Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virus versendet mails - HiackThis log auswerten (https://www.trojaner-board.de/92014-virus-versendet-mails-hiackthis-log-auswerten.html)

Rauli 19.10.2010 22:24
Virus versendet mails - HiackThis log auswerten
 
Wie oben schon geschrieben versendet mein PC automatisch Mails.
Viellleicht könnt ihr was in meinem Log entdecken, dass da nicht hingehört:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:19:57, on 19.10.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnp2std.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Raulster\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RelevantKnowledge] C:\programme\relevantknowledge\rlvknlg.exe -boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6854 bytes


Vielen Dank im vorraus,

Rauli

Chris4You 20.10.2010 06:31
Hi,

zuerst die einfachen Sachen:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|RelevantKnowledge
 
Files to delete:
C:\programme\relevantknowledge\rlvknlg.exe

Folders to delete:
C:\Programme\AskBarDis
C:\programme\relevantknowledge

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
(Falls vorhanden, Teatimer von Spyboot wie folgt deaktivieren:
Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident-->dHäkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen)->exit)

Code:
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)
  • Poste die Logfiles hier in den Thread

chris

Rauli 20.10.2010 18:58
danke für die schnelle antwort!

hier sind die angeforderten log-datein:

avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "C:\programme\relevantknowledge\rlvknlg.exe"
Deletion of file "C:\programme\relevantknowledge\rlvknlg.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Folder "C:\Programme\AskBarDis" deleted successfully.

Error: folder "C:\programme\relevantknowledge" not found!
Deletion of folder "C:\programme\relevantknowledge" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|RelevantKnowledge" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4889

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.10.2010 19:41:20
mbam-log-2010-10-20 (19-41-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|H:\|I:\|J:\|K:\|L:\|M:\|N:\|)
Durchsuchte Objekte: 296481
Laufzeit: 2 Stunde(n), 35 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (Adware.RelevantKnowledge) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Raulster\Eigene Dateien\ICQ\348637644\ReceivedFiles\324786917 Peacemaker\Keygen.exe (Trojan.Agent) -> No action taken.
C:\Programme\CryptLoad\ocr\netload.in\asmCaptcha\test.exe (Malware.Packer) -> No action taken.
C:\Programme\CryptLoad\router\FRITZ!Box\nc.exe (PUP.KeyLogger) -> No action taken.
C:\System Volume Information\_restore{F0085C3D-F76A-45E2-9BA7-F73DF2AF0787}\RP384\A0096580.exe (Trojan.Zapchast) -> No action taken.

(die sachen habe ich gelöscht, obwohl da noch "No action taken" steht)


OTL:OTL Logfile:
Code:
OTL logfile created on: 20.10.2010 19:47:23 - Run 1
OTL by OldTimer - Version 3.2.16.0    Folder = C:\Dokumente und Einstellungen\Raulster\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 633,00 Mb Available Physical Memory | 62,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 37,57 Gb Free Space | 25,21% Space Free | Partition Type: NTFS
Drive N: | 931,51 Gb Total Space | 479,57 Gb Free Space | 51,48% Space Free | Partition Type: NTFS
 
Computer Name: RAULI | User Name: Raulster | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Raulster\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\vsnp2std.exe (Sonix)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Raulster\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (npggsvc) -- C:\WINDOWS\System32\GameMon.des (INCA Internet Co., Ltd.)
SRV - (Apple Mobile Device) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (Apple Inc.)
SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (Nero AG)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (upperdev) -- C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys File not found
DRV - (nmwcdnsuc) -- C:\WINDOWS\System32\drivers\nmwcdnsuc.sys File not found
DRV - (nmwcdnsu) -- C:\WINDOWS\System32\drivers\nmwcdnsu.sys File not found
DRV - (EagleNT) -- C:\WINDOWS\System32\drivers\EagleNT.sys File not found
DRV - (hamachi) -- C:\WINDOWS\system32\drivers\hamachi.sys (LogMeIn, Inc.)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (acedrv11) -- C:\WINDOWS\system32\drivers\acedrv11.sys (Protect Software GmbH)
DRV - (atksgt) -- C:\WINDOWS\system32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\WINDOWS\system32\drivers\lirsgt.sys ()
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (ElbyCDIO) -- C:\WINDOWS\system32\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (rt2870) -- C:\WINDOWS\system32\drivers\rt2870.sys (Ralink Technology, Corp.)
DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
DRV - (usbaudio) USB-Audiotreiber (WDM) -- C:\WINDOWS\system32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (ElbyCDFL) -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys (SlySoft, Inc.)
DRV - (SNP2STD) USB2.0 PC Camera (SNP2STD) -- C:\WINDOWS\system32\drivers\snp2sxp.sys ()
DRV - (sfdrv01) StarForce Protection Environment Driver (version 1.x) -- C:\WINDOWS\System32\drivers\sfdrv01.sys (Protection Technology)
DRV - (sfhlp02) StarForce Protection Helper Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfhlp02.sys (Protection Technology)
DRV - (sfsync02) StarForce Protection Synchronization Driver (version 2.x) -- C:\WINDOWS\System32\drivers\sfsync02.sys (Protection Technology)
DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.arcor.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.arcor.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www.arcor.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.arcor.de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arcor.de
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "LEO Eng-Deu"
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledItems: {E9A1DEE0-C623-4439-8932-001E7D17607D}:2.1.0.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.07.03 14:55:08 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.0.19\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.06.07 16:00:48 | 000,000,000 | ---D | M]
 
[2009.05.29 16:46:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Mozilla\Extensions
[2010.10.19 23:22:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Mozilla\Firefox\Profiles\rqb7lmue.default\extensions
[2009.09.03 22:33:21 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Mozilla\Firefox\Profiles\rqb7lmue.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.09.21 13:19:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Mozilla\Firefox\Profiles\rqb7lmue.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2009.05.31 17:49:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Mozilla\Firefox\Profiles\rqb7lmue.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
[2010.10.19 23:22:42 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2008.03.15 15:56:14 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2008.10.13 20:34:40 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2008.02.19 16:40:48 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2006.12.03 17:59:22 | 000,000,986 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2006.11.17 13:19:24 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2003.04.02 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll File not found
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [CHotkey] C:\WINDOWS\mHotkey.exe (Chicony)
O4 - HKLM..\Run: [Cmaudio]  File not found
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz]  File not found
O4 - HKLM..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe (Sonix)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab (Oberon Flash Game Host)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.05.29 00:03:15 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{65bf1a7f-4cb5-11df-9c42-000c7673c568}\Shell\AutoRun\command - "" = O:\Menu.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.10.20 12:33:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Malwarebytes
[2010.10.20 12:32:23 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.20 12:32:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.20 12:32:20 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.20 12:32:20 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.20 12:27:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Raulster\Desktop\backups
[2010.10.20 12:17:07 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Raulster\Desktop\mbam-setup.exe
[2010.10.20 12:16:37 | 000,575,488 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Raulster\Desktop\OTL.exe
[2010.10.19 23:18:43 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Raulster\Desktop\HiJackThis204.exe
[2010.10.19 21:15:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
[2010.10.15 12:28:10 | 000,974,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc42.dll
[2010.10.15 12:28:00 | 000,617,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\comctl32.dll
[2010.10.08 02:16:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\Hamachi
[2010.10.08 02:16:02 | 000,000,000 | ---D | C] -- C:\Programme\Hamachi
[2010.10.05 13:46:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\City Interactive
[2010.10.04 23:46:27 | 000,000,000 | ---D | C] -- C:\Programme\Sega
[2010.10.04 22:14:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Raulster\Eigene Dateien\Hitman Blood Money
[2010.10.04 21:03:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
[2010.09.22 13:37:03 | 000,000,000 | ---D | C] -- C:\Programme\LOTRO
[2010.09.21 13:19:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\DVDVideoSoftIEHelpers
[2009.10.25 17:19:25 | 000,049,152 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnp2std.dll
[2009.10.25 17:19:25 | 000,045,056 | ---- | C] ( ) -- C:\WINDOWS\System32\csnp2std.dll
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.10.20 19:48:23 | 000,002,121 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2010.10.20 19:43:26 | 000,276,202 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2010.10.20 19:43:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.20 13:43:11 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010.10.20 13:43:10 | 000,217,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.10.20 12:17:10 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Raulster\Desktop\mbam-setup.exe
[2010.10.20 12:16:38 | 000,575,488 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Raulster\Desktop\OTL.exe
[2010.10.20 12:16:26 | 000,731,136 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\avenger.exe
[2010.10.19 23:18:44 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Raulster\Desktop\HiJackThis204.exe
[2010.10.19 23:10:05 | 000,012,915 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Unbenannt.JPG
[2010.10.19 17:30:00 | 000,000,316 | ---- | M] () -- C:\WINDOWS\tasks\TWIN XP Live-Update.job
[2010.10.18 01:21:19 | 000,458,402 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.10.18 01:21:19 | 000,440,684 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.10.18 01:21:19 | 000,084,500 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.10.18 01:21:19 | 000,071,002 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.10.17 23:08:58 | 000,075,284 | ---- | M] () -- C:\WINDOWS\System32\oodbs.lor
[2010.10.16 19:02:21 | 000,035,328 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Trainingplan Halle 2010.xls
[2010.10.15 18:36:54 | 000,117,360 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.10.15 13:40:52 | 000,001,393 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.10.15 12:34:10 | 000,046,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\hockeyliga Spielerfragebogen.doc
[2010.10.15 12:31:16 | 000,020,480 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM MA 2010.xls
[2010.10.15 12:24:01 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.08 12:17:05 | 000,020,480 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM KA 2010(2).xls
[2010.10.08 02:16:03 | 000,016,224 | ---- | M] (LogMeIn, Inc.) -- C:\WINDOWS\System32\drivers\hamachi.sys
[2010.10.07 12:29:58 | 000,022,328 | ---- | M] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2010.10.07 12:29:58 | 000,022,328 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\PnkBstrK.sys
[2010.10.07 12:29:41 | 002,337,865 | ---- | M] () -- C:\WINDOWS\System32\pbsvc.exe
[2010.10.07 12:27:42 | 000,002,026 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Tom Clancy's Rainbow Six Vegas 2.lnk
[2010.09.30 11:16:22 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM MA 2010(2).xls
[2010.09.30 11:15:51 | 000,019,968 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM KA 2010.xls
[2010.09.21 13:19:15 | 000,000,906 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\DVDVideoSoft Free Studio.lnk
[2010.09.21 12:43:22 | 000,058,368 | ---- | M] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\PLAN20102011 Feld.doc
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.10.20 12:16:23 | 000,731,136 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\avenger.exe
[2010.10.19 23:10:05 | 000,012,915 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Unbenannt.JPG
[2010.10.16 19:02:20 | 000,035,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Trainingplan Halle 2010.xls
[2010.10.15 12:34:09 | 000,046,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\hockeyliga Spielerfragebogen.doc
[2010.10.15 12:31:15 | 000,020,480 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM MA 2010.xls
[2010.10.08 12:17:03 | 000,020,480 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM KA 2010(2).xls
[2010.10.07 12:29:58 | 000,022,328 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2010.10.07 12:29:58 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\PnkBstrK.sys
[2010.10.07 12:29:43 | 000,107,832 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe
[2010.10.07 12:29:42 | 000,066,872 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe
[2010.10.07 12:29:41 | 002,337,865 | ---- | C] () -- C:\WINDOWS\System32\pbsvc.exe
[2010.10.07 12:27:42 | 000,002,026 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Tom Clancy's Rainbow Six Vegas 2.lnk
[2010.09.30 11:16:21 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM MA 2010(2).xls
[2010.09.30 11:15:49 | 000,019,968 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Desktop\Zeitplan DM KA 2010.xls
[2010.09.01 14:29:48 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.04.19 18:43:06 | 000,000,234 | ---- | C] () -- C:\WINDOWS\scummvm.ini
[2010.04.05 13:56:57 | 000,016,098 | ---- | C] () -- C:\WINDOWS\German2.ini
[2010.03.10 01:40:26 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\chrtmp
[2010.01.21 00:34:51 | 000,000,023 | ---- | C] () -- C:\WINDOWS\BlendSettings.ini
[2009.12.21 17:20:59 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys
[2009.12.21 17:20:58 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys
[2009.10.25 17:19:27 | 000,015,497 | ---- | C] () -- C:\WINDOWS\snp2std.ini
[2009.10.25 17:19:25 | 008,767,232 | ---- | C] () -- C:\WINDOWS\System32\drivers\snp2sxp.sys
[2009.08.19 16:13:34 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\xmltok.dll
[2009.08.19 16:13:34 | 000,036,864 | R--- | C] () -- C:\WINDOWS\System32\xmlparse.dll
[2009.08.17 09:52:14 | 000,000,604 | ---- | C] () -- C:\WINDOWS\Thps3.INI
[2009.08.02 13:51:40 | 000,000,177 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Anwendungsdaten\default.rss
[2009.07.23 13:37:28 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.07.23 13:00:51 | 000,004,767 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2009.07.08 18:06:31 | 000,000,041 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2009.06.18 00:30:48 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2009.05.29 20:38:43 | 000,000,770 | ---- | C] () -- C:\WINDOWS\Sof2.INI
[2009.05.29 20:30:42 | 000,721,904 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2009.05.29 16:32:36 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI
[2009.05.29 16:32:36 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI
[2009.05.29 16:32:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Wininit.ini
[2009.05.29 16:32:33 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2009.05.29 16:32:31 | 000,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll
[2009.05.29 16:31:50 | 000,024,576 | ---- | C] () -- C:\WINDOWS\HKNTDLL.dll
[2009.05.29 16:31:50 | 000,000,491 | ---- | C] () -- C:\WINDOWS\Instit.ini
[2009.05.29 16:31:19 | 000,065,536 | ---- | C] () -- C:\WINDOWS\Dit.DLL
[2009.05.29 16:31:19 | 000,000,208 | ---- | C] () -- C:\WINDOWS\Dit.INI
[2009.05.29 00:33:02 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009.05.29 00:10:06 | 000,217,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Raulster\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.01.12 17:48:16 | 000,071,208 | ---- | C] () -- C:\WINDOWS\System32\PhysXLoader.dll
[2007.01.05 23:23:06 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelTraditionalChinese.dll
[2007.01.05 23:23:06 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSwedish.dll
[2007.01.05 23:23:04 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSpanish.dll
[2007.01.05 23:23:04 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelSimplifiedChinese.dll
[2007.01.05 23:23:02 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelPortugese.dll
[2007.01.05 23:23:02 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelKorean.dll
[2007.01.05 23:23:02 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelJapanese.dll
[2007.01.05 23:23:02 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelGerman.dll
[2007.01.05 23:23:02 | 000,058,920 | ---- | C] () -- C:\WINDOWS\System32\AgCPanelFrench.dll
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:64B9CCC97A3CD0C4

< End of report >
--- --- ---


undOTL Logfile:
Code:
OTL Extras logfile created on: 20.10.2010 19:47:23 - Run 1
OTL by OldTimer - Version 3.2.16.0    Folder = C:\Dokumente und Einstellungen\Raulster\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 633,00 Mb Available Physical Memory | 62,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 87,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 149,04 Gb Total Space | 37,57 Gb Free Space | 25,21% Space Free | Partition Type: NTFS
Drive N: | 931,51 Gb Total Space | 479,57 Gb Free Space | 51,48% Space Free | Partition Type: NTFS
 
Computer Name: RAULI | User Name: Raulster | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Programme\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"56532:TCP" = 56532:TCP:*:Enabled:Pando Media Booster
"56532:UDP" = 56532:UDP:*:Enabled:Pando Media Booster
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"56532:TCP" = 56532:TCP:*:Enabled:Pando Media Booster
"56532:UDP" = 56532:UDP:*:Enabled:Pando Media Booster
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Soldier of Fortune II - Double Helix GOLD\SoF2MP.exe" = C:\Programme\Soldier of Fortune II - Double Helix GOLD\SoF2MP.exe:*:Enabled:SoF2MP -- ()
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ -- (ICQ, LLC.)
"C:\Programme\TmNationsForever\TmForever.exe" = C:\Programme\TmNationsForever\TmForever.exe:*:Enabled:TmForever -- File not found
"C:\Programme\EA Games\Need For Speed Hot Pursuit 2\NFSHP2.exe" = C:\Programme\EA Games\Need For Speed Hot Pursuit 2\NFSHP2.exe:*:Enabled:NFSHP2 -- File not found
"C:\Programme\iTunes\iTunes.exe" = C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes -- (Apple Inc.)
"C:\AeriaGames\12Sky\TwelveSky.exe" = C:\AeriaGames\12Sky\TwelveSky.exe:*:Enabled:TwelveSky -- File not found
"C:\Programme\Valve\Steam\SteamApps\rauli629\day of defeat\hl.exe" = C:\Programme\Valve\Steam\SteamApps\rauli629\day of defeat\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"C:\Programme\StreamTorrent 1.0\StreamTorrent.exe" = C:\Programme\StreamTorrent 1.0\StreamTorrent.exe:*:Enabled:StreamTorrent P2P Media Player -- File not found
"C:\Programme\Hamachi\hamachi.exe" = C:\Programme\Hamachi\hamachi.exe:*:Enabled:Hamachi Client -- (LogMeIn Inc.)
"C:\Programme\Valve\Steam\SteamApps\rauli629\condition zero\hl.exe" = C:\Programme\Valve\Steam\SteamApps\rauli629\condition zero\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"C:\Programme\Valve\Steam\SteamApps\rauli629\condition zero deleted scenes\hl.exe" = C:\Programme\Valve\Steam\SteamApps\rauli629\condition zero deleted scenes\hl.exe:*:Enabled:Half-Life Launcher -- (Valve)
"N:\BFgepatched\BF1942.exe" = N:\BFgepatched\BF1942.exe:*:Enabled:BF1942 -- File not found
"C:\Programme\EA SPORTS\FIFA 09\FIFA09.exe" = C:\Programme\EA SPORTS\FIFA 09\FIFA09.exe:*:Enabled:FIFA09 -- ()
"C:\Programme\LucasArts\Star Wars JK II Jedi Outcast\GameData\jk2mp.exe" = C:\Programme\LucasArts\Star Wars JK II Jedi Outcast\GameData\jk2mp.exe:*:Enabled:jk2mp -- ()
"C:\Programme\Ubisoft\SilentHunterIII\sh3.exe" = C:\Programme\Ubisoft\SilentHunterIII\sh3.exe:*:Enabled:Silent Hunter III -- File not found
"C:\WINDOWS\system32\dpnsvr.exe" = C:\WINDOWS\system32\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8-Server -- (Microsoft Corporation)
"c:\programme\relevantknowledge\rlvknlg.exe" = c:\programme\relevantknowledge\rlvknlg.exe:*:Enabled:rlvknlg.exe -- File not found
"C:\Programme\Valve\Steam\Steam.exe" = C:\Programme\Valve\Steam\Steam.exe:*:Enabled:Steam -- (Valve Corporation)
"C:\Programme\Mass Effect\Binaries\MassEffect.exe" = C:\Programme\Mass Effect\Binaries\MassEffect.exe:*:Enabled:Mass Effect Game -- (BioWare)
"C:\Programme\Mass Effect\MassEffectLauncher.exe" = C:\Programme\Mass Effect\MassEffectLauncher.exe:*:Enabled:Mass Effect Launcher -- (BioWare)
"C:\Programme\Valve\Steam\SteamApps\rauli629\counter-strike\hl.exe" = C:\Programme\Valve\Steam\SteamApps\rauli629\counter-strike\hl.exe:*:Enabled:Counter-Strike -- (Valve)
"C:\COD2\CoD2MP_s.exe" = C:\COD2\CoD2MP_s.exe:*:Enabled:CoD2MP_s -- File not found
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- File not found
"C:\Programme\Pando Networks\Media Booster\PMB.exe" = C:\Programme\Pando Networks\Media Booster\PMB.exe:*:Enabled:Pando Media Booster -- ()
"C:\Programme\Firefly Studios\Stronghold 2\Stronghold2.exe" = C:\Programme\Firefly Studios\Stronghold 2\Stronghold2.exe:*:Enabled:Stronghold 2 -- (Firefly Studios)
"C:\Programme\Sega\Virtua Tennis\VIRTUA_TENNIS_PC.exe" = C:\Programme\Sega\Virtua Tennis\VIRTUA_TENNIS_PC.exe:*:Enabled:VIRTUA_TENNIS_PC -- ()
"C:\Programme\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Game.exe" = C:\Programme\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Game.exe:*:Enabled:Tom Clancy's Rainbow Six Vegas 2 -- ()
"C:\Programme\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Launcher.exe" = C:\Programme\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Launcher.exe:*:Enabled:Tom Clancy's Rainbow Six Vegas 2 Update -- (Ubisoft)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam(TM)
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{14C87AA7-08E6-419F-A165-998EBE5023D7}" = Oblivion - Knights of the Nine
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{16D2C649-CBA8-44EE-B730-12584667D487}" = Stronghold 2 Deluxe
"{16D919E6-F019-4E15-BFBE-4A85EF19DA57}" = Oblivion - Spell Tomes
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1B0FBB9A-995D-47cd-87CD-13E68B676E4F}" = Mass Effect
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2315B23D-3E21-4920-837D-AE6460934ECB}" = FIFA 09
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 19
"{26D1AA3E-36F2-4E2E-BBF5-FFBBE9D7B766}" = Monkey Island
"{2F2E3D62-8B8C-448F-8900-451325E50948}" = Oblivion - Wizard's Tower
"{33cf58f5-48d8-4575-83d6-96f574e4d83a}" = Nero DriveSpeed
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{359cfc0a-beb1-440d-95ba-cf63a86da34f}" = Nero Recode
"{35CB6715-41F8-4F99-8881-6FC75BF054B0}" = Oblivion
"{368ba326-73ad-4351-84ed-3c0a7a52cc53}" = Nero Rescue Agent
"{3ABEBD00-299D-4DCA-967F-B912163AB5EA}" = Oblivion - Horse Armor Pack
"{3B4E636E-9D65-4D67-BA61-189800823F52}" = Windows Live Communications Platform
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{43e39830-1826-415d-8bae-86845787b54b}" = Nero Vision
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{520F4B09-3A51-47A2-82B0-9FF1DC2D20FA}" = Oblivion - Vile Lair
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{576E71DA-3000-48F6-9B21-B9A70D47DFCF}" = Star Wars JK II Jedi Outcast
"{595a3116-40bb-4e0f-a2e8-d7951da56270}" = NeroExpress
"{5D601655-6D54-4384-B52C-17EC5385FBBD}" = iTunes
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{62ac81f6-bdd3-4110-9d36-3e9eaab40999}" = Nero CoverDesigner
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69a09173-19eb-4a33-b291-89ba306c611f}" = Nero 9 Trial
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7397EDED-F38A-4654-B669-BF61065803D0}" = PC Connectivity Solution
"{75438C0E-9925-412E-AD85-D0E71C6CE2ED}" = USB2.0 PC Camera (SN9C201&202)
"{767CC44C-9BBC-438D-BAD3-FD4595DD148B}" = VC80CRTRedist - 8.0.50727.762
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7748ac8c-18e3-43bb-959b-088faea16fb2}" = Nero StartSmart
"{7829db6f-a066-4e40-8912-cb07887c20bb}" = Nero BurnRights
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{8355F970-601D-442D-A79B-1D7DB4F24CAD}" = Apple Mobile Device Support
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}" = Windows Live Messenger
"{869200db-287a-4dc0-b02b-2b6787fbcd4c}" = Nero DiscSpeed
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}" = Choice Guard
"{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}" = Windows Live Essentials
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9e9fdde6-2c26-492a-85a0-05646b3f2795}" = NeroLiveGadget
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{a209525b-3377-43f4-b886-32f6b6e7356f}" = Nero WaveEditor
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A8F2089B-1F79-4BF6-B385-A2C2B0B9A74D}" = ImagXpress
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AAF4238F-7C29-451D-9925-C753271A5728}" = Microsoft Visual C++ Run Time  Lib Setup
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{b1adf008-e898-4fe2-8a1f-690d9a06acaf}" = DolbyFiles
"{b2ec4a38-b545-4a00-8214-13fe0e915e6d}" = Advertising Center
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{b78120a0-cf84-4366-a393-4d0a59bc546c}" = Menu Templates - Starter Kit
"{bd5ca0da-71ad-43da-b19e-6eee0c9adc9a}" = Nero ControlCenter
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{c5a7cb6c-e76d-408f-ba0e-85605420fe9d}" = SoundTrax
"{C78EAC6F-7A73-452E-8134-DBB2165C5A68}" = QuickTime
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{d025a639-b9c9-417d-8531-208859000af8}" = NeroBurningROM
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{D765F1CE-5AE5-4C47-B134-AE58AC474740}" = OpenOffice.org 3.1
"{D98C9637-93DA-44DB-B73A-B11A1192AB26}" = GameShadow
"{d9dcf92e-72eb-412d-ac71-3b01276e5f8b}" = Nero ShowTime
"{DF5A03CC-D5AA-43D8-B948-D9903F2AF94A}" = Counter-Strike(TM)
"{df6a95f5-adc1-406a-bdc6-2aa7cc0182aa}" = Nero Live
"{E2BE1618-AF5F-4F7D-8484-42E080EDF609}" = AGEIA PhysX v7.01.12
"{e498385e-1c51-459a-b45f-1721e37aa1a0}" = Movie Templates - Starter Kit
"{e8a80433-302b-4ff1-815d-fcc8eac482ff}" = Nero Installer
"{EA1CB7AC-E221-4822-A789-0ADB051DC498}" = Medion Flash XL
"{EADF648F-1711-11D6-AFAD-0040052179B6}" = Virtua Tennis
"{EC425CFC-EE78-4A91-AA25-3BFA65B75364}" = Oblivion - Orrery
"{EF295F5C-7B57-47AA-8889-6B3E8E214E89}" = Oblivion - Mehrunes Razor
"{F1362843-0E0E-4F74-8662-724CF101ADCE}" = Skype web features
"{fbcdfd61-7dcf-4e71-9226-873ba0053139}" = Nero InfoTool
"{FD416706-875C-4B0B-A23A-9E740DAE029E}" = Tom Clancy's Rainbow Six Vegas 2
"{FFFFFD17-B460-41EB-93F1-C48ABAD63828}" = Oblivion - Thieves Den
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Ask Toolbar_is1" = Ask Toolbar
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"AVS Update Manager_is1" = AVS Update Manager 1.0
"AVS4YOU Software Navigator_is1" = AVS4YOU Software Navigator 1.3
"AVS4YOU Video Converter 6_is1" = AVS Video Converter 6
"CCleaner" = CCleaner
"CloneCD" = CloneCD
"C-Media Audio" = C-Media 3D Audio
"DAEMON Tools Toolbar" = DAEMON Tools Toolbar
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"EA0D8F08C10A625644188FE542C75305CB084120" = Windows-Treiberpaket - Ralink Technology, Corp. (rt2870) Net  (10/29/2008 1.02.04.0000)
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.4
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.8
"FUSSBALL MANAGER 09" = FUSSBALL MANAGER 09
"Hamachi" = Hamachi 1.0.1.2
"Hattrick Organizer" = Hattrick Organizer (remove only)
"ie8" = Windows Internet Explorer 8
"LameACM" = Lame ACM MP3 Codec
"LucasArts' Grim Fandango" = LucasArts Grim Fandango
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"ProtectDisc Driver 11" = ProtectDisc Driver, Version 11
"PunkBusterSvc" = PunkBuster Services
"ScummVM_is1" = ScummVM 0.9.0
"Soldier of Fortune II - Double Helix GOLD" = Soldier of Fortune II - Double Helix GOLD
"SystemRequirementsLab" = System Requirements Lab
"Teamspeak 2 RC2_is1" = TeamSpeak 2 RC2
"Two Worlds" = Two Worlds
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.0.3
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"WIC" = Windows Imaging Component
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Worms Reloaded_is1" = Worms Reloaded
"Wudf01005" = Microsoft User-Mode Driver Framework Feature Pack 1.5
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 12.08.2010 11:28:29 | Computer Name = RAULI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung manager09.exe, Version 1.2.0.0, fehlgeschlagenes
 Modul gfxcore.dll, Version 0.0.0.0, Fehleradresse 0x002da99c.
 
Error - 19.08.2010 07:02:10 | Computer Name = RAULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.0.3725, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 28.08.2010 16:08:34 | Computer Name = RAULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vlc.exe, Version 1.0.3.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 06.09.2010 09:13:53 | Computer Name = RAULI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung javaw.exe, Version 6.0.190.4, fehlgeschlagenes
 Modul java.dll, Version 6.0.190.4, Fehleradresse 0x00005875.
 
Error - 28.09.2010 18:04:38 | Computer Name = RAULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung vlc.exe, Version 1.0.3.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 05.10.2010 06:12:51 | Computer Name = RAULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung FreeYouTubeToMP3Converter.exe, Version 3.8.23.206,
 Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 05.10.2010 18:48:04 | Computer Name = RAULI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung game.exe, Version 1.0.304.0, fehlgeschlagenes
 Modul game.exe, Version 1.0.304.0, Fehleradresse 0x000c4d57.
 
Error - 07.10.2010 07:40:58 | Computer Name = RAULI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung r6vegas2_game.exe, Version 0.0.0.0, fehlgeschlagenes
 Modul unknown, Version 0.0.0.0, Fehleradresse 0x747c9072.
 
Error - 07.10.2010 08:28:42 | Computer Name = RAULI | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 1.9.0.3725, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 10.10.2010 18:53:59 | Computer Name = RAULI | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung icq.exe, Version 6.5.0.2024, fehlgeschlagenes
 Modul mshtml.dll, Version 8.0.6001.18939, Fehleradresse 0x000da28c.
 
[ System Events ]
Error - 17.10.2010 19:22:10 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 17.10.2010 19:22:10 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
  %%126
 
Error - 17.10.2010 19:22:11 | Computer Name = RAULI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
  %%126
 
 
< End of report >
--- --- ---



und wie schauts aus??
ist MAM eigentlich besser als Avira??

Rauli

Chris4You 21.10.2010 06:39
Hi,


Bitte folgende Files prüfen (sehr neue Systemsfile im Gegensatz zu den anderen):

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\System32\dllcache\mfc42.dll
C:\WINDOWS\System32\dllcache\comctl32.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:

:OTL
DRV - (upperdev) -- C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys File not found
DRV - (nmwcdnsuc) -- C:\WINDOWS\System32\drivers\nmwcdnsuc.sys File not found
DRV - (nmwcdnsu) -- C:\WINDOWS\System32\drivers\nmwcdnsu.sys File not found
DRV - (EagleNT) -- C:\WINDOWS\System32\drivers\EagleNT.sys File not found
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
O4 - HKLM..\Run: [Cmaudio]  File not found
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [nwiz]  File not found
O33 - MountPoints2\{65bf1a7f-4cb5-11df-9c42-000c7673c568}\Shell\AutoRun\command - "" = O:\Menu.exe -- File not found

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = dword:0x00

:Commands
[emptytemp]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet!

Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß!

Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Rauli 21.10.2010 10:28
Soll ich bei OTL den Minimal Output drin lassen oder (wie in deinem Bild) zurück auf Standart Output wechseln?

Chris4You 21.10.2010 10:50
Hi,

das ist egal, auf jeden Fall "Run Fix" machen (vorher das Script reinkopieren in das große weise Feld)...

Log posten und danach CF..

chris

Rauli 21.10.2010 22:52
Virustotalauswertung:

C:\WINDOWS\System32\dllcache\mfc42.dll :


File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5: 162a71f3cc2987d8b662fcac5cf4ba38
Date first seen: 2010-10-15 22:35:29 (UTC)
Date last seen: 2010-10-15 22:35:29 (UTC)
Detection ratio: 0/43

What do you wish to do?



C:\WINDOWS\System32\dllcache\comctl32.dll :


MD5: 1438703f3d9ffe111da3869e4f3eee73
Date first seen: 2010-10-19 21:40:49 (UTC)
Date last seen: 2010-10-19 21:52:05 (UTC)
Detection ratio: 0/43

What do you wish to do?


OTL-Fix:

All processes killed
========== OTL ==========
Service upperdev stopped successfully!
Service upperdev deleted successfully!
File C:\WINDOWS\System32\DRIVERS\usbser_lowerflt.sys File not found not found.
Service nmwcdnsuc stopped successfully!
Service nmwcdnsuc deleted successfully!
File C:\WINDOWS\System32\drivers\nmwcdnsuc.sys File not found not found.
Service nmwcdnsu stopped successfully!
Service nmwcdnsu deleted successfully!
File C:\WINDOWS\System32\drivers\nmwcdnsu.sys File not found not found.
Service EagleNT stopped successfully!
Service EagleNT deleted successfully!
File C:\WINDOWS\System32\drivers\EagleNT.sys File not found not found.
Service HidServ stopped successfully!
Service HidServ deleted successfully!
File C:\WINDOWS\System32\hidserv.dll File not found not found.
Service AppMgmt stopped successfully!
Service AppMgmt deleted successfully!
File C:\WINDOWS\System32\appmgmts.dll File not found not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Cmaudio deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\nwiz deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{65bf1a7f-4cb5-11df-9c42-000c7673c568}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{65bf1a7f-4cb5-11df-9c42-000c7673c568}\ not found.
File O:\Menu.exe not found.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"AntiVirusOverride" | dword:0x00 /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 300402 bytes
->Temporary Internet Files folder emptied: 1363013 bytes

User: Raulster
->Temp folder emptied: 49887001 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 94888276 bytes
->Flash cache emptied: 6650 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1139177 bytes
%systemroot%\System32 .tmp files removed: 2833287 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1315584921 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.398,00 mb


OTL by OldTimer - Version 3.2.16.0 log created on 10212010_131722

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...



CombatFix:

Combofix Logfile:
Code:
ComboFix 10-10-20.03 - Raulster 21.10.2010  23:40:27.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Raulster\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Raulster\Anwendungsdaten\chrtmp

.
(((((((((((((((((((((((  Dateien erstellt von 2010-09-21 bis 2010-10-21  ))))))))))))))))))))))))))))))
.

2010-10-21 11:38 . 2010-10-21 11:38        --------        d-----w-        c:\programme\Electronic Arts
2010-10-21 11:37 . 2003-09-05 10:07        168960        ----a-w-        c:\windows\system32\XCDZIP35.OCX
2010-10-21 11:17 . 2010-10-21 11:17        --------        d-----w-        C:\_OTL
2010-10-20 10:33 . 2010-10-20 10:33        --------        d-----w-        c:\dokumente und einstellungen\Raulster\Anwendungsdaten\Malwarebytes
2010-10-20 10:32 . 2010-04-29 10:19        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-20 10:32 . 2010-10-20 10:32        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-10-20 10:32 . 2010-10-20 10:32        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2010-10-20 10:32 . 2010-04-29 10:19        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-10-19 19:15 . 2010-10-19 19:15        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-10-15 10:28 . 2010-09-18 06:52        974848        -c----w-        c:\windows\system32\dllcache\mfc42.dll
2010-10-15 10:28 . 2010-08-23 16:11        617472        -c----w-        c:\windows\system32\dllcache\comctl32.dll
2010-10-08 00:16 . 2010-10-08 14:20        --------        d-----w-        c:\dokumente und einstellungen\Raulster\Anwendungsdaten\Hamachi
2010-10-08 00:16 . 2010-10-08 00:16        --------        d-----w-        c:\programme\Hamachi
2010-10-07 10:29 . 2010-10-07 10:29        22328        ----a-w-        c:\windows\system32\drivers\PnkBstrK.sys
2010-10-07 10:29 . 2010-10-07 10:29        22328        ----a-w-        c:\dokumente und einstellungen\Raulster\Anwendungsdaten\PnkBstrK.sys
2010-10-07 10:29 . 2010-10-07 10:29        107832        ----a-w-        c:\windows\system32\PnkBstrB.exe
2010-10-07 10:29 . 2010-10-07 10:29        66872        ----a-w-        c:\windows\system32\PnkBstrA.exe
2010-10-07 10:29 . 2010-10-07 10:29        2337865        ----a-w-        c:\windows\system32\pbsvc.exe
2010-10-04 21:46 . 2010-10-04 21:46        --------        d-----w-        c:\programme\Sega
2010-10-04 19:03 . 2010-10-04 19:03        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Trymedia
2010-09-22 11:37 . 2010-09-22 11:37        --------        d-----w-        c:\programme\LOTRO

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-01 21:02 . 2009-05-01 21:02        1044480        ----a-w-        c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02        200704        ----a-w-        c:\programme\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EA Core"="c:\programme\Electronic Arts\EA Downloader\Core.exe" [2006-07-13 1851392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CHotkey"="mHotkey.exe" [2002-07-23 477184]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"snp2std"="c:\windows\vsnp2std.exe" [2005-07-26 339968]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-03-16 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-03-16 110696]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
2009-01-29 22:20        57344        ----a-w-        c:\programme\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dit]
2002-08-28 11:43        73728        -c--a-w-        c:\windows\Dit.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-06-05 11:39        292136        ----a-w-        c:\programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-05-26 15:18        413696        ----a-w-        c:\programme\QuickTime\QTTask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Soldier of Fortune II - Double Helix GOLD\\SoF2MP.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\rauli629\\day of defeat\\hl.exe"=
"c:\\Programme\\Hamachi\\hamachi.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\rauli629\\condition zero\\hl.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\rauli629\\condition zero deleted scenes\\hl.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\Valve\\Steam\\Steam.exe"=
"c:\\Programme\\Valve\\Steam\\SteamApps\\rauli629\\counter-strike\\hl.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Programme\\Firefly Studios\\Stronghold 2\\Stronghold2.exe"=
"c:\\Programme\\Sega\\Virtua Tennis\\VIRTUA_TENNIS_PC.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Game.exe"=
"c:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Launcher.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56532:TCP"= 56532:TCP:Pando Media Booster
"56532:UDP"= 56532:UDP:Pando Media Booster

R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.02.2010 12:22 185472]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.05.2009 20:30 721904]
.
Inhalt des "geplante Tasks" Ordners

2010-10-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.arcor.de
mStart Page = hxxp://www.arcor.de
mWindow Title = Arcor AG & Co. KG
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\Raulster\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
FF - ProfilePath - c:\dokumente und einstellungen\Raulster\Anwendungsdaten\Mozilla\Firefox\Profiles\rqb7lmue.default\
FF - prefs.js: browser.search.selectedEngine - LEO Eng-Deu
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\programme\Pando Networks\Media Booster\npPandoWebPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - c:\programme\AskBarDis\bar\bin\askBar.dll
MSConfigStartUp-Nokia FastStart - c:\programme\Nokia\Nokia Music\NokiaMusic.exe
MSConfigStartUp-SunJavaUpdateSched - c:\programme\Java\jre6\bin\jusched.exe
AddRemove-Ask Toolbar_is1 - c:\programme\AskBarDis\unins000.exe
AddRemove-DAEMON Tools Toolbar - c:\programme\DAEMON Tools Toolbar\uninst.exe
AddRemove-Hattrick Organizer - c:\dokumente und einstellungen\Raulster\Desktop\Stuff\Neuer HO\HattrickOrganizer\Uninstall.exe
AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe



[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-725345543-1960408961-2147208981-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-725345543-1960408961-2147208981-1004\Software\SecuROM\License information*]
"datasecu"=hex:0b,1f,a4,b2,84,96,c3,f4,50,c5,da,3c,c5,80,41,4a,6a,60,02,01,cc,
  94,8a,27,54,63,9a,c4,c4,fb,3e,bd,3e,b2,50,1c,0c,f7,65,5d,5c,b0,17,60,9c,ae,\
"rkeysecu"=hex:91,ce,a8,58,bb,ab,3e,4c,ff,c4,87,f9,a1,1b,09,19
.
Zeit der Fertigstellung: 2010-10-21  23:47:41
ComboFix-quarantined-files.txt  2010-10-21 21:47

Vor Suchlauf: 11 Verzeichnis(se), 54.900.404.224 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 54.937.477.120 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 7E2D9AEE14AD20B3B8A18417BD8F9104
--- --- ---

Chris4You 22.10.2010 07:08
Hi,

ausser dem hier:
c:\windows\system32\GameMon.des

Ist mir erstmal nichts mehr aufgfallen. Lass die Datei bei virustotal prüfen (auch wenn sie vorher schon mal bei virustotal gescannt wurde)...

Es gibt einige malware die den namen nutzt... z. B.
Trojan.Downexec.C Technical Details | Symantec

Wie verhält sich der Rechner (Spam-Bots sind sehr schwer zu finden)...

chris

Rauli 22.10.2010 12:11
so ich hab die dateien alle nochmal bei virustotal scannen lassen:


File name:
mfc42.dll
Submission date:
2010-10-22 11:01:01 (UTC)
Current status:
queued queued analysing finished
Result:
0/ 43 (0.0%)


File name:
comctl32.dll
Submission date:
2010-10-22 11:03:27 (UTC)
Current status:
queued (#2) queued (#2) analysing finished
Result:
0/ 43 (0.0%)

bei der dritten file gabs nen treffer bzw 3:

File name:
GameMon.des
Submission date:
2010-10-22 11:07:51 (UTC)
Current status:
queued (#1) queued (#1) analysing finished
Result:
3/ 43 (7.0%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.10.22.01 2010.10.22 -
AntiVir 7.10.13.17 2010.10.22 -
Antiy-AVL 2.0.3.7 2010.10.22 -
Authentium 5.2.0.5 2010.10.22 -
Avast 4.8.1351.0 2010.10.21 -
Avast5 5.0.594.0 2010.10.21 -
AVG 9.0.0.851 2010.10.22 -
BitDefender 7.2 2010.10.22 -
CAT-QuickHeal 11.00 2010.10.22 -
ClamAV 0.96.2.0-git 2010.10.22 -
Comodo 6475 2010.10.22 Heur.Pck.Themida
DrWeb 5.0.2.03300 2010.10.22 -
Emsisoft 5.0.0.50 2010.10.22 -
eSafe 7.0.17.0 2010.10.21 -
eTrust-Vet 36.1.7926 2010.10.22 -
F-Prot 4.6.2.117 2010.10.22 -
F-Secure 9.0.16160.0 2010.10.22 -
Fortinet 4.2.249.0 2010.10.22 -
GData 21 2010.10.22 -
Ikarus T3.1.1.90.0 2010.10.22 -
Jiangmin 13.0.900 2010.10.22 -
K7AntiVirus 9.66.2805 2010.10.21 -
Kaspersky 7.0.0.125 2010.10.22 -
McAfee 5.400.0.1158 2010.10.22 -
McAfee-GW-Edition 2010.1C 2010.10.22 -
Microsoft 1.6301 2010.10.22 -
NOD32 5554 2010.10.22 -
Norman 6.06.10 2010.10.22 Packed_TheMida.B
nProtect 2010-10-22.01 2010.10.22 -
Panda 10.0.2.7 2010.10.21 Suspicious file
PCTools 7.0.3.5 2010.10.22 -
Prevx 3.0 2010.10.22 -
Rising 22.70.03.01 2010.10.22 -
Sophos 4.58.0 2010.10.22 -
Sunbelt 7116 2010.10.22 -
SUPERAntiSpyware 4.40.0.1006 2010.10.22 -
Symantec 20101.2.0.161 2010.10.22 -
TheHacker 6.7.0.1.064 2010.10.21 -
TrendMicro 9.120.0.1004 2010.10.22 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.22 -
VBA32 3.12.14.1 2010.10.21 -
ViRobot 2010.9.25.4060 2010.10.22 -
VirusBuster 12.69.11.0 2010.10.21 -

Chris4You 22.10.2010 18:26
Hi,

grenzwertig...
Wie verhält sich der Rechner?

chris

Rauli 22.10.2010 23:57
Der verhält sich bisher unauffälig.
Noch keine weiteren Mails versendet(soweit ich das nachvollziehen kann)

Also heißt es jetzt warten und auf das Beste hoffen oder kann man da noch irgendwas tun??

Rauli

Chris4You 23.10.2010 19:17
Hi,

Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!
(Achtung: Es kann durch die agressive Einstellung vermehrt zu Fehlalarmen kommen, daher nicht löschen sondern in Quarantäne verschieben lassen)

Zusätzlich zu Avira und der Windows-Firewall noch Threadfire-free Herunterladen Kostenlos).
Zum Surfen Firefox mit den PlugIns "WOT" (http://filepony.de/?q=WOT) und
"NoScript" (http://filepony.de/download-noscript//)) verwenden,
einen "Guest"-Account (keine Adminrechte! XP: (Schritt 6: Eingeschränkte Rechte für Viren - Schritt für Schritt: Windows XP absichern - CHIP Online,
Vista/Win7: Windows-7-Anleitung: Benutzerkonten anlegen und verwalten - NETZWELT) anlegen.

chris

Rauli 24.10.2010 15:39
hier das avira log:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 24. Oktober 2010 12:50

Es wird nach 2963178 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : RAULI

Versionsinformationen:
BUILD.DAT : 10.0.0.567 32097 Bytes 19.04.2010 15:50:00
AVSCAN.EXE : 10.0.3.0 433832 Bytes 01.04.2010 11:37:35
AVSCAN.DLL : 10.0.3.0 56168 Bytes 30.03.2010 10:42:16
LUKE.DLL : 10.0.2.3 104296 Bytes 07.03.2010 17:32:59
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 18:27:49
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 16:37:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 15:37:42
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 10:29:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 10:27:40
VBASE006.VDF : 7.10.7.218 2294784 Bytes 02.06.2010 10:27:42
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.07.2010 10:27:44
VBASE008.VDF : 7.10.11.133 3454464 Bytes 13.09.2010 10:27:46
VBASE009.VDF : 7.10.11.134 2048 Bytes 13.09.2010 10:27:46
VBASE010.VDF : 7.10.11.135 2048 Bytes 13.09.2010 10:27:46
VBASE011.VDF : 7.10.11.136 2048 Bytes 13.09.2010 10:27:46
VBASE012.VDF : 7.10.11.137 2048 Bytes 13.09.2010 10:27:46
VBASE013.VDF : 7.10.11.165 172032 Bytes 15.09.2010 10:27:47
VBASE014.VDF : 7.10.11.202 144384 Bytes 18.09.2010 10:27:47
VBASE015.VDF : 7.10.11.231 129024 Bytes 21.09.2010 10:27:47
VBASE016.VDF : 7.10.12.4 126464 Bytes 23.09.2010 10:27:47
VBASE017.VDF : 7.10.12.38 146944 Bytes 27.09.2010 10:27:47
VBASE018.VDF : 7.10.12.64 133120 Bytes 29.09.2010 10:27:47
VBASE019.VDF : 7.10.12.99 134144 Bytes 01.10.2010 10:27:47
VBASE020.VDF : 7.10.12.122 131584 Bytes 05.10.2010 10:27:47
VBASE021.VDF : 7.10.12.148 119296 Bytes 07.10.2010 10:27:48
VBASE022.VDF : 7.10.12.175 142848 Bytes 11.10.2010 10:27:48
VBASE023.VDF : 7.10.12.198 131584 Bytes 13.10.2010 10:27:48
VBASE024.VDF : 7.10.12.216 133120 Bytes 14.10.2010 10:27:48
VBASE025.VDF : 7.10.12.238 137728 Bytes 18.10.2010 10:27:48
VBASE026.VDF : 7.10.12.254 129536 Bytes 20.10.2010 10:27:48
VBASE027.VDF : 7.10.13.22 137728 Bytes 22.10.2010 10:27:48
VBASE028.VDF : 7.10.13.23 2048 Bytes 22.10.2010 10:27:48
VBASE029.VDF : 7.10.13.24 2048 Bytes 22.10.2010 10:27:48
VBASE030.VDF : 7.10.13.25 2048 Bytes 22.10.2010 10:27:48
VBASE031.VDF : 7.10.13.27 12288 Bytes 22.10.2010 10:27:48
Engineversion : 8.2.4.84
AEVDF.DLL : 8.1.2.1 106868 Bytes 24.10.2010 10:27:52
AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 24.10.2010 10:27:51
AESCN.DLL : 8.1.6.1 127347 Bytes 24.10.2010 10:27:51
AESBX.DLL : 8.1.3.1 254324 Bytes 24.10.2010 10:27:52
AERDL.DLL : 8.1.9.2 635252 Bytes 24.10.2010 10:27:51
AEPACK.DLL : 8.2.3.11 471416 Bytes 24.10.2010 10:27:50
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 24.10.2010 10:27:50
AEHEUR.DLL : 8.1.2.36 2974072 Bytes 24.10.2010 10:27:50
AEHELP.DLL : 8.1.14.0 246134 Bytes 24.10.2010 10:27:49
AEGEN.DLL : 8.1.3.23 401779 Bytes 24.10.2010 10:27:49
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.10.2010 10:27:49
AECORE.DLL : 8.1.17.0 196982 Bytes 24.10.2010 10:27:49
AEBB.DLL : 8.1.1.0 53618 Bytes 24.10.2010 10:27:49
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.0.0 44904 Bytes 14.01.2010 10:59:07
AVREP.DLL : 10.0.0.8 62209 Bytes 18.02.2010 15:47:40
AVREG.DLL : 10.0.3.0 53096 Bytes 01.04.2010 11:35:44
AVSCPLR.DLL : 10.0.3.0 83816 Bytes 01.04.2010 11:39:49
AVARKT.DLL : 10.0.0.14 227176 Bytes 01.04.2010 11:22:11
AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 26.01.2010 08:53:25
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 28.01.2010 12:10:08
RCTEXT.DLL : 10.0.53.0 98152 Bytes 09.04.2010 13:14:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Sonntag, 24. Oktober 2010 12:50

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_USERS\S-1-5-21-725345543-1960408961-2147208981-1004\Software\SecuROM\License information\datasecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-725345543-1960408961-2147208981-1004\Software\SecuROM\License information\rkeysecu
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
[HINWEIS] Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFTray.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'TFService.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsnp2std.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '122' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrB.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '163' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1704' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\System Volume Information\_restore{F0085C3D-F76A-45E2-9BA7-F73DF2AF0787}\RP385\A0096598.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{F0085C3D-F76A-45E2-9BA7-F73DF2AF0787}\RP385\A0096598.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4fa1e021.qua' verschoben!


Ende des Suchlaufs: Sonntag, 24. Oktober 2010 16:36
Benötigte Zeit: 3:46:24 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

15196 Verzeichnisse wurden überprüft
405084 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
405083 Dateien ohne Befall
2217 Archive wurden durchsucht
0 Warnungen
1 Hinweise
440865 Objekte wurden beim Rootkitscan durchsucht
3 Versteckte Objekte wurden gefunden

Chris4You 25.10.2010 09:52
Hi,

Sicherheitshalber die Systemwiederherstellung "putzen"...


Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen


chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131