source = Service Control Manager | ID = 7023

Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%126

 

Error - 04.08.2010 16:06:49 | Computer Name = MARC | Source = sr | ID = 1

Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume2" ist im 

Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung

 wurde angehalten.

 

 

< End of report >

--- --- ---

Hi,

wenn es ein ASUS-Rechner ist, sollte das ungefährlich sein, wenn nicht -äh- könnte es interessant werden:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen!
(nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den
Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

E:\WINDOWS\System32\drivers\ASUSHWIO.SYS

E:\WINDOWS\System32\drivers\ASACPI.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

Was macht der Rechner?

chris

Hi Chris,

ist ein Asus Mainboard.

der Rechner macht nichts was mir auffallen würde. Also keine Popups mehr usw.

ich mach mal gleich die online überprüfung

so
E:\WINDOWS\System32\drivers\ASUSHWIO.SYS

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2010.08.06.00 2010.08.05 -
AntiVir 8.2.4.32 2010.08.05 -
Antiy-AVL 2.0.3.7 2010.08.03 -
Authentium 5.2.0.5 2010.08.05 -
Avast 4.8.1351.0 2010.08.05 -
Avast5 5.0.332.0 2010.08.05 -
AVG 9.0.0.851 2010.08.05 -
BitDefender 7.2 2010.08.05 -
CAT-QuickHeal 11.00 2010.08.05 -
ClamAV 0.96.0.3-git 2010.08.05 -
Comodo 5658 2010.08.05 -
DrWeb 5.0.2.03300 2010.08.05 -
Emsisoft 5.0.0.36 2010.08.05 -
eSafe 7.0.17.0 2010.08.05 -
eTrust-Vet 36.1.7768 2010.08.05 -
F-Prot 4.6.1.107 2010.08.05 -
F-Secure 9.0.15370.0 2010.08.05 -
Fortinet 4.1.143.0 2010.08.05 -
GData 21 2010.08.05 -
Ikarus T3.1.1.84.0 2010.08.05 -
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.05 -
McAfee 5.400.0.1158 2010.08.05 -
McAfee-GW-Edition 2010.1 2010.08.05 -
Microsoft 1.6004 2010.08.05 -
NOD32 5344 2010.08.05 -
Norman 6.05.11 2010.08.05 -
nProtect 2010-08-05.01 2010.08.05 -
Panda 10.0.2.7 2010.08.05 -
PCTools 7.0.3.5 2010.08.04 -
Prevx 3.0 2010.08.06 -
Rising 22.59.03.04 2010.08.05 -
Sophos 4.56.0 2010.08.05 -
Sunbelt 6690 2010.08.05 -
SUPERAntiSpyware 4.40.0.1006 2010.08.05 -
Symantec 20101.1.1.7 2010.08.05 -
TheHacker 6.5.2.1.334 2010.08.05 -
TrendMicro 9.120.0.1004 2010.08.05 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.05 -
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.8.4.3971 2010.08.05 -
VirusBuster 5.0.27.0 2010.08.05 -
weitere Informationen
File size: 10288 bytes
MD5...: c2a6683c9ff46aa70e2c2092b008edc7
SHA1..: 2fa92cc582ccf418aa35fff7df1c4599318f3a02
SHA256: 28f058ef9173868d17d874aa60def056dca35c38c6f964f745ef04013c8078b7
ssdeep: 192:xPRTrFBvijt9e2PCNvzwKlY+srB31iMjGwP7oZgjlYMva2+ebM45ZMAW:znF
BvijtN6NvzwKlY+srB3cd6jG4bq
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x312
timedatestamp.....: 0x38e1a006 (Wed Mar 29 06:17:42 2000)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x200 0x703 0x720 5.89 067d0be2933c7091f924fdfce061438b
INIT 0x920 0x2ba 0x2c0 5.04 3f00a819ae6fdd0502da3e21804c0559
.reloc 0xbe0 0x8e 0xa0 3.25 f322d1acc1c14df95dd6c56c4243e655

( 2 imports )
> ntoskrnl.exe: READ_REGISTER_ULONG, WRITE_REGISTER_ULONG, WRITE_REGISTER_USHORT, WRITE_REGISTER_UCHAR, READ_REGISTER_USHORT, READ_REGISTER_UCHAR, ObReferenceObjectByHandle, ZwOpenSection, IoDeleteSymbolicLink, ZwUnmapViewOfSection, IofCompleteRequest, IoCreateDevice, RtlInitUnicodeString, IoCreateSymbolicLink, IoDeleteDevice, ZwClose, ZwMapViewOfSection
> HAL.dll: WRITE_PORT_UCHAR, WRITE_PORT_USHORT, WRITE_PORT_ULONG, HalTranslateBusAddress, READ_PORT_UCHAR, READ_PORT_USHORT, READ_PORT_ULONG

( 0 exports )
RDS...: NSRL Reference Data Set
-
trid..: Win16/32 Executable Delphi generic (33.9%)
Generic Win/DOS Executable (32.7%)
DOS Executable Generic (32.7%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

und E:\WINDOWS\System32\drivers\ASACPI.sys

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2010.08.06.00 2010.08.05 -
AntiVir 8.2.4.32 2010.08.05 -
Antiy-AVL 2.0.3.7 2010.08.03 -
Authentium 5.2.0.5 2010.08.05 -
Avast 4.8.1351.0 2010.08.05 -
Avast5 5.0.332.0 2010.08.05 -
AVG 9.0.0.851 2010.08.05 -
BitDefender 7.2 2010.08.05 -
CAT-QuickHeal 11.00 2010.08.05 -
ClamAV 0.96.0.3-git 2010.08.05 -
Comodo 5658 2010.08.05 -
DrWeb 5.0.2.03300 2010.08.05 -
Emsisoft 5.0.0.36 2010.08.05 -
eSafe 7.0.17.0 2010.08.05 -
eTrust-Vet 36.1.7768 2010.08.05 -
F-Prot 4.6.1.107 2010.08.05 -
Fortinet 4.1.143.0 2010.08.05 -
GData 21 2010.08.05 -
Ikarus T3.1.1.84.0 2010.08.05 -
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.05 -
McAfee 5.400.0.1158 2010.08.05 -
McAfee-GW-Edition 2010.1 2010.08.05 -
Microsoft 1.6004 2010.08.05 -
NOD32 5344 2010.08.05 -
Norman 6.05.11 2010.08.05 -
nProtect 2010-08-05.01 2010.08.05 -
Panda 10.0.2.7 2010.08.05 -
PCTools 7.0.3.5 2010.08.04 -
Prevx 3.0 2010.08.05 -
Rising 22.59.03.04 2010.08.05 -
Sophos 4.56.0 2010.08.05 -
Sunbelt 6691 2010.08.05 -
SUPERAntiSpyware 4.40.0.1006 2010.08.05 -
Symantec 20101.1.1.7 2010.08.05 -
TheHacker 6.5.2.1.334 2010.08.05 -
TrendMicro 9.120.0.1004 2010.08.05 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.05 -
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.8.4.3971 2010.08.05 -
VirusBuster 5.0.27.0 2010.08.05 -
weitere Informationen
File size: 5810 bytes
MD5...: d48659bb24c48345d926ecb45c1ebdf5
SHA1..: 615d5e86b0da33c0141a8e81ecf0c5650da68f71
SHA256: edede58316827530c25f8085f62ad48ea6d44b0f8ac1917b940f53b02cf72ea6
ssdeep: 96:S4BUueTE4eHDdsDOVvpy2yIHLigZ6l+cS9Te:S4BJH47EVyt8rcH
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xd20
timedatestamp.....: 0x411c2d04 (Fri Aug 13 02:52:52 2004)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2e0 0x812 0x820 6.29 46ceba2efc87f3a0fce242e60e47176b
.rdata 0xb00 0xb8 0xc0 3.05 e8075b9299040dc39b42aceac93cbad7
.data 0xbc0 0x4c 0x60 0.08 7ecbf58ed6cc327cb9a9c24a3b919d6d
PAGE 0xc20 0xeb 0x100 5.32 651a32b87b3093d76ad890db95813868
INIT 0xd20 0x294 0x2a0 5.21 5aa14427dd5e23174e8c6286cdc6d594
.rsrc 0xfc0 0x388 0x3a0 3.26 880e2b73d142268627692357dcdca46e
.reloc 0x1360 0xae 0xc0 4.08 b38f2de102708e0a436b2a7c5d541d22

( 1 imports )
> ntoskrnl.exe: ObReferenceObjectByHandle, IofCompleteRequest, ObfDereferenceObject, PoCallDriver, PoStartNextPowerIrp, IofCallDriver, KeWaitForSingleObject, KeInitializeEvent, KeSetEvent, IoBuildSynchronousFsdRequest, IoDeleteDevice, ExFreePool, ExAllocatePoolWithTag, IoBuildDeviceIoControlRequest, InterlockedExchange, IoAttachDeviceToDeviceStack, IoCreateDevice, IoCreateUnprotectedSymbolicLink, RtlInitUnicodeString

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....:
copyright....:
product......: ATK0110 ACPI Utility
description..: ATK0110 ACPI Utility
original name: ATK0110
internal name: ATK0110
file version.: 1043, 2, 15, 37
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Win64 Executable Generic (95.5%)
Generic Win/DOS Executable (2.2%)
DOS Executable Generic (2.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

Hi,

das ist Okay. Jetzt noch Avira im agressiven Mode und dann sollten wir durch sein...

chris

super danke.
:dankeschoen:
Marc