Trojaner-Board - Explorer öffnet automatisch auf dubiose ISeiten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Explorer öffnet automatisch auf dubiose ISeiten (https://www.trojaner-board.de/90245-explorer-oeffnet-automatisch-dubiose-iseiten.html)

Explorer öffnet automatisch auf dubiose ISeiten

Servus,

hier der Bericht:

HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 03:24:13, on 31.08.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe

C:\Programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe

C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Application Updater\ApplicationUpdater.exe

C:\Programme\Avira\AntiVir Desktop\avshadow.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Vtukib.exe

C:\DOKUME~1\Admin\LOKALE~1\Temp\Vr3.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\FixCamera.exe

C:\WINDOWS\tsnp2std.exe

C:\WINDOWS\vsnp2std.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\avmwlanstick\FRITZWLANMini.exe

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\Programme\Epson Software\Event Manager\EEventManager.exe

C:\Programme\DivX\DivX Update\DivXUpdate.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Mozilla Firefox\plugin-container.exe

C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Downloads\HiJackThis204.exe

C:\Programme\Avira\AntiVir Desktop\avwsc.exe
 

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll

O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll

O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe

O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe

O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [EEventManager] "C:\Programme\Epson Software\Event Manager\EEventManager.exe"

O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKCU\..\Run: [EPSON SX420W Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE /FU "C:\WINDOWS\TEMP\E_S7A.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [Epson Stylus SX420W(Netzwerk)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE /FU "C:\WINDOWS\TEMP\E_S7D.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [Epson Stylus SX420W(Netzwerk) (1 kopieren)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE /FU "C:\WINDOWS\TEMP\E_S75.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [XBV6RD5SZF] C:\DOKUME~1\Admin\LOKALE~1\Temp\Vr3.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm

O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs:  

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: ABBYY FineReader 9.0 Sprint Licensing Service (ABBYY.Licensing.FineReader.Sprint.9.0) - ABBYY - C:\Programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater.exe

O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

--

End of file - 8215 bytes

--- --- ---

Hoffe jemand hat guten Rat und ich muss nicht formatieren......

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\Programme\Application Updater\ApplicationUpdater.exe

C:\WINDOWS\Vtukib.exe

C:\DOKUME~1\Admin\LOKALE~1\Temp\Vr3.exe

C:\WINDOWS\FixCamera.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

Registry values to replace with dummy: 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs 
 

Files to delete:

C:\WINDOWS\Vtukib.exe

C:\DOKUME~1\Admin\LOKALE~1\Temp\Vr3.exe

C:\WINDOWS\FixCamera.exe <- nur wenn erkannt!
 

Folders to delete:

C:\Programme\pdfforge Toolbar

C:\DOKUME~1\Admin\LOKALE~1\Temp

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
(Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren:
Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->dHäkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen)->exit)

Code:

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll

O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll

O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\pdfforge Toolbar\SearchSettings.dll

O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

Poste die Logfiles hier in den Thread

Chris

Vielen Dank....
So hier die Auswertungen von Virustotal:

File name:
ApplicationUpdater.exe
Submission date:
2010-08-31 10:25:15 (UTC)
Current status:
queued queued (#16) analysing finished
Result:
0/ 43 (0.0%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.31.00 2010.08.31 -
AntiVir 8.2.4.46 2010.08.31 -
Antiy-AVL 2.0.3.7 2010.08.31 -
Authentium 5.2.0.5 2010.08.31 -
Avast 4.8.1351.0 2010.08.30 -
Avast5 5.0.594.0 2010.08.30 -
AVG 9.0.0.851 2010.08.31 -
BitDefender 7.2 2010.08.31 -
CAT-QuickHeal 11.00 2010.08.31 -
ClamAV 0.96.2.0-git 2010.08.31 -
Comodo 5921 2010.08.31 -
DrWeb 5.0.2.03300 2010.08.31 -
Emsisoft 5.0.0.37 2010.08.31 -
eSafe 7.0.17.0 2010.08.30 -
eTrust-Vet 36.1.7828 2010.08.31 -
F-Prot 4.6.1.107 2010.08.31 -
F-Secure 9.0.15370.0 2010.08.31 -
Fortinet 4.1.143.0 2010.08.30 -
GData 21 2010.08.31 -
Ikarus T3.1.1.88.0 2010.08.31 -
Jiangmin 13.0.900 2010.08.30 -
K7AntiVirus 9.63.2396 2010.08.30 -
Kaspersky 7.0.0.125 2010.08.31 -
McAfee 5.400.0.1158 2010.08.31 -
McAfee-GW-Edition 2010.1B 2010.08.31 -
Microsoft 1.6103 2010.08.31 -
NOD32 5411 2010.08.31 -
Norman 6.05.11 2010.08.31 -
nProtect 2010-08-31.01 2010.08.31 -
Panda 10.0.2.7 2010.08.30 -
PCTools 7.0.3.5 2010.08.31 -
Prevx 3.0 2010.08.31 -
Rising 22.63.01.04 2010.08.31 -
Sophos 4.56.0 2010.08.31 -
Sunbelt 6816 2010.08.31 -
SUPERAntiSpyware 4.40.0.1006 2010.08.31 -
Symantec 20101.1.1.7 2010.08.31 -
TheHacker 6.5.2.1.359 2010.08.31 -
TrendMicro 9.120.0.1004 2010.08.31 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.31 -
VBA32 3.12.14.0 2010.08.30 -
ViRobot 2010.8.9.3978 2010.08.31 -
VirusBuster 5.0.27.0 2010.08.30 -
Additional information
Show all
MD5 : 293e66aa529f0fba1aa56340e293a389
SHA1 : 48ce7f1e56dbfc352c67e8081b4381f4e6826b2f
SHA256: bb9a50948b0fe28011566a1d36c4e9b6485bac0d1e95eb2ded0b82422f495a81
ssdeep: 6144:vr/SAkKLe/YJNqofIC52Cp1Mz3PP0THhwn5LEL1IoYc9+dMYphAG2pXHyl:vr/SGVJNq3C
5swTH+5LExIXcyMB1Sl
File size : 380928 bytes
First seen: 2010-01-10 04:02:46
Last seen : 2010-08-31 10:25:15
TrID:
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: Spigot, Inc.
copyright....: Copyright (c) 2005-2010 Spigot, Inc.
product......: Application Updater
description..: Application Updater
original name: ApplicationUpdater.exe
internal name: ApplicationUpdater.exe
file version.: 1, 1, 2, 16
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x262B3
timedatestamp....: 0x4B466550 (Thu Jan 07 22:50:56 2010)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x3C720, 0x3C800, 6.58, f195a9d454545c612d5a551a0bb2e2f0
.rdata, 0x3E000, 0xD9B6, 0xDA00, 4.40, 681fe8d140e5174e54f285ff2f8a8743
.data, 0x4C000, 0x3CD8, 0x2000, 3.91, f908c422863a7204286416e707954749
.rsrc, 0x50000, 0xC0B4, 0xC200, 4.37, 00aa443a264e5de7e350df883da84035
.reloc, 0x5D000, 0x46B0, 0x4800, 5.41, d0754f8de750fcd104350f2eea9de0df

[[ 9 import(s) ]]
KERNEL32.dll: CreateDirectoryW, MoveFileExW, DeleteFileW, CopyFileW, GetTempFileNameW, FindFirstFileW, FindNextFileW, FindClose, GetFileAttributesW, GetVersionExW, TerminateProcess, GetModuleHandleA, GetProcAddress, GetVersion, LoadLibraryW, OutputDebugStringA, GetTempPathW, CreateMutexW, GetPrivateProfileStringW, CreateThread, MultiByteToWideChar, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, SetErrorMode, FreeLibrary, SetEnvironmentVariableA, CompareStringW, CompareStringA, FlushFileBuffers, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, GetLocaleInfoA, GetConsoleMode, GetConsoleCP, InitializeCriticalSectionAndSpinCount, LoadLibraryA, ExpandEnvironmentStringsW, ReadFile, WideCharToMultiByte, GetCurrentProcessId, GetCurrentThreadId, FindResourceExW, FindResourceW, LoadResource, LockResource, SizeofResource, SetFilePointer, CreateFileW, WriteFile, HeapAlloc, FormatMessageW, HeapFree, GetProcessHeap, InterlockedIncrement, lstrlenA, OutputDebugStringW, DebugBreak, InterlockedDecrement, lstrlenW, OpenProcess, Process32NextW, Process32FirstW, CreateToolhelp32Snapshot, GetModuleHandleW, ReleaseMutex, OpenMutexW, Sleep, SetLastError, CloseHandle, LocalFree, RaiseException, SetEvent, WaitForSingleObject, CreateEventW, GetLastError, GetModuleFileNameW, InitializeCriticalSection, GetTimeZoneInformation, GetDateFormatA, GetTimeFormatA, GetTickCount, QueryPerformanceCounter, GetStartupInfoA, GetFileType, SetHandleCount, GetCommandLineW, GetEnvironmentStringsW, FreeEnvironmentStringsW, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, VirtualFree, HeapCreate, GetModuleFileNameA, GetStdHandle, ExitProcess, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, RtlUnwind, VirtualQuery, GetSystemInfo, VirtualAlloc, VirtualProtect, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetSystemTimeAsFileTime, HeapSize, HeapReAlloc, HeapDestroy
USER32.dll: RealGetWindowClassW, LoadStringW, ModifyMenuW, CharNextW, IsWindow, IsMenu, SetWindowTextW, wvsprintfW, LoadImageW, SendMessageW, LoadBitmapW, GetSystemMetrics
ADVAPI32.dll: RegCreateKeyExW, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorLength, MakeSelfRelativeSD, GetSecurityDescriptorControl, GetSecurityDescriptorOwner, GetSecurityDescriptorGroup, GetSecurityDescriptorDacl, GetSecurityDescriptorSacl, RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegEnumKeyExW, RegOpenKeyExW, RegCloseKey, CreateProcessAsUserW, OpenProcessToken, DuplicateTokenEx, GetTokenInformation, LookupAccountSidW, IsValidSid, GetLengthSid, ConvertSidToStringSidW, CopySid, DeleteService, OpenServiceW, DeregisterEventSource, ReportEventW, RegisterEventSourceW, SetServiceStatus, RegisterServiceCtrlHandlerW, CloseServiceHandle, CreateServiceW, OpenSCManagerW, StartServiceCtrlDispatcherW
SHELL32.dll: ShellExecuteW, SHGetFolderPathW
ole32.dll: CoCreateInstance, CoTaskMemFree, OleRun
OLEAUT32.dll: -, -, -, -, -, -, -
SHLWAPI.dll: PathAppendW, PathAddBackslashW, PathFileExistsW, PathIsDirectoryW
USERENV.dll: LoadUserProfileW, CreateEnvironmentBlock, DestroyEnvironmentBlock, UnloadUserProfile
WININET.dll: HttpOpenRequestW, InternetGetConnectedState, InternetQueryOptionW, HttpQueryInfoW, InternetCrackUrlW, InternetCloseHandle, InternetReadFile, HttpSendRequestW, InternetConnectW, InternetOpenW

File name:
Vtukib.exe
Submission date:
2010-08-31 10:27:32 (UTC)
Current status:
queued queued analysing finished
Result:
19/ 43 (44.2%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.31.00 2010.08.31 -
AntiVir 8.2.4.46 2010.08.31 -
Antiy-AVL 2.0.3.7 2010.08.31 -
Authentium 5.2.0.5 2010.08.31 W32/Renos.A!Generic
Avast 4.8.1351.0 2010.08.30 -
Avast5 5.0.594.0 2010.08.30 -
AVG 9.0.0.851 2010.08.31 -
BitDefender 7.2 2010.08.31 Gen:Variant.Renos.41
CAT-QuickHeal 11.00 2010.08.31 -
ClamAV 0.96.2.0-git 2010.08.31 -
Comodo 5921 2010.08.31 -
DrWeb 5.0.2.03300 2010.08.31 Trojan.DownLoader1.18078
Emsisoft 5.0.0.37 2010.08.31 Trojan-Downloader.Win32.CodecPack!IK
eSafe 7.0.17.0 2010.08.30 -
eTrust-Vet 36.1.7828 2010.08.31 Win32/Renos.D!generic
F-Prot 4.6.1.107 2010.08.31 W32/Renos.A!Generic
F-Secure 9.0.15370.0 2010.08.31 Gen:Variant.Renos.41
Fortinet 4.1.143.0 2010.08.30 -
GData 21 2010.08.31 Gen:Variant.Renos.41
Ikarus T3.1.1.88.0 2010.08.31 Trojan-Downloader.Win32.CodecPack
Jiangmin 13.0.900 2010.08.30 -
K7AntiVirus 9.63.2396 2010.08.30 Virus
Kaspersky 7.0.0.125 2010.08.31 -
McAfee 5.400.0.1158 2010.08.31 -
McAfee-GW-Edition 2010.1B 2010.08.31 Heuristic.BehavesLike.Win32.Suspicious.H
Microsoft 1.6103 2010.08.31 -
NOD32 5411 2010.08.31 a variant of Win32/Kryptik.GLD
Norman 6.05.11 2010.08.31 -
nProtect 2010-08-31.01 2010.08.31 Gen:Variant.Renos.41
Panda 10.0.2.7 2010.08.30 Suspicious file
PCTools 7.0.3.5 2010.08.31 Trojan.FakeAV
Prevx 3.0 2010.08.31 Medium Risk Malware
Rising 22.63.01.04 2010.08.31 -
Sophos 4.56.0 2010.08.31 Mal/FakeAV-CX
Sunbelt 6816 2010.08.31 VirTool.Win32.Obfuscator.hg!b (v)
SUPERAntiSpyware 4.40.0.1006 2010.08.31 -
Symantec 20101.1.1.7 2010.08.31 Trojan.FakeAV!gen24
TheHacker 6.5.2.1.359 2010.08.31 -
TrendMicro 9.120.0.1004 2010.08.31 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.31 -
VBA32 3.12.14.0 2010.08.30 -
ViRobot 2010.8.9.3978 2010.08.31 -
VirusBuster 5.0.27.0 2010.08.30 -
Additional information
Show all
MD5 : 8b930eea287ee9213d2e79715ed36306
SHA1 : dbe0a9700f29cd596b87c103079caf9035b14a32
SHA256: 61e71c7cbefbc191130ca55b4c956bb20e843ecc13854d2affab38d72b905b54
ssdeep: 3072:QkZ8LTkNf6PPjg1UvnPKn8xkQMNk9IQ1drjg9rxM/S8a:5mpfinWMNb9rW
File size : 202752 bytes
First seen: 2010-08-31 10:27:32
Last seen : 2010-08-31 10:27:32
TrID:
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: OpenSC Project
copyright....: Onexs
product......: Onex
description..: Onex
original name: Onex.exe
internal name: Onex
file version.: 0.3.3.0
comments.....: OnexEx
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x5826
timedatestamp....: 0x4B5FE4E5 (Wed Jan 27 07:01:57 2010)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
CODE, 0x1000, 0xB659, 0xB800, 4.52, 2c5946ae24b9eb457601e200fc02ca41
.rdata, 0xD000, 0x355A6, 0x22600, 7.13, 9c2da8d9487b1212b36d1772920a8ab5
.data, 0x43000, 0x9D7, 0xA00, 0.02, 8ccc1ecb5833ce42003ad951cb7202da
.rsrc, 0x44000, 0x2860, 0x2A00, 3.47, bb2b432e44a1a042e990f3aae90a7ba5

[[ 4 import(s) ]]
USER32.dll: IsWindowVisible, GetFocus, IsRectEmpty, WindowFromPoint, CreateMenu, ShowWindow, GetCursor, EnableMenuItem, LoadCursorA, GetSysColorBrush, GetWindowLongW, IntersectRect
GDI32.dll: SetBkColor, GetCurrentPositionEx, SelectPalette, GetRgnBox, CreateFontIndirectA
SHLWAPI.dll: SHEnumValueA, SHQueryInfoKeyA, SHSetValueA, SHGetValueA, PathGetCharTypeA
kernel32.dll: GetCurrentProcessId, SizeofResource, SetLastError, LoadResource, GetStringTypeW, CompareStringA, HeapDestroy, ResetEvent, LoadLibraryExA, FindResourceA, WideCharToMultiByte, GetSystemDefaultLangID, VirtualFree, lstrcmpiA, GlobalFindAtomA, GetLastError, EnumCalendarInfoA, FreeResource, GetACP, GetOEMCP, VirtualQuery, InitializeCriticalSection, ReadFile, SetEvent, LocalAlloc, SetThreadLocale, DeleteFileA, SetErrorMode, MoveFileExA, GlobalAddAtomA, VirtualAlloc, CreateEventA, GetVersionExA, HeapAlloc, GetEnvironmentStrings, HeapFree, DeleteCriticalSection, CloseHandle, ExitThread, lstrcmpA, GetProcAddress, LocalFree, SetHandleCount, GetStartupInfoA, MulDiv, CreateFileA, MoveFileA, GetFullPathNameA, GetProcessHeap, VirtualAllocEx, GetCurrentThreadId, GetCurrentThread, GetModuleHandleA, GetDateFormatA, GetCommandLineA, lstrlenA, FreeLibrary, GetDiskFreeSpaceA, lstrcpynA
Prevx Info:
Prevx

File name:
Vr3.exe
Submission date:
2010-08-31 10:30:21 (UTC)
Current status:
queued (#25) queued analysing finished
Result:
20/ 43 (46.5%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.31.00 2010.08.31 -
AntiVir 8.2.4.46 2010.08.31 -
Antiy-AVL 2.0.3.7 2010.08.31 -
Authentium 5.2.0.5 2010.08.31 W32/Renos.A!Generic
Avast 4.8.1351.0 2010.08.30 -
Avast5 5.0.594.0 2010.08.30 -
AVG 9.0.0.851 2010.08.31 -
BitDefender 7.2 2010.08.31 Gen:Variant.Renos.41
CAT-QuickHeal 11.00 2010.08.31 Win32.Packed.Katusha.o.6
ClamAV 0.96.2.0-git 2010.08.31 -
Comodo 5921 2010.08.31 -
DrWeb 5.0.2.03300 2010.08.31 -
Emsisoft 5.0.0.37 2010.08.31 -
eSafe 7.0.17.0 2010.08.30 -
eTrust-Vet 36.1.7828 2010.08.31 Win32/Renos.D!generic
F-Prot 4.6.1.107 2010.08.31 W32/Renos.A!Generic
F-Secure 9.0.15370.0 2010.08.31 Gen:Variant.Renos.41
Fortinet 4.1.143.0 2010.08.30 -
GData 21 2010.08.31 Gen:Variant.Renos.41
Ikarus T3.1.1.88.0 2010.08.31 -
Jiangmin 13.0.900 2010.08.30 -
K7AntiVirus 9.63.2396 2010.08.30 Virus
Kaspersky 7.0.0.125 2010.08.31 -
McAfee 5.400.0.1158 2010.08.31 Downloader-CEW.b
McAfee-GW-Edition 2010.1B 2010.08.31 Heuristic.BehavesLike.Win32.Suspicious.H
Microsoft 1.6103 2010.08.31 -
NOD32 5411 2010.08.31 a variant of Win32/Kryptik.GLG
Norman 6.05.11 2010.08.31 -
nProtect 2010-08-31.01 2010.08.31 Gen:Variant.Renos.41
Panda 10.0.2.7 2010.08.30 Suspicious file
PCTools 7.0.3.5 2010.08.31 Trojan.FakeAV
Prevx 3.0 2010.08.31 High Risk Cloaked Malware
Rising 22.63.01.04 2010.08.31 -
Sophos 4.56.0 2010.08.31 Mal/FakeAV-CX
Sunbelt 6816 2010.08.31 VirTool.Win32.Obfuscator.hg!b (v)
SUPERAntiSpyware 4.40.0.1006 2010.08.31 -
Symantec 20101.1.1.7 2010.08.31 Trojan.FakeAV!gen24
TheHacker 6.5.2.1.359 2010.08.31 -
TrendMicro 9.120.0.1004 2010.08.31 TROJ_FAKEAV.SMA5
TrendMicro-HouseCall 9.120.0.1004 2010.08.31 TROJ_FAKEAV.SMA5
VBA32 3.12.14.0 2010.08.30 -
ViRobot 2010.8.9.3978 2010.08.31 -
VirusBuster 5.0.27.0 2010.08.30 -
Additional information
Show all
MD5 : b1a934c3f8284a390976ffa84defd927
SHA1 : c96e8ced2425b06c53f6fd8652d89fa31f65de11
SHA256: 7196dde8c43b6160fc679759313f098d3204501aec1dd9c644283e9af64b3d9b
ssdeep: 3072:wQGaB/SPMMnqhiE8RIf/nyCWfgfHv024UGJLlMvzrbRY/X+5dxS8a:tZfKqYJgfSpMLRSu
File size : 188416 bytes
First seen: 2010-08-31 10:30:21
Last seen : 2010-08-31 10:30:21
TrID:
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: OpenSC Project
copyright....: Onexs
product......: Onex
description..: Onex
original name: Onex.exe
internal name: Onex
file version.: 0.3.3.0
comments.....: OnexEx
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x4A8D
timedatestamp....: 0x4A8E284E (Fri Aug 21 04:53:34 2009)
machinetype......: 0x14c (I386)

[[ 6 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
CODE, 0x1000, 0x8008, 0x8200, 4.81, b66ab8f11120f100f1cfd1d20c4ce559
.rdata, 0xA000, 0x3B306, 0x21400, 7.44, 73b70681da24e05f67922758832f6ad6
.idata, 0x46000, 0xBEE, 0xC00, 0.00, d2a70550489de356a2cd6bfc40711204
.data, 0x47000, 0x2C1, 0x400, 0.00, 0f343b0931126a20f133d67c2b018a3b
.cdata, 0x48000, 0x835, 0xA00, 0.05, 39ba96ada625ff15a21dd9da42406ea1
.rsrc, 0x49000, 0x2860, 0x2A00, 3.47, 289fba1b816374b3b7321db0fd6f3f05

[[ 4 import(s) ]]
SHLWAPI.dll: SHDeleteValueA, PathIsContentTypeA, SHDeleteKeyA, PathIsDirectoryA, SHQueryValueExA
kernel32.dll: GetFileType, GetModuleHandleA, GetCurrentThreadId, MoveFileA, ReadFile, CloseHandle, FormatMessageA, InitializeCriticalSection, GlobalAlloc, SetEvent, LocalAlloc, SetLastError, GetModuleFileNameA, GetProcessHeap, ExitThread, GetVersion, GetFullPathNameA, FreeResource, SetHandleCount, LoadLibraryExA, CreateFileA, GetCommandLineA, GetDateFormatA, GetCurrentThread, GetLastError, CreateEventA, EnumCalendarInfoA, CompareStringA, lstrcatA, GetStartupInfoA, ResetEvent, ExitProcess, lstrlenA, FindClose, CreateThread, WideCharToMultiByte, GetTickCount, lstrcpyA, SizeofResource, GetDiskFreeSpaceA, EnterCriticalSection, Sleep, GetStringTypeW, FindFirstFileA, LockResource, MulDiv, VirtualAllocEx, lstrcmpiA, VirtualQuery, RaiseException, LoadLibraryA, GetACP, GetLocaleInfoA, GetProcAddress, FindResourceA
gdi32.dll: SetPixel, GetRgnBox, SelectObject, CreateDIBSection, GetClipBox, SaveDC
USER32.dll: IsWindowVisible, MessageBoxA, PeekMessageA, GetFocus, CheckMenuItem, InsertMenuItemA, IsWindow, GetCursor, SetActiveWindow, IsWindowEnabled, TranslateMDISysAccel
Prevx Info:
Prevx

File name:
FixCamera.exe
Submission date:
2010-08-31 10:32:20 (UTC)
Current status:
queued queued analysing finished
Result:
1/ 42 (2.4%)

VT Community

controversial
Safety score: 50.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.08.31.00 2010.08.31 -
AntiVir 8.2.4.46 2010.08.31 -
Antiy-AVL 2.0.3.7 2010.08.31 -
Authentium 5.2.0.5 2010.08.31 -
Avast 4.8.1351.0 2010.08.30 -
Avast5 5.0.594.0 2010.08.30 -
AVG 9.0.0.851 2010.08.31 -
BitDefender 7.2 2010.08.31 -
CAT-QuickHeal 11.00 2010.08.31 -
ClamAV 0.96.2.0-git 2010.08.31 -
Comodo 5921 2010.08.31 -
DrWeb 5.0.2.03300 2010.08.31 -
eSafe 7.0.17.0 2010.08.30 -
eTrust-Vet 36.1.7828 2010.08.31 -
F-Prot 4.6.1.107 2010.08.31 -
F-Secure 9.0.15370.0 2010.08.31 -
Fortinet 4.1.143.0 2010.08.30 -
GData 21 2010.08.31 -
Ikarus T3.1.1.88.0 2010.08.31 -
Jiangmin 13.0.900 2010.08.30 -
K7AntiVirus 9.63.2396 2010.08.30 Trojan
Kaspersky 7.0.0.125 2010.08.31 -
McAfee 5.400.0.1158 2010.08.31 -
McAfee-GW-Edition 2010.1B 2010.08.31 -
Microsoft 1.6103 2010.08.31 -
NOD32 5411 2010.08.31 -
Norman 6.05.11 2010.08.31 -
nProtect 2010-08-31.01 2010.08.31 -
Panda 10.0.2.7 2010.08.30 -
PCTools 7.0.3.5 2010.08.31 -
Prevx 3.0 2010.08.31 -
Rising 22.63.01.04 2010.08.31 -
Sophos 4.56.0 2010.08.31 -
Sunbelt 6816 2010.08.31 -
SUPERAntiSpyware 4.40.0.1006 2010.08.31 -
Symantec 20101.1.1.7 2010.08.31 -
TheHacker 6.5.2.1.359 2010.08.31 -
TrendMicro 9.120.0.1004 2010.08.31 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.31 -
VBA32 3.12.14.0 2010.08.30 -
ViRobot 2010.8.9.3978 2010.08.31 -
VirusBuster 5.0.27.0 2010.08.30 -
Additional information
Show all
MD5 : 1c1db86a882ab2532eec09507190e019
SHA1 : 439970c503f460e7dabb0d661038bd411a5c6d61
SHA256: 16204ff683c992bee4776c2716476ba61c432d674966bed3b350b099af8a2975
ssdeep: 192:v4N/FeIoQiuT51oYtD8A7AtDJ1oyn51VRK6VLuikufP3:ABFHoqE131Cdu
File size : 20480 bytes
First seen: 2007-11-24 16:37:08
Last seen : 2010-08-31 10:32:20
TrID:
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
sigcheck:
publisher....:
copyright....: Copyright (C) 2005
product......: CameraFixer Application
description..: CameraFixer MFC Application
original name: CameraFixer.EXE
internal name: CameraFixer
file version.: 1, 0, 1, 1
comments.....:
signers......: -
signing date.: -
verified.....: Unsigned
PEiD: Armadillo v1.71
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x19BE
timedatestamp....: 0x4694904B (Wed Jul 11 08:09:47 2007)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0xC12, 0x1000, 4.79, 2bf6e63696bdec92fe810787bd019e29
.rdata, 0x2000, 0xA5E, 0x1000, 3.76, d67d30c868afb5a48b37a42cca0349f6
.data, 0x3000, 0x198, 0x1000, 0.32, b6941301e1b1663258b4825697a4d8ec
.rsrc, 0x4000, 0xA18, 0x1000, 2.34, 951c08db347f88bf189d7eba399407c4

[[ 5 import(s) ]]
MFC42.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
MSVCRT.dll: _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, _setmbcp, __CxxFrameHandler, _strupr, strstr, _controlfp, __dllonexit, _onexit, _exit, _XcptFilter, exit
KERNEL32.dll: GetModuleHandleA, GetCurrentProcessId, CreateToolhelp32Snapshot, Process32First, OpenProcess, TerminateProcess, CloseHandle, GetStartupInfoA, GetCurrentProcess, Process32Next
USER32.dll: EnableWindow, KillTimer, IsIconic, GetSystemMetrics, DrawIcon, SendMessageA, SetTimer, LoadIconA, GetClientRect
ADVAPI32.dll: RegEnumValueA, RegDeleteValueA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, RegOpenKeyExA

Hier die Auswertung von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\Vtukib.exe" deleted successfully.
File "C:\DOKUME~1\Admin\LOKALE~1\Temp\Vr3.exe" deleted successfully.
File "C:\WINDOWS\FixCamera.exe" deleted successfully.
Folder "C:\Programme\pdfforge Toolbar" deleted successfully.
Folder "C:\DOKUME~1\Admin\LOKALE~1\Temp" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

Hi,

bitte noch mit HJ fixen und MAM im Fullscan und danach OTL...

chris

HJ wurde gefixt.

Hier der Bericht von MAM um Fullscan:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4513

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

31.08.2010 14:06:33
mbam-log-2010-08-31 (14-06-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 194934
Laufzeit: 38 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XBV6RD5SZF (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xbv6rd5szf (Trojan.FakeAlert) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\CryptLoad\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
C:\WINDOWS\Vtukia.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> No action taken.

Hi,

bitte umgehend von MAM alles fixen/bereinigen lassen, dann OTL..

chris

Und nun noch OTL:

Extras.Txt:OTL Logfile:

Code:

OTL Extras logfile created on: 31.08.2010 14:11:50 - Run 1

OTL by OldTimer - Version 3.2.11.0     Folder = C:\Dokumente und Einstellungen\Admin\Desktop\Viren

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 75,00% Memory free

4,00 Gb Paging File | 3,00 Gb Available in Paging File | 90,00% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 335,34 Gb Total Space | 33,80 Gb Free Space | 10,08% Space Free | Partition Type: NTFS

D: Drive not present or media not loaded

E: Drive not present or media not loaded

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: ACID

Current User Name: Admin

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

 

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]

.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 1

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007

"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008

"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002

"1040:TCP" = 1040:TCP:*:Enabled:Akamai NetSession Interface

"5000:UDP" = 5000:UDP:*:Enabled:Akamai NetSession Interface

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"C:\Programme\ICQ7.1\ICQ.exe" = C:\Programme\ICQ7.1\ICQ.exe:*:Enabled:ICQ7.1 -- (ICQ, LLC.)

"C:\Programme\ICQ7.1\aolload.exe" = C:\Programme\ICQ7.1\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Programme\ICQ7.1\ICQ.exe" = C:\Programme\ICQ7.1\ICQ.exe:*:Enabled:ICQ7.1 -- (ICQ, LLC.)

"C:\Programme\ICQ7.1\aolload.exe" = C:\Programme\ICQ7.1\aolload.exe:*:Enabled:aolload.exe -- (AOL LLC)

"C:\Programme\Counter-Strike\hl.exe" = C:\Programme\Counter-Strike\hl.exe:*:Disabled:Half-Life Launcher -- (Valve)

"C:\Programme\Electronic Arts\The Battle for Middle-earth (tm) II\game.dat" = C:\Programme\Electronic Arts\The Battle for Middle-earth (tm) II\game.dat:*:Enabled:The Battle for Middle-earth(tm) II -- File not found

"C:\Programme\Valve\Steam\SteamApps\negrophilian\counter-strike\hl.exe" = C:\Programme\Valve\Steam\SteamApps\negrophilian\counter-strike\hl.exe:*:Enabled:Counter-Strike -- (Valve)

"C:\Programme\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe" = C:\Programme\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe:*:Enabled:Camfrog Client Module -- File not found

"C:\Programme\Valve\Steam\SteamApps\negrophilian\day of defeat\hl.exe" = C:\Programme\Valve\Steam\SteamApps\negrophilian\day of defeat\hl.exe:*:Disabled:Day of Defeat -- (Valve)

"C:\Programme\Electronic Arts\Die Schlacht um Mittelerde II\game.dat" = C:\Programme\Electronic Arts\Die Schlacht um Mittelerde II\game.dat:*:Disabled:Die Schlacht um Mittelerde™ II -- File not found

"C:\Programme\Ubisoft\Crytek\Far Cry\Bin32\FarCry.exe" = C:\Programme\Ubisoft\Crytek\Far Cry\Bin32\FarCry.exe:*:Disabled:Far Cry -- File not found

"C:\Programme\Warcraft III\Warcraft III.exe" = C:\Programme\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III -- File not found

"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)

"C:\Programme\id Software\Quake 4\Quake4.exe" = C:\Programme\id Software\Quake 4\Quake4.exe:*:Enabled:Quake 4 single player -- ()

"C:\Programme\EpsonNet\EpsonNet Setup\tool10\ENEasyApp.exe" = C:\Programme\EpsonNet\EpsonNet Setup\tool10\ENEasyApp.exe:*:Enabled:EpsonNet Setup -- (SEIKO EPSON CORPORATION)

"C:\Programme\Epson Software\Event Manager\EEventManager.exe" = C:\Programme\Epson Software\Event Manager\EEventManager.exe:*:Enabled:EEventManager Application -- (SEIKO EPSON CORPORATION)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator

"{03B8AA32-F23C-4178-B8E6-09ECD07EAA47}" = Epson Event Manager

"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam(TM)

"{06A940CD-4924-485E-8500-476C9E08A820}" = Samsung PC Studio 3

"{152B782A-05F3-48EC-9AAC-4D3EB68D9E20}" = Quake 4(TM)

"{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2

"{1F0D5576-C383-4E5E-9906-0B47BECBB8B6}" = Hama Webcam Suite

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{26A24AE4-039D-4CA4-87B4-2F83216018F0}" = Java(TM) 6 Update 18

"{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java(TM) 6 Update 21

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{39F58DDB-B2B8-4B86-AF20-4706A80EB30D}" = Epson Easy Photo Print 2

"{3E31400D-274E-4647-916C-2CACC3741799}" = EpsonNet Print

"{48A25E19-D9AE-4BBE-9411-6F4C5D328B39}" = Skype™ Beta 5.0

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{5791B7D3-8B34-4218-9750-6A8E45D0AD32}" = pdfforge Toolbar v1.1.2

"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053

"{71BFC818-0CED-42D6-9C87-5142918957EE}" = ICQ7.1

"{75438C0E-9925-412E-AD85-D0E71C6CE2ED}" = hama PC-Webcam Messenger Set II

"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable

"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.4 - Deutsch

"{B2D55EB8-32C5-4B43-9006-9E97DECBA178}" = Epson Easy Photo Print Plug-in for PMB(Picture Motion Browser)

"{BF1EC9C0-9C10-11DF-BBC7-005056C00008}" = Google Earth

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C4A4722E-79F9-417C-BD72-8D359A090C97}" = Samsung PC Studio 3

"{C9D8A041-2963-4B31-8FFC-1500F3DB9293}" = EpsonNet Setup 3.2

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{DF5A03CC-D5AA-43D8-B948-D9903F2AF94A}" = Counter-Strike(TM)

"{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}" = Samsung PC Studio 3 USB Driver Installer

"{F0E2B312-D7FD-4349-A9B6-E90B36DB1BD0}" = Paint.NET v3.5.5

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"{F9000000-0018-0000-0000-074957833700}" = ABBYY FineReader 9.0 Sprint

"ABBYY FineReader 9.0 Sprint" = ABBYY FineReader 9.0 Sprint

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

"Akamai" = Akamai NetSession Interface

"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus

"CCleaner" = CCleaner

"DivX Setup.divx.com" = DivX-Setup

"EPSON Scanner" = EPSON Scan

"EPSON SX420W Series" = EPSON SX420W Series Printer Uninstall

"EPSON SX420W Series Manual" = EPSON SX420W Series Handbuch

"EPSON SX420W Series Network Guide" = EPSON SX420W Series Netzwerk-Handbuch

"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4

"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.6

"InstallShield_{152B782A-05F3-48EC-9AAC-4D3EB68D9E20}" = Quake 4(TM)

"KLiteCodecPack_is1" = K-Lite Codec Pack 5.8.3 (Full)

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware

"ManyCam" = ManyCam 2.5.68 (remove only)

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)

"NVIDIA Drivers" = NVIDIA Drivers

"PokerStars" = PokerStars

"PokerStars.net" = PokerStars.net

"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software

"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set

"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software

"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software

"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software

"Steam App 30" = Day of Defeat

"Uninstall_is1" = Uninstall 1.0.0.1

"VLC media player" = VLC media player 1.0.5

"Windows XP Service Pack" = Windows XP Service Pack 3

"WinRAR archiver" = WinRAR

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 15.06.2010 17:17:00 | Computer Name = ACID | Source = PerfNet | ID = 2004

Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen

werden

 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

 

Error - 17.06.2010 18:23:30 | Computer Name = ACID | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung CryptLoad.exe, Version 1.1.8.0, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 17.06.2010 18:23:38 | Computer Name = ACID | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung CryptLoad.exe, Version 1.1.8.0, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 21.06.2010 08:33:18 | Computer Name = ACID | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: Die Serververbindung konnte nicht hergestellt

 werden.  .

 

Error - 21.06.2010 08:33:41 | Computer Name = ACID | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung

 zurückgegeben.  .

 

Error - 21.06.2010 08:33:42 | Computer Name = ACID | Source = crypt32 | ID = 131080

Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer

 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>

 ist fehlgeschlagen mit dem Fehler: Der angegebene Server kann den angeforderten

 Vorgang nicht ausführen.  .

 

Error - 21.06.2010 10:55:33 | Computer Name = ACID | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung Launcher.exe, Version 3.6.10.26, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 21.06.2010 10:55:33 | Computer Name = ACID | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung Launcher.exe, Version 3.6.10.26, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 21.06.2010 10:56:55 | Computer Name = ACID | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung Launcher.exe, Version 3.6.10.26, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 21.06.2010 10:57:01 | Computer Name = ACID | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung Launcher.exe, Version 3.6.10.26, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

[ System Events ]

Error - 31.08.2010 06:14:41 | Computer Name = ACID | Source = Print | ID = 23

Description = Der Drucker CIB pdf brewer konnte nicht initialisiert werden, da der

 Treiber CIB pdf brewer nicht gefunden wurde.

 

Error - 31.08.2010 06:15:40 | Computer Name = ACID | Source = FWLANUSB | ID = 5002

Description = AVM FRITZ!WLAN USB Stick v1.1 : Fehlfunktion des Adapters wurde ermittelt.

 

Error - 31.08.2010 06:15:43 | Computer Name = ACID | Source = nv | ID = 11141134

Description = Unknown error on CMDre 00000000 00000000 00000000 00000001 00000001

 

Error - 31.08.2010 06:17:02 | Computer Name = ACID | Source = Print | ID = 23

Description = Der Drucker CIB pdf brewer konnte nicht initialisiert werden, da der

 Treiber CIB pdf brewer nicht gefunden wurde.

 

Error - 31.08.2010 06:41:52 | Computer Name = ACID | Source = sr | ID = 1

Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 

Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung

 wurde angehalten.

 

Error - 31.08.2010 06:41:56 | Computer Name = ACID | Source = Print | ID = 23

Description = Der Drucker CIB pdf brewer konnte nicht initialisiert werden, da der

 Treiber CIB pdf brewer nicht gefunden wurde.

 

Error - 31.08.2010 06:47:52 | Computer Name = ACID | Source = Service Control Manager | ID = 7023

Description = Der Dienst "SSHNAS" wurde mit folgendem Fehler beendet:   %%998

 

Error - 31.08.2010 06:47:54 | Computer Name = ACID | Source = Print | ID = 23

Description = Der Drucker CIB pdf brewer konnte nicht initialisiert werden, da der

 Treiber CIB pdf brewer nicht gefunden wurde.

 

Error - 31.08.2010 08:08:12 | Computer Name = ACID | Source = sr | ID = 1

Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 

Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung

 wurde angehalten.

 

Error - 31.08.2010 08:08:13 | Computer Name = ACID | Source = Print | ID = 23

Description = Der Drucker CIB pdf brewer konnte nicht initialisiert werden, da der

 Treiber CIB pdf brewer nicht gefunden wurde.

 

 

< End of report >

--- --- ---

OTL.Txt:OTL Logfile:

Code:

OTL logfile created on: 31.08.2010 14:11:49 - Run 1

OTL by OldTimer - Version 3.2.11.0     Folder = C:\Dokumente und Einstellungen\Admin\Desktop\Viren

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 75,00% Memory free

4,00 Gb Paging File | 3,00 Gb Available in Paging File | 90,00% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 335,34 Gb Total Space | 33,80 Gb Free Space | 10,08% Space Free | Partition Type: NTFS

D: Drive not present or media not loaded

E: Drive not present or media not loaded

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: ACID

Current User Name: Admin

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Minimal

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\Admin\Desktop\Viren\OTL.exe (OldTimer Tools)

PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()

PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)

PRC - C:\Programme\Application Updater\ApplicationUpdater.exe (Spigot, Inc.)

PRC - C:\Programme\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION)

PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIGCE.EXE (SEIKO EPSON CORPORATION)

PRC - C:\Programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe (ABBYY)

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

PRC - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (ArcSoft)

PRC - C:\WINDOWS\vsnp2std.exe (Sonix)

PRC - C:\WINDOWS\tsnp2std.exe ()

PRC - C:\Programme\avmwlanstick\FRITZWLANMini.exe (AVM Berlin)

PRC - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe (SEIKO EPSON CORPORATION)

 

 
 ========== Modules (SafeList) ==========

 

MOD - C:\Dokumente und Einstellungen\Admin\Desktop\Viren\OTL.exe (OldTimer Tools)

MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)

MOD - C:\WINDOWS\system32\framedyn.dll (Microsoft Corporation)

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (Akamai) -- c:\Programme\Gemeinsame Dateien\Akamai\rswin_3745.dll ()

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)

SRV - (Application Updater) -- C:\Programme\Application Updater\ApplicationUpdater.exe (Spigot, Inc.)

SRV - (ABBYY.Licensing.FineReader.Sprint.9.0) -- C:\Programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe (ABBYY)

SRV - (ACDaemon) -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (ArcSoft)

SRV - (EpsonBidirectionalService) -- C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSvc.exe (SEIKO EPSON CORPORATION)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.)

DRV - (SCREAMINGBDRIVER) -- C:\WINDOWS\system32\drivers\ScreamingBAudio.sys (Screaming Bee LLC)

DRV - (Monfilt) -- C:\WINDOWS\system32\drivers\Monfilt.sys (Creative Technology Ltd.)

DRV - (Ambfilt) -- C:\WINDOWS\system32\drivers\Ambfilt.sys (Creative)

DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)

DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)

DRV - (SNP2STD) USB2.0 PC Camera (SNP2STD) -- C:\WINDOWS\system32\drivers\snp2sxp.sys ()

DRV - (sscdmdm) -- C:\WINDOWS\system32\drivers\sscdmdm.sys (MCCI Corporation)

DRV - (sscdmdfl) -- C:\WINDOWS\system32\drivers\sscdmdfl.sys (MCCI Corporation)

DRV - (sscdbus) SAMSUNG USB Composite Device driver (WDM) -- C:\WINDOWS\system32\drivers\sscdbus.sys (MCCI Corporation)

DRV - (ArcSoftKsUFilter) -- C:\WINDOWS\system32\drivers\ArcSoftKsUFilter.sys (ArcSoft, Inc.)

DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)

DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH)

DRV - (avmeject) -- C:\WINDOWS\system32\drivers\avmeject.sys (AVM Berlin)

DRV - (Afc) -- C:\WINDOWS\system32\drivers\afc.sys (Arcsoft, Inc.)

DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys ()

DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398"

FF - prefs.js..browser.startup.homepage: "web.de"

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - prefs.js..extensions.enabledItems: personas@christopher.beard:1.6

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20

FF - prefs.js..extensions.enabledItems: youtube2mp3@mondayx.de:1.0.7

FF - prefs.js..extensions.enabledItems: {872b5b88-9db5-4310-bdd0-ac189557e5f5}:2.7.2.0

FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21

 

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.28 12:07:36 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.21 14:29:39 | 000,000,000 | ---D | M]

 

[2010.04.13 20:52:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions

[2010.08.31 12:27:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\yscs7xvu.default\extensions

[2010.04.27 01:08:17 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\yscs7xvu.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}

[2010.08.25 18:26:44 | 000,000,000 | ---D | M] (DVDVideoSoftTB Toolbar) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\yscs7xvu.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5}

[2010.07.24 12:11:01 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\yscs7xvu.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}

[2010.08.25 18:26:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\yscs7xvu.default\extensions\personas@christopher.beard

[2010.07.24 12:15:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\yscs7xvu.default\extensions\youtube2mp3@mondayx.de

[2010.08.31 12:42:34 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions

[2010.05.02 20:13:41 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

[2010.08.05 17:18:26 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

[2010.07.17 05:00:04 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll

[2010.07.27 13:44:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml

[2010.07.27 13:44:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml

[2010.07.27 13:44:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml

[2010.07.27 13:44:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml

[2010.07.27 13:44:38 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)

O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)

O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe (AVM Berlin)

O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()

O4 - HKLM..\Run: [EEventManager] C:\Programme\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION)

O4 - HKLM..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe File not found

O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)

O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()

O4 - HKLM..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe File not found

O4 - HKLM..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe (Sonix)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - HKLM..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe ()

O4 - HKCU..\Run: [Epson Stylus SX420W(Netzwerk)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE (SEIKO EPSON CORPORATION)

O4 - HKCU..\Run: [Epson Stylus SX420W(Netzwerk) (1 kopieren)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE (SEIKO EPSON CORPORATION)

O4 - HKCU..\Run: [EPSON SX420W Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE (SEIKO EPSON CORPORATION)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm ()

O9 - Extra Button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe (ICQ, LLC.)

O9 - Extra 'Tools' menuitem : ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe (ICQ, LLC.)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2010.04.13 20:42:13 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *) -  File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2010.08.31 12:51:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes

[2010.08.31 12:51:03 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010.08.31 12:51:01 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010.08.31 12:51:01 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2010.08.31 12:51:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2010.08.31 12:44:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\Viren

[2010.08.31 01:29:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe

[2010.08.30 17:53:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\BoneTown

[2010.08.30 17:04:03 | 000,107,888 | ---- | C] (Sony DADC Austria AG.) -- C:\WINDOWS\System32\CmdLineExt.dll

[2010.08.30 17:04:03 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\SecuROM

[2010.08.30 16:51:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\ManyCam

[2010.08.30 16:33:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ManyCam

[2010.08.30 16:33:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\ManyCam

[2010.08.30 16:33:44 | 000,000,000 | ---D | C] -- C:\Programme\ManyCam

[2010.08.30 16:23:54 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Admin\Recent

[2010.08.25 17:53:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Epson

[2010.08.25 17:51:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\Epson

[2010.08.25 17:48:24 | 000,135,168 | ---- | C] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\System32\EEBAPI.dll

[2010.08.25 17:48:24 | 000,110,592 | ---- | C] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\System32\EEBDSCVR.dll

[2010.08.25 17:48:24 | 000,077,824 | ---- | C] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\System32\EBAPI.dll

[2010.08.25 17:48:24 | 000,065,536 | ---- | C] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\System32\EEBUtil.dll

[2010.08.25 17:48:24 | 000,055,808 | ---- | C] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\System32\EEBSDKIF.dll

[2010.08.25 17:44:09 | 000,008,192 | ---- | C] (SEIKO EPSON CORP.) -- C:\WINDOWS\System32\E_DCINST.DLL

[2010.08.25 17:44:08 | 000,093,696 | ---- | C] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\System32\E_FLBGCE.DLL

[2010.08.25 17:44:08 | 000,063,488 | ---- | C] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\System32\E_FD4BGCE.DLL

[2010.08.25 17:43:59 | 000,025,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbprint.sys

[2010.08.25 17:43:54 | 000,015,104 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usbscan.sys

[2010.08.25 17:00:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL

[2010.08.25 16:59:15 | 000,000,000 | ---D | C] -- C:\Program Files

[2010.08.25 16:58:32 | 000,000,000 | ---D | C] -- C:\Programme\Epson Software

[2010.08.25 16:58:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\ABBYY

[2010.08.25 16:55:42 | 000,000,000 | ---D | C] -- C:\Programme\ABBYY FineReader 9.0 Sprint

[2010.08.25 16:55:42 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\ABBYY

[2010.08.25 16:55:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ABBYY

[2010.08.25 16:54:59 | 000,474,892 | ---- | C] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\System32\ensppmon.dll

[2010.08.25 16:54:59 | 000,474,892 | ---- | C] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\System32\enppmon.dll

[2010.08.25 16:54:59 | 000,457,611 | ---- | C] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\System32\ensppui.dll

[2010.08.25 16:54:59 | 000,457,611 | ---- | C] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\System32\enppui.dll

[2010.08.25 16:54:59 | 000,250,880 | ---- | C] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\System32\enspres.dll

[2010.08.25 16:54:59 | 000,250,880 | ---- | C] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\System32\enpres.dll

[2010.08.25 16:54:51 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\EPSON

[2010.08.25 16:53:58 | 000,000,000 | ---D | C] -- C:\Programme\EpsonNet

[2010.08.25 16:53:23 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\DRVSTORE

[2010.08.25 16:53:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON

[2010.08.25 16:53:15 | 000,342,016 | ---- | C] (Seiko Epson Corporation) -- C:\WINDOWS\System32\eswiaud.dll

[2010.08.25 16:53:15 | 000,128,392 | ---- | C] (Seiko Epson Corporation) -- C:\WINDOWS\System32\esdevapp.exe

[2010.08.25 16:53:15 | 000,015,872 | ---- | C] (SEIKO EPSON CORP.) -- C:\WINDOWS\System32\escdev.dll

[2010.08.25 16:53:07 | 000,000,000 | ---D | C] -- C:\Programme\epson

[2010.08.20 14:27:05 | 000,000,000 | ---D | C] -- C:\Docs

[2010.08.19 18:41:17 | 001,230,336 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msvidctl.dll

[2010.08.19 18:41:17 | 000,047,104 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wstdecod.dll

[2010.08.19 18:41:16 | 000,052,096 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\msdv.sys

[2010.08.19 18:41:16 | 000,052,096 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msdv.sys

[2010.08.19 18:41:16 | 000,016,896 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\bdaplgin.ax

[2010.08.19 18:41:16 | 000,016,896 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\bdaplgin.ax

[2010.08.19 18:41:16 | 000,015,104 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\mpe.sys

[2010.08.19 18:41:16 | 000,015,104 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mpe.sys

[2010.08.19 18:41:16 | 000,011,392 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\bdasup.sys

[2010.08.19 18:41:16 | 000,011,392 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\bdasup.sys

[2010.08.19 18:37:20 | 000,000,000 | ---D | C] -- C:\Programme\id Software

[2010.08.19 18:36:12 | 000,000,000 | -HSD | C] -- C:\WINDOWS\ftpcache

[2010.08.17 17:09:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google

[2010.08.17 17:06:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Google

[2010.08.17 17:04:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Temp

[2010.08.17 17:04:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google

[2010.08.17 17:04:18 | 000,000,000 | ---D | C] -- C:\Programme\Google

[2010.08.17 17:04:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Google

[2010.08.17 17:03:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Google Earth

[2010.08.17 15:46:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Command and Conquer 3 Tiberium Wars

[2010.08.17 15:44:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Command and Conquer 3 Tiberium Wars

[2010.08.05 17:18:34 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java

[2010.08.05 17:18:25 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe

[2010.08.05 17:18:25 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe

[2010.08.05 17:18:25 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe

[2010.04.13 20:57:15 | 000,151,552 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnp2std.dll

[2010.04.13 20:57:15 | 000,077,824 | ---- | C] ( ) -- C:\WINDOWS\System32\csnp2std.dll

[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2010.08.31 14:09:00 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.08.31 14:08:17 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.08.31 14:07:58 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010.08.31 14:07:57 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010.08.31 14:07:26 | 003,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\NTUSER.DAT

[2010.08.31 03:11:45 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat

[2010.08.31 02:13:51 | 000,003,739 | ---- | M] () -- C:\WINDOWS\imsins.BAK

[2010.08.31 02:13:18 | 001,040,596 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI

[2010.08.31 02:13:18 | 000,448,800 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2010.08.31 02:13:18 | 000,432,492 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010.08.31 02:13:18 | 000,080,108 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2010.08.31 02:13:18 | 000,067,448 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2010.08.30 17:08:43 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010.08.30 17:04:03 | 000,107,888 | ---- | M] (Sony DADC Austria AG.) -- C:\WINDOWS\System32\CmdLineExt.dll

[2010.08.30 16:38:22 | 000,153,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Untitled.avi

[2010.08.30 00:36:06 | 000,169,472 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.08.28 01:45:09 | 000,001,484 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\DivX Movies.lnk

[2010.08.28 01:44:57 | 000,000,757 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Player.lnk

[2010.08.25 20:32:21 | 000,000,000 | ---- | M] () -- C:\WINDOWS\EEventManager.INI

[2010.08.25 16:59:15 | 000,000,306 | ---- | M] () -- C:\WINDOWS\setup.iss

[2010.08.21 14:29:40 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk

[2010.08.12 00:30:26 | 000,146,808 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2010.08.31 02:53:17 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat

[2010.08.31 02:12:37 | 000,003,739 | ---- | C] () -- C:\WINDOWS\imsins.BAK

[2010.08.30 16:38:18 | 000,153,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Untitled.avi

[2010.08.25 20:32:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\EEventManager.INI

[2010.08.25 16:59:12 | 000,000,306 | ---- | C] () -- C:\WINDOWS\setup.iss

[2010.08.19 18:41:17 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll

[2010.08.19 18:41:17 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\dllcache\psisdecd.dll

[2010.08.19 18:41:17 | 000,030,208 | ---- | C] () -- C:\WINDOWS\System32\psisrndr.ax

[2010.08.19 18:41:17 | 000,030,208 | ---- | C] () -- C:\WINDOWS\System32\dllcache\psisrndr.ax

[2010.08.19 18:41:16 | 000,052,224 | ---- | C] () -- C:\WINDOWS\System32\msdvbnp.ax

[2010.08.19 18:41:16 | 000,052,224 | ---- | C] () -- C:\WINDOWS\System32\dllcache\msdvbnp.ax

[2010.08.17 17:04:22 | 000,001,086 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2010.08.17 17:04:21 | 000,001,082 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2010.05.19 20:12:04 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll

[2010.04.15 20:15:06 | 000,165,376 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll

[2010.04.15 20:15:06 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini

[2010.04.15 20:15:03 | 000,881,664 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll

[2010.04.15 20:15:03 | 000,205,824 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll

[2010.04.15 20:15:01 | 000,085,504 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll

[2010.04.15 20:15:01 | 000,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest

[2010.04.13 21:54:23 | 000,169,472 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010.04.13 21:07:25 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LauncherAccess.dt

[2010.04.13 21:06:53 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys

[2010.04.13 20:57:17 | 000,025,472 | ---- | C] () -- C:\WINDOWS\System32\drivers\sncamd.sys

[2010.04.13 20:57:17 | 000,015,497 | ---- | C] () -- C:\WINDOWS\snp2std.ini

[2010.04.13 20:57:16 | 012,212,864 | ---- | C] () -- C:\WINDOWS\System32\drivers\snp2sxp.sys

[2009.06.17 11:13:30 | 000,508,224 | ---- | C] () -- C:\WINDOWS\System32\ICCProfiles.dll

[2007.04.20 05:05:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll

[2007.04.20 05:05:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll

[2007.04.20 05:05:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll

[2007.04.20 05:05:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll

[2007.04.20 05:05:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll

< End of report >

--- --- ---

MAM hat alles gereinigt

Hi,

Du hast die Sachen von MAM fixen lassen?
Fix für OTL:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:



:OTL

O4 - HKLM..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe File not found

O4 - HKLM..\Run: [SearchSettings] C:\Programme\pdfforge Toolbar\SearchSettings.exe File not found
 

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = dword:0x00

"AntiVirusOverride" = dword:0x00
 

:Commands

[emptytemp]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Dr. Web:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

Leider noch mal OTL:
* Starte bitte die OTL.exe.
Vista/Win7-User mit Rechtsklick "als Administrator starten"
* Kopiere nun den Inhalt in die Textbox.

Code:

netsvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

mv61xx.sys

/md5stop

c:\windows\system32\drivers\*.sys /lockedfiles

c:\windows\system32\*.dll /lockedfiles

%systemroot%\*. /mp /s

%PROGRAMFILES%\*.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs

CREATERESTOREPOINT

* Schliesse bitte nun alle Programme. (Wichtig)
* Klicke nun bitte auf den Quick Scan Button.
* Klick auf OK .
* Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

chris

Japp hier der Bericht von MAM:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4513

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

31.08.2010 14:06:40
mbam-log-2010-08-31 (14-06-40).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|I:\|)
Durchsuchte Objekte: 194934
Laufzeit: 38 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XBV6RD5SZF (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xbv6rd5szf (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\CryptLoad\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> Quarantined and deleted successfully.
C:\WINDOWS\Vtukia.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Hier der Bericht nach dem Ersten OTL Durchlauf:

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\FixCamera deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SearchSettings deleted successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"FirstRunDisabled" | dword:0x00 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"AntiVirusOverride" | dword:0x00 /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 1150457 bytes
->Temporary Internet Files folder emptied: 68521228 bytes
->Java cache emptied: 8730 bytes
->FireFox cache emptied: 89084459 bytes
->Flash cache emptied: 5603 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 893117 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 154,00 mb

OTL by OldTimer - Version 3.2.11.0 log created on 08312010_144252

Files\Folders moved on Reboot...
File\Folder C:\WINDOWS\temp\Perflib_Perfdata_208.dat not found!

Registry entries deleted on Reboot...

Bericht von DrWeb kommt sobald Komplettscan erfolgreich abgeschlossen.

So,
hier ist die gesamte Datei.
Is gar nicht mal so groß.

Folgender Inhalt von DrWeb.txt:

56a8cd24.qua\data001;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED\56a8cd24.qua;Tool.Netcat.125;;
56a8cd24.qua;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\INFECTED;Container enthält infizierte Objekte;Verschoben.;