Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Automatische Screenshots im Temp-Ordner (https://www.trojaner-board.de/94806-automatische-screenshots-temp-ordner.html)

Harbinger 17.01.2011 17:01
Automatische Screenshots im Temp-Ordner
 
Tag zusammen, ich habe dasselbe Problem, das schon mal hier geschildert wurde, habe den Hinweisen da entsprechend Anit Malware und OTL ausgeführt. Hier die Logfiles:

Zitat:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5538

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

17.01.2011 16:54:24
mbam-log-2011-01-17 (16-54-24).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 186265
Laufzeit: 6 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 21

Infizierte Speicherprozesse:
c:\programme\VVSN\VVSN.exe (Adware.WhenU) -> 1200 -> Unloaded process successfully.
c:\dokumente und einstellungen\harbinger\anwendungsdaten\sys\winlogon.exe (Malware.Trace) -> 1872 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{2102E101-20C0-CB00-C020-CDAE13022046} (NameSpace.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{2102E101-20C0-CB00-C020-CDAE13022046} (NameSpace.Hijack) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{EDECC29F-E15C-BEE6-DFCE-ED9CCA9B32EF} (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{EDECC29F-E15C-BEE6-DFCE-ED9CCA9B32EF} (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{EDECC29F-E15C-BEE6-DFCE-ED9CCA9B32EF} (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VVSN (Adware.WhenU) -> Value: VVSN -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Winlogon (Malware.Trace) -> Value: Winlogon -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\programme\VVSN (Adware.WhenU) -> Quarantined and deleted successfully.
c:\programme\VVSN\URL1 (Adware.WhenU) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\programme\VVSN\VVSN.exe (Adware.WhenU) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\anwendungsdaten\a.exe (Trojan.Chekafe) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\n01d.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\n02d.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\n04d.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\n05d.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\259750n02.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\293593n05.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\315218n04.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\3f2b53n01.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\4120890n02.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\4131406n05.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\4146906n04.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\lokale einstellungen\Temp\4a748n01.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\application data\microsoft\Protect\track.sys (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\anwendungsdaten\sys\data.dat (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Winup\kb37154.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\Winup\kb37156.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\Winup\kb93623.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\harbinger\anwendungsdaten\sys\winlogon.exe (Malware.Trace) -> Quarantined and deleted successfully.
c:\programme\VVSN\vvsn.cfg (Adware.WhenU) -> Quarantined and deleted successfully.
OTL Logfile:
Code:
OTL logfile created on: 17.01.2011 16:53:52 - Run 1
OTL by OldTimer - Version 3.2.20.2 Folder = C:\Dokumente und Einstellungen\Harbinger\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 401,00 Mb Available Physical Memory | 39,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 186,30 Gb Total Space | 128,06 Gb Free Space | 68,74% Space Free | Partition Type: NTFS
Drive D: | 298,09 Gb Total Space | 297,99 Gb Free Space | 99,97% Space Free | Partition Type: NTFS
Unable to calculate disk information.
Drive F: | 1397,26 Gb Total Space | 986,38 Gb Free Space | 70,59% Space Free | Partition Type: NTFS
 
Computer Name: HARBINGER | User Name: Harbinger | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Harbinger\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Mozilla Thunderbird\thunderbird.exe (Mozilla Messaging)
PRC - C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys\winlogon.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\Programme\coolspot AG\Personal ID\pid.exe (coolspot AG, Düsseldorf)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\ATI Technologies\ATI.ACE\CLI.exe (ATI Technologies Inc.)
PRC - C:\Programme\DAEMON Tools\daemon.exe (DT Soft Ltd.)
PRC - C:\Programme\VVSN\VVSN.exe (WhenU.com)
PRC - C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe ()
PRC - C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.exe (Conexant Systems, Inc.)
PRC - C:\Programme\Winamp\winampa.exe ()
PRC - C:\WINXP\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
PRC - C:\Programme\VSTASCAN\vsaccess.exe (UMAX)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\Harbinger\Desktop\OTL.exe (OldTimer Tools)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- File not found
SRV - (NMSAccessU) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV - (dtscsi) -- C:\WINXP\System32\Drivers\dtscsi.sys ()
DRV - (sptd) -- C:\WINXP\System32\Drivers\sptd.sys ()
DRV - (MDC8021X) AEGIS Protocol (IEEE 802.1x) -- C:\WINXP\system32\drivers\mdc8021x.sys (Meetinghouse Data Communications)
DRV - (StarOpen) -- C:\WINXP\System32\drivers\StarOpen.sys ()
DRV - (gameenum) -- C:\WINXP\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (ati2mtag) -- C:\WINXP\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (DT154_A02) -- C:\WINXP\system32\drivers\TS154USB.sys (Deutsche Telekom AG)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINXP\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (ms_mpu401) -- C:\WINXP\system32\drivers\msmpu401.sys (Microsoft Corporation)
DRV - (PPSCAN) -- C:\WINXP\System32\drivers\ppscan.sys (Shuttle Technology.)
DRV - (PPCLASS) -- C:\WINXP\System32\drivers\ppclass.sys (Silitek Corporation.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://so92.com/?
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://so92.com/?
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://forum.worldofplayers.de/forum/index.php"
FF - prefs.js..extensions.enabledItems: {a7c6cf7f-112c-4500-a7ea-39801a327e5f}:1.0.10
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.2
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.12 02:22:56 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.12 02:22:56 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2010.12.10 13:51:41 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.7\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2010.09.03 13:06:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Extensions
[2010.09.03 13:06:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.01.17 01:52:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\extensions
[2010.12.03 14:07:26 | 000,000,000 | ---D | M] (FireFTP) -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}
[2010.12.12 13:44:26 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2011.01.11 21:16:13 | 000,001,238 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\searchplugins\wikipedia-en---search.xml
[2011.01.17 01:52:20 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.05.17 01:08:00 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2010.05.17 01:07:41 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.05.17 01:07:40 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.05.03 23:15:03 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.05.03 23:15:03 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.05.03 23:15:04 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.05.03 23:15:04 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.05.03 23:15:04 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 10:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Kwyshell MidpX) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll (Kwyshell G.Corp)
O3 - HKLM\..\Toolbar: (Kwyshell MidpX) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll (Kwyshell G.Corp)
O3 - HKCU\..\Toolbar\ShellBrowser: (Kwyshell MidpX) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll (Kwyshell G.Corp)
O3 - HKCU\..\Toolbar\WebBrowser: (Kwyshell MidpX) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll (Kwyshell G.Corp)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)
O4 - HKLM..\Run: [DAEMON Tools] C:\Programme\DAEMON Tools\daemon.exe (DT Soft Ltd.)
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [PRISMSVR.EXE] C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE (Conexant Systems, Inc.)
O4 - HKLM..\Run: [SoundMan] C:\WINXP\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe (WhenU.com)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe ()
O4 - HKCU..\Run: [ICQ] C:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O4 - HKCU..\Run: [Personal ID] C:\Programme\coolspot AG\Personal ID\pid.exe (coolspot AG, Düsseldorf)
O4 - HKCU..\Run: [Winlogon] C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys\winlogon.exe ()
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Harbinger\Startmenü\Programme\Autostart\Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe (Mozilla Messaging)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetIcon = 0
O8 - Extra context menu item: Link to &MidpX - C:\Programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm ()
O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/A/7/D/A7D1EBE3-8E78-4CBE-B22B-EEECF9E3A1BC/fhg.CAB (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINXP\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.10.11 01:36:48 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010.07.10 03:20:25 | 000,000,000 | RH-D | M] - F:\autorun -- [ NTFS ]
O32 - AutoRun File - [2002.10.16 13:56:50 | 000,000,036 | RH-- | M] () - F:\autorun.inf -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.01.17 16:52:55 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Harbinger\Desktop\OTL.exe
[2011.01.17 16:40:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Malwarebytes
[2011.01.17 16:40:29 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2011.01.17 16:40:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes
[2011.01.17 16:40:26 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[2011.01.17 16:40:26 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.01.17 16:36:30 | 007,734,208 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\mbam-setup.exe
[2011.01.05 21:01:32 | 000,012,288 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\mouhid.sys
[2011.01.05 21:01:27 | 000,010,368 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\hidusb.sys
[2008.01.06 19:59:00 | 016,455,833 | ---- | C] (Tsunami ) -- C:\Programme\Tsunami_Filter_Pack_3_9_9.exe
[2007.11.27 20:39:59 | 017,766,840 | ---- | C] (DivX, Inc.) -- C:\Programme\DivXInstaller.exe
[2007.11.27 01:50:57 | 000,336,229 | ---- | C] (PGC ) -- C:\Programme\GameCamSetup14.exe
[2007.11.26 23:08:24 | 021,321,008 | ---- | C] (Apple Inc.) -- C:\Programme\QuickTimeInstaller73.exe
[2007.11.26 23:02:25 | 025,534,936 | ---- | C] (RapidSolution Software AG) -- C:\Programme\tunebite.exe
[2007.11.03 14:03:20 | 008,030,790 | ---- | C] (BioWare Corp.) -- C:\Programme\BGII-ThroneofBhaal_Patch_26498_EUROPEAN.exe
[2007.11.02 16:50:10 | 003,213,312 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\r32_g20_3sm.exe
[2007.11.02 14:27:53 | 011,917,655 | ---- | C] ( ) -- C:\Programme\quicktimealt190.exe
[4 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.01.17 16:52:55 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Harbinger\Desktop\OTL.exe
[2011.01.17 16:39:40 | 000,011,229 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\.recently-used.xbel
[2011.01.17 16:36:42 | 007,734,208 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\mbam-setup.exe
[2011.01.17 16:32:11 | 000,417,040 | ---- | M] () -- C:\WINXP\System32\perfh007.dat
[2011.01.17 16:32:11 | 000,402,634 | ---- | M] () -- C:\WINXP\System32\perfh009.dat
[2011.01.17 16:32:11 | 000,075,464 | ---- | M] () -- C:\WINXP\System32\perfc007.dat
[2011.01.17 16:32:11 | 000,062,812 | ---- | M] () -- C:\WINXP\System32\perfc009.dat
[2011.01.17 16:31:56 | 000,000,177 | ---- | M] () -- C:\WINXP\ppdrv.ini
[2011.01.17 16:31:51 | 000,003,945 | ---- | M] () -- C:\WINXP\vista32.ini
[2011.01.17 16:27:54 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2011.01.17 16:27:50 | 1073,274,880 | -HS- | M] () -- C:\hiberfil.sys
[2011.01.17 16:25:03 | 000,000,084 | ---- | M] () -- C:\WINXP\winamp.ini
[2011.01.17 04:51:32 | 000,200,192 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.01.14 17:33:37 | 000,022,528 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\lieblingsfilm 2010 runde 2.doc
[2011.01.12 12:34:33 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2011.01.07 13:08:32 | 081,083,126 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\OMNIUM_GATHERUM_-_New_World_Shadows_(all_tracks).zip
[2011.01.03 18:27:25 | 007,125,706 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\Alfred Robbins v1.0.2.7.rar
[2011.01.03 15:16:08 | 000,068,116 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\die_eiserne_rose.jpg
[2011.01.02 02:06:00 | 000,079,973 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\drag me to hell.jpg
[2010.12.28 19:10:01 | 000,069,942 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\edge_small.jpg
[2010.12.28 19:09:12 | 000,227,432 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\edge.jpg
[2010.12.28 19:00:25 | 000,717,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\Alberron Tales - Highwaymen.doc
[2010.12.20 18:09:00 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2010.12.20 18:08:40 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[4 C:\WINXP\*.tmp files -> C:\WINXP\*.tmp -> ]
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.01.17 16:39:40 | 000,011,229 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\.recently-used.xbel
[2011.01.14 17:30:36 | 000,022,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\lieblingsfilm 2010 runde 2.doc
[2011.01.07 13:05:32 | 081,083,126 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\OMNIUM_GATHERUM_-_New_World_Shadows_(all_tracks).zip
[2011.01.03 18:27:11 | 007,125,706 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\Alfred Robbins v1.0.2.7.rar
[2011.01.03 15:16:07 | 000,068,116 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\die_eiserne_rose.jpg
[2011.01.02 02:05:54 | 000,079,973 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\drag me to hell.jpg
[2010.12.28 19:10:00 | 000,069,942 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\edge_small.jpg
[2010.12.28 19:09:11 | 000,227,432 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\edge.jpg
[2010.10.16 14:13:56 | 000,069,632 | R--- | C] () -- C:\WINXP\System32\xmltok.dll
[2010.10.16 14:13:56 | 000,036,864 | R--- | C] () -- C:\WINXP\System32\xmlparse.dll
[2010.05.11 17:28:27 | 000,000,397 | ---- | C] () -- C:\WINXP\ODBC.INI
[2010.04.29 03:21:14 | 000,000,084 | ---- | C] () -- C:\WINXP\winamp.ini
[2010.02.25 20:48:19 | 000,007,168 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys
[2010.02.25 15:29:03 | 000,043,520 | ---- | C] () -- C:\WINXP\System32\CmdLineExt03.dll
[2010.02.18 20:13:07 | 000,002,338 | ---- | C] () -- C:\WINXP\vista32d.ini
[2010.02.18 20:10:13 | 000,000,177 | ---- | C] () -- C:\WINXP\ppdrv.ini
[2010.02.18 20:08:22 | 000,003,945 | ---- | C] () -- C:\WINXP\vista32.ini
[2010.02.18 20:08:22 | 000,000,069 | ---- | C] () -- C:\WINXP\umaxdrv.ini
[2010.02.18 20:08:19 | 000,199,696 | ---- | C] () -- C:\WINXP\p1220_16.dll
[2010.02.18 20:08:19 | 000,140,320 | ---- | C] () -- C:\WINXP\p1220_32.dll
[2010.02.18 20:08:19 | 000,068,608 | ---- | C] () -- C:\WINXP\vufile32.dll
[2010.02.18 20:08:19 | 000,030,208 | ---- | C] () -- C:\WINXP\uxmail32.dll
[2010.02.18 07:54:14 | 000,223,128 | ---- | C] () -- C:\WINXP\System32\drivers\dtscsi.sys
[2010.02.18 07:51:58 | 000,664,064 | ---- | C] () -- C:\WINXP\System32\drivers\sptd.sys
[2010.02.18 07:51:58 | 000,096,384 | ---- | C] () -- C:\WINXP\System32\drivers\sptd4829.sys
[2010.02.18 07:48:46 | 000,000,041 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\.zreglib
[2010.02.17 02:23:26 | 000,200,192 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.02.16 17:58:25 | 000,000,142 | ---- | C] () -- C:\Dokumente und Einstellungen\Harbinger\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.02.16 15:19:43 | 000,004,073 | ---- | C] () -- C:\WINXP\ODBCINST.INI
[2010.01.10 22:17:50 | 000,120,570 | ---- | C] () -- C:\Programme\JoWooD.RPT
[2008.10.13 13:37:01 | 000,718,824 | ---- | C] () -- C:\Programme\MatroskaSplitter.exe
[2008.08.03 12:58:48 | 000,367,643 | ---- | C] () -- C:\Programme\gmid2wav!.exe
[2008.01.31 19:25:08 | 004,230,520 | ---- | C] () -- C:\Programme\dMC-r12.4.exe
[2008.01.12 21:20:28 | 000,069,232 | ---- | C] () -- C:\Programme\Neverend_Patch_1.1.zip
[2008.01.09 18:35:10 | 000,776,149 | ---- | C] () -- C:\Programme\willst du.mp3
[2008.01.02 18:43:59 | 000,187,365 | ---- | C] () -- C:\Programme\RedEye.exe
[2007.12.26 15:44:35 | 005,740,099 | ---- | C] () -- C:\Programme\die_gilde_gold_patch_2_06.exe
[2007.12.26 13:03:08 | 001,916,471 | ---- | C] () -- C:\Programme\tribesv_update_ger_10_101.exe
[2007.12.11 21:49:32 | 000,441,826 | ---- | C] () -- C:\Programme\vsfilter_20051125.7z
[2007.12.11 21:40:51 | 002,820,758 | ---- | C] () -- C:\Programme\Avisynth_257.exe
[2007.12.01 16:50:56 | 000,242,480 | ---- | C] () -- C:\Programme\SCKeeper105_Setup.exe
[2007.11.27 20:38:13 | 005,532,619 | ---- | C] () -- C:\Programme\DrDivX_2_0_0_OSS.exe
[2007.11.27 01:53:45 | 011,330,092 | ---- | C] () -- C:\Programme\avidemux_2.4_preview2_win32.exe
[2007.11.27 01:39:28 | 000,159,122 | ---- | C] () -- C:\Programme\audioscrobbler.wa.1.1.10.exe
[2007.11.26 22:40:05 | 001,492,991 | ---- | C] () -- C:\Programme\RADTools.exe
[2007.11.26 01:58:38 | 000,638,104 | ---- | C] () -- C:\Programme\MP4Box-0.4.5-dev.zip
[2007.11.11 13:16:52 | 007,444,972 | ---- | C] () -- C:\Programme\chivalry.zip
[2007.11.06 21:01:02 | 000,523,654 | ---- | C] () -- C:\Programme\VirtualDub1493VCR+SYNC.zip
[2007.11.03 14:03:32 | 015,062,528 | ---- | C] () -- C:\Programme\bgintl114315.exe
[2007.11.03 13:24:58 | 003,073,172 | ---- | C] () -- C:\Programme\Tutufix_v17.exe
[2007.11.01 16:09:34 | 011,284,970 | ---- | C] () -- C:\Programme\cdbxp_setup_3.0.116.zip
[2006.06.23 11:13:54 | 000,114,688 | ---- | C] () -- C:\WINXP\System32\liclock.dll
[1999.04.29 22:00:00 | 000,065,536 | ---- | C] () -- C:\WINXP\System32\MSRTEDIT.DLL
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 24 bytes -> C:\WINXP:7A22F41B002D1A39
 
< End of report >
--- --- ---


OTL Logfile:
Code:
OTL Extras logfile created on: 17.01.2011 16:53:52 - Run 1
OTL by OldTimer - Version 3.2.20.2 Folder = C:\Dokumente und Einstellungen\Harbinger\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 401,00 Mb Available Physical Memory | 39,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 79,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 186,30 Gb Total Space | 128,06 Gb Free Space | 68,74% Space Free | Partition Type: NTFS
Drive D: | 298,09 Gb Total Space | 297,99 Gb Free Space | 99,97% Space Free | Partition Type: NTFS
Unable to calculate disk information.
Drive F: | 1397,26 Gb Total Space | 986,38 Gb Free Space | 70,59% Space Free | Partition Type: NTFS
 
Computer Name: HARBINGER | User Name: Harbinger | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ -- (ICQ, LLC.)
"C:\Programme\Real\RealPlayer\realplay.exe" = C:\Programme\Real\RealPlayer\realplay.exe:*:Enabled:RealPlayer
"C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys\winlogon.exe" = C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys\winlogon.exe:*:Enabled:Windows Messanger
"C:\DOKUME~1\HARBIN~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für George Carlin - Stupid things we say.zip\George Carlin - Stupid things we say\George Carlin - Stupid things we say.exe" = C:\DOKUME~1\HARBIN~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für George Carlin - Stupid things we say.zip\George Carlin - Stupid things we say\George Carlin - Stupid things we say.exe:*:Enabled:Windows Messanger
"C:\Programme\Java\jre6\launch4j-tmp\strange-eons.exe" = C:\Programme\Java\jre6\launch4j-tmp\strange-eons.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\FLV_Player_Setup.exe" = C:\Dokumente und Einstellungen\Harbinger\Eigene Dateien\FLV_Player_Setup.exe:*:Enabled:Flash FLV Player -- ()
"C:\Programme\uTorrent\uTorrent.exe" = C:\Programme\uTorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)
"C:\Programme\Real Alternative\Media Player Classic\mplayerc.exe" = C:\Programme\Real Alternative\Media Player Classic\mplayerc.exe:*:Enabled:Media Player Classic -- (Gabest)
"C:\Games\Unreal Tournament\System\UnrealTournament.exe" = C:\Games\Unreal Tournament\System\UnrealTournament.exe:*:Enabled:UnrealTournament -- ()
"C:\Programme\FlashGet\flashget.exe" = C:\Programme\FlashGet\flashget.exe:*:Enabled:Flashget
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{BBB3F622-D848-4CDA-B282-CC53627432F0}" = Microsoft Application Compatibility Toolkit 5.5
"{C53FB914-C1F6-4F9D-93E2-A3A84935EC15}" = Sinus 154 data II
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe
"{EA9FAF16-0E5C-42C4-9742-9AF8D5F6D69B}" = ATI Catalyst Control Center
"{F722209B-739E-40E4-ADB1-062BD032A0DB}" = Personal ID
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{ff9dfbe9-f109-4d3d-a14e-302e0e9864b7}.sdb" = Dungeon Keeper 1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"All ATI Software" = ATI - Software Uninstall Utility
"ATI Display Driver" = ATI Display Driver
"DivX Setup.divx.com" = DivX-Setup
"Fraps" = Fraps (remove only)
"Grotesque-Tactics" = Grotesque-Tactics 1.0.0.2
"Guitar Pro 5_is1" = Guitar Pro 5.2
"InstallShield_{C53FB914-C1F6-4F9D-93E2-A3A84935EC15}" = Sinus 154 data II
"Keeper" = Dungeon Keeper
"Kwyshell MidpX Emulator Package" = Kwyshell MidpX Emulator Package 1.3.1
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"Mozilla Thunderbird (3.1.7)" = Mozilla Thunderbird (3.1.7)
"OpenAL" = OpenAL
"QuicktimeAlt_is1" = QuickTime Alternative 3.2.2
"RealAlt_is1" = Real Alternative 2.0.2
"Silver" = Silver
"StrangeEons" = Strange Eons
"uTorrent" = µTorrent
"VLC media player" = VLC media player 1.1.4
"Windows Media Encoder 9" = Windows Media Encoder 9-Reihe
"WinGimp-2.0_is1" = GIMP 2.6.8
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 09.09.2010 07:52:17 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x04b29290.
 
Error - 17.09.2010 22:04:08 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x04ed9290.
 
Error - 16.10.2010 09:51:54 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung warlords4.exe, Version 1.0.1.0, fehlgeschlagenes
Modul warlords4.exe, Version 1.0.1.0, Fehleradresse 0x000f3d97.
 
Error - 16.10.2010 20:15:15 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x04779290.
 
Error - 19.10.2010 15:49:59 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x07430000.
 
Error - 25.10.2010 20:05:47 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x04f99298.
 
Error - 01.11.2010 23:09:54 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul l3codeca.acm, Version 1.9.0.306, Fehleradresse 0x000092b0.
 
Error - 08.11.2010 18:47:23 | Computer Name = HARBINGER | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung winamp.exe, Version 2.9.1.0, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 20.11.2010 17:22:44 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.5512, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x04749290.
 
Error - 20.11.2010 17:22:51 | Computer Name = HARBINGER | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.
 
[ System Events ]
Error - 12.12.2010 08:44:25 | Computer Name = HARBINGER | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. .
 
Error - 12.12.2010 08:44:28 | Computer Name = HARBINGER | Source = SideBySide | ID = 16842784
Description = Abhängige Assemblierung "Microsoft.VC90.CRT" konnte nicht gefunden
werden. "Last Error": Die referenzierte Assemblierung ist nicht auf dem Computer
installiert.
 
Error - 12.12.2010 08:44:28 | Computer Name = HARBINGER | Source = SideBySide | ID = 16842811
Description = Resolve Partial Assembly ist für Microsoft.VC90.CRT fehlgeschlagen.
Referenzfehlermeldung:
Die referenzierte Assemblierung ist nicht auf dem Computer installiert. .
 
Error - 12.12.2010 08:44:28 | Computer Name = HARBINGER | Source = SideBySide | ID = 16842811
Description = Generate Activation Context ist für C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc_fireftp.dll
fehlgeschlagen. Referenzfehlermeldung: Der Vorgang wurde erfolgreich beendet. .
 
Error - 23.12.2010 15:44:10 | Computer Name = HARBINGER | Source = W32Time | ID = 39452706
Description = Der Zeitdienst hat festgestellt, dass die Systemzeit um +74579 Sekunden
geändert
werden muss. Die Systemzeit kann durch den Zeitdienst um maximal +54000 Sekunden
geändert werden. Stellen Sie sicher, dass die Uhrzeit und Zeitzone korrekt sind
und dass die Zeitquelle time.windows.com (ntp.m|0x1|192.168.178.29:123->207.46.232.182:123)
funktionsfähig ist.
 
Error - 29.12.2010 22:28:24 | Computer Name = HARBINGER | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)
 
Error - 29.12.2010 22:28:24 | Computer Name = HARBINGER | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 30.12.2010 19:02:00 | Computer Name = HARBINGER | Source = Dhcp | ID = 1000
Description = Die Lease dieses Computers zu der IP-Adresse 192.168.178.29 über die
Netzwerkkarte mit der Netzwerkadresse 0030F1E937F0 ist verloren gegangen.
 
Error - 12.01.2011 07:34:57 | Computer Name = HARBINGER | Source = Dhcp | ID = 1001
Description = Diesem Computer konnte keine Netzwerkadresse durch den DHCP-Server
für die Netzwerkkarte mit der Netzwerkadresse 0030F1E937F0 zugeteilt werden. Der
folgende Fehler ist aufgetreten: %%1223. Es wird weiterhin im Hintergrund versucht,
eine Adresse vom Netzwerkadressserver (DHCP) zugeteilt zu bekommen.
 
Error - 15.01.2011 09:50:37 | Computer Name = HARBINGER | Source = Dhcp | ID = 1001
Description = Diesem Computer konnte keine Netzwerkadresse durch den DHCP-Server
für die Netzwerkkarte mit der Netzwerkadresse 0030F1E937F0 zugeteilt werden. Der
folgende Fehler ist aufgetreten: %%1223. Es wird weiterhin im Hintergrund versucht,
eine Adresse vom Netzwerkadressserver (DHCP) zugeteilt zu bekommen.
 
 
< End of report >
--- --- ---


Ich starte dann jetzt mal neu, weil gesagt wurde, dass ein paar infizierte Dinge nur beim Neustart entfernt werden können, ansonsten danke ich schon mal im Voraus für Hilfe ;)

markusg 17.01.2011 17:15
• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKCU..\Run: [Winlogon] C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys\winlogon.exe ()
PRC - C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys\winlogon.exe ()
:Files
C:\Dokumente und Einstellungen\Harbinger\Anwendungsdaten\sys
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne den arbeitsplatz,, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

Harbinger 17.01.2011 17:36
Das Archiv ist hochgeladen. Besagte Textdatei finde ich aber nicht. Wo wäre die denn?

markusg 17.01.2011 17:39
hätte automatisch aufgehen müssen aber ich finde die auch im archiv.

markusg 17.01.2011 17:41
hmm, hast du nach nutzung von otl nen neustart gemacht?

Harbinger 17.01.2011 17:42
Ja, hab ich. Bzw. Neustart kam automatisch.

markusg 17.01.2011 17:43
ok
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Harbinger 17.01.2011 18:25
Ok, hier isses:

Combofix Logfile:
Code:
ComboFix 11-01-16.04 - Harbinger 17.01.2011  18:02:34.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.469 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Harbinger\Eigene Dateien\ComboFix.exe
.
ADS - WINXP: deleted 24 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\ICQ6.5\ICQLRun.exe
c:\programme\sFX
C:\Thumbs.db
C:\Winup
F:\Autorun.inf

.
(((((((((((((((((((((((  Dateien erstellt von 2010-12-17 bis 2011-01-17  ))))))))))))))))))))))))))))))
.

2011-01-17 16:17 . 2011-01-17 16:34        --------        d-----w-        C:\_OTL
2011-01-17 15:40 . 2011-01-17 15:40        --------        d-----w-        c:\dokumente und einstellungen\Harbinger\Anwendungsdaten\Malwarebytes
2011-01-17 15:40 . 2011-01-17 15:40        --------        d-----w-        c:\dokumente und einstellungen\All Users.WINXP\Anwendungsdaten\Malwarebytes
2011-01-17 15:40 . 2010-12-20 17:09        38224        ----a-w-        c:\winxp\system32\drivers\mbamswissarmy.sys
2011-01-17 15:40 . 2011-01-17 15:40        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-01-17 15:40 . 2010-12-20 17:08        20952        ----a-w-        c:\winxp\system32\drivers\mbam.sys
2011-01-05 20:01 . 2001-08-18 02:22        12288        -c--a-w-        c:\winxp\system32\dllcache\mouhid.sys
2011-01-05 20:01 . 2001-08-18 02:22        12288        ----a-w-        c:\winxp\system32\drivers\mouhid.sys
2011-01-05 20:01 . 2008-04-13 22:15        10368        -c--a-w-        c:\winxp\system32\dllcache\hidusb.sys
2011-01-05 20:01 . 2008-04-13 22:15        10368        ----a-w-        c:\winxp\system32\drivers\hidusb.sys

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-22 18:38 . 2006-06-23 10:13        114688        ----a-w-        c:\winxp\system32\liclock.dll
2008-10-13 12:43 . 2008-10-13 12:37        718824        ----a-w-        c:\programme\MatroskaSplitter.exe
2008-08-03 11:58 . 2008-08-03 11:58        367643        ----a-w-        c:\programme\gmid2wav!.exe
2008-01-31 18:27 . 2008-01-31 18:25        4230520        ----a-w-        c:\programme\dMC-r12.4.exe
2008-01-06 19:00 . 2008-01-06 18:59        16455833        ----a-w-        c:\programme\Tsunami_Filter_Pack_3_9_9.exe
2008-01-02 17:43 . 2008-01-02 17:43        187365        ----a-w-        c:\programme\RedEye.exe
2007-12-26 14:46 . 2007-12-26 14:44        5740099        ----a-w-        c:\programme\die_gilde_gold_patch_2_06.exe
2007-12-26 12:03 . 2007-12-26 12:03        1916471        ----a-w-        c:\programme\tribesv_update_ger_10_101.exe
2007-12-11 20:41 . 2007-12-11 20:40        2820758        ----a-w-        c:\programme\Avisynth_257.exe
2007-12-01 15:50 . 2007-12-01 15:50        242480        ----a-w-        c:\programme\SCKeeper105_Setup.exe
2007-11-27 19:41 . 2007-11-27 19:39        17766840        ----a-w-        c:\programme\DivXInstaller.exe
2007-11-27 19:38 . 2007-11-27 19:38        5532619        ----a-w-        c:\programme\DrDivX_2_0_0_OSS.exe
2007-11-27 00:54 . 2007-11-27 00:53        11330092        ----a-w-        c:\programme\avidemux_2.4_preview2_win32.exe
2007-11-27 00:50 . 2007-11-27 00:50        336229        ----a-w-        c:\programme\GameCamSetup14.exe
2007-11-27 00:39 . 2007-11-27 00:39        159122        ----a-w-        c:\programme\audioscrobbler.wa.1.1.10.exe
2007-11-26 22:09 . 2007-11-26 22:08        21321008        ----a-w-        c:\programme\QuickTimeInstaller73.exe
2007-11-26 22:03 . 2007-11-26 22:02        25534936        ----a-w-        c:\programme\tunebite.exe
2007-11-26 21:40 . 2007-11-26 21:40        1492991        ----a-w-        c:\programme\RADTools.exe
2007-11-03 13:07 . 2007-11-03 13:03        15062528        ----a-w-        c:\programme\bgintl114315.exe
2007-11-03 13:04 . 2007-11-03 13:03        8030790        ----a-w-        c:\programme\BGII-ThroneofBhaal_Patch_26498_EUROPEAN.exe
2007-11-03 12:25 . 2007-11-03 12:24        3073172        ----a-w-        c:\programme\Tutufix_v17.exe
2007-11-02 15:50 . 2007-11-02 15:50        3213312        ----a-w-        c:\programme\r32_g20_3sm.exe
2007-11-02 13:28 . 2007-11-02 13:27        11917655        ----a-w-        c:\programme\quicktimealt190.exe
.

------- Sigcheck -------

[-] 2008-12-10 . 451D0981F4CCA5697307AF90D799BDC3 . 1571840 . . [5.1.2600.5512] . . c:\winxp\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Personal ID"="c:\progra~1\COOLSP~1\PERSON~1\PID.EXE" [2009-03-04 1134008]
"ICQ"="c:\programme\ICQ6.5\ICQ.exe" [2010-11-16 172856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PRISMSVR.EXE"="c:\programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" [2004-04-26 295001]
"SoundMan"="SOUNDMAN.EXE" [2003-02-27 47104]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [2005-11-08 128920]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-04-12 1135912]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2003-04-17 12288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]

c:\dokumente und einstellungen\Harbinger\Startmen\Programme\Autostart\
Mozilla Thunderbird.lnk - c:\programme\Mozilla Thunderbird\thunderbird.exe [2008-1-15 12584112]

c:\dokumente und einstellungen\All Users.WINXP\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-4-29 65588]
T-Com WLAN Manager.lnk - c:\programme\T-Com\Sinus 154 data II\TS154USB.exe [2004-6-8 327680]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\strange-eons.exe"=
"c:\\Dokumente und Einstellungen\\Harbinger\\Eigene Dateien\\FLV_Player_Setup.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Real Alternative\\Media Player Classic\\mplayerc.exe"=
"c:\\Games\\Unreal Tournament\\System\\UnrealTournament.exe"=

R0 sptd;sptd;c:\winxp\system32\drivers\sptd.sys [18.02.2010 07:51 664064]
R2 PPCLASS;PPCLASS;c:\winxp\system32\drivers\ppclass.sys [18.02.2010 20:08 85868]
R2 PPSCAN;PPSCAN;c:\winxp\system32\drivers\ppscan.sys [18.02.2010 20:08 120544]
R3 DT154_A02;Sinus 154 data II Driver;c:\winxp\system32\drivers\TS154USB.sys [04.12.2007 17:34 379264]
S3 cusbohcn;cusbohcn;\??\c:\dokume~1\HARBIN~1\LOKALE~1\Temp\cusbohcn.sys --> c:\dokume~1\HARBIN~1\LOKALE~1\Temp\cusbohcn.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://so92.com/?
mStart Page = hxxp://so92.com/?
IE: Link to &MidpX - c:\programme\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm
FF - ProfilePath - c:\dokumente und einstellungen\Harbinger\Anwendungsdaten\Mozilla\Firefox\Profiles\eghwwewh.default\
FF - prefs.js: browser.startup.homepage - hxxp://forum.worldofplayers.de/forum/index.php
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: FireFTP: {a7c6cf7f-112c-4500-a7ea-39801a327e5f} - %profile%\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}
FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\programme\Java\jre6\lib\deploy\jqs\ff
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Grotesque-Tactics - c:\games\Grotesque-Tactics\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-17 18:14
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  Personal ID = c:\progra~1\COOLSP~1\PERSON~1\PID.EXE?

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\winxp\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2011-01-17  18:18:44
ComboFix-quarantined-files.txt  2011-01-17 17:18

Vor Suchlauf: 21 Verzeichnis(se), 137.488.158.720 Bytes frei
Nach Suchlauf: 20 Verzeichnis(se), 137.532.669.952 Bytes frei

- - End Of File - - 10175D6D8D398389543872AACAFF3BCB
--- --- ---

markusg 17.01.2011 18:41
mach mal nen update von malwarebytes, komplett scan und dann das log posten, funde entfernen.

Harbinger 17.01.2011 21:31
Okay, ist gerade fertig geworden. Hier das Log:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5541

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

17.01.2011 21:31:00
mbam-log-2011-01-17 (21-31-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|)
Durchsuchte Objekte: 487767
Laufzeit: 2 Stunde(n), 15 Minute(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{56acfa70-864b-4362-92ac-be493f1bb820}\RP177\A0076430.exe (Trojan.Chekafe) -> Quarantined and deleted successfully.
c:\system volume information\_restore{56acfa70-864b-4362-92ac-be493f1bb820}\RP177\A0076431.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{56acfa70-864b-4362-92ac-be493f1bb820}\RP177\A0076436.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\system volume information\_restore{56acfa70-864b-4362-92ac-be493f1bb820}\RP177\A0076437.exe (Spyware.Passwords) -> Quarantined and deleted successfully.
c:\system volume information\_restore{56acfa70-864b-4362-92ac-be493f1bb820}\RP177\A0076438.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\programme\daemon tools\setupdtsb.exe (Adware.WhenU) -> Quarantined and deleted successfully.
c:\WINDOWS\Udat1123.exe (Spyware.Passwords) -> Quarantined and deleted successfully.

markusg 18.01.2011 13:19
lade den ccleaner slim:
Piriform - Builds
falls der ccleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131