Trojaner-Board - Ordner auf Speicherkarte nur noch Verknüpfung

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Ordner auf Speicherkarte nur noch Verknüpfung (https://www.trojaner-board.de/106186-ordner-speicherkarte-nur-noch-verknuepfung.html)

Ordner auf Speicherkarte nur noch Verknüpfung

Hallo,
ich kann auf eine meiner Speicherkarten für die Digitalkamera nicht mehr zugreifen.
Der Ursprüngliche Ordner ist durch eine Verknüpfung ersetzt worden, die auf den Pfad %windir%\system32\cmd.exe /c "start %cd%RECYCLER\470a1245.exe verweist.
Zudem befindet sich eine neue Autofun.inf datei auf der Speicherkarte, sowie ein Versteckter Ordner namens Recycler. In diesem Befindet sich wahrscheinlich ein Wurm. :wtf:

Wie kann ich diesen Fehler beheben? Der Fehler besteht schon etwas länger. Ich komme aber erst jetzt dazu Ihn anzugehen. Mein Computer schient recht stabil zu laufen, bin mir nun aber unsicher, woher das kommt.

Wäre schön, wenn mir jemand dabei helfen könnte wieder auf die Bilder der Speicherkarte zugreifen zu können.

Gruß
gradesbrett

Hi,

die SHIFT-Taste gedrückt halten, die Speicherkarte/Kamera anschließen und erst wieder loslassen wenn sie vollständig erkannt wurde...

Dann MAM drüberlaufen lassen (alle Laufwerke!) und ein OTL-Scan...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

chris

Hallo ich habe vorhin den Computer inklusive Speicherkarte mit Malwarebytes gescannt. Dabei kam eine Fehlermaeldung, die ich dann bereinigt habe.

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8368

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.12.2011 11:59:23
mbam-log-2011-12-14 (11-59-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|)
Durchsuchte Objekte: 206162
Laufzeit: 1 Stunde(n), 32 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
d:\programme\cryptload\cryptload 1.1.8\cryptload1.1.8\router\fritz!box\nc.exe (PUP.Netcat) -> No action taken.

Da ich aber Gestern aber schon mal selbstständig mit Malwarebytes ohne der Speicherkarte gescannt hatte, blieb heute nur noch ein Fehler bei Crypload über. Gestern gabs noch mehr, die ich mit malwarebytes gelöscht habe. Gestern hatte ich den Cryptload-Fehler nicht behoben. Von daher hier nochmal das logfile von gestern, falls es weiterhilft.

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8357

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.12.2011 12:24:22
mbam-log-2011-12-13 (12-24-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 197704
Laufzeit: 1 Stunde(n), 4 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP53\A0011050.exe (Trojan.Dropper.BCM) -> No action taken.
c:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP54\A0012040.exe (Trojan.Agent.CK) -> No action taken.
c:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP54\A0012045.exe (Trojan.Agent.CK) -> No action taken.
c:\WINDOWS\servicepackfiles\i386\fsquirt.exe (Trojan.Dropper.BCM) -> No action taken.
c:\WINDOWS\$ntservicepackuninstall$\fsquirt.exe (Trojan.Dropper.BCM) -> No action taken.
d:\programme\cryptload\cryptload 1.1.8\cryptload1.1.8\router\fritz!box\nc.exe (PUP.Netcat) -> No action taken.
d:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP43\A0009750.EXE (Dont.Steal.Our.Software) -> No action taken.
d:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP43\A0009751.exe (Trojan.Agent.CK) -> No action taken.
d:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP54\A0012043.exe (Trojan.Agent.CK) -> No action taken.

und otl hat diese logfiles erstellt.
erste:

OTL Logfile:

Code:

OTL logfile created on: 14.12.2011 14:30:53 - Run 1

OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\Sven\Desktop

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

510,98 Mb Total Physical Memory | 104,02 Mb Available Physical Memory | 20,36% Memory free

1,75 Gb Paging File | 0,81 Gb Available in Paging File | 46,16% Paging File free

Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 15,63 Gb Total Space | 6,95 Gb Free Space | 44,46% Space Free | Partition Type: NTFS

Drive D: | 77,52 Gb Total Space | 54,95 Gb Free Space | 70,88% Space Free | Partition Type: NTFS

Drive F: | 7,47 Gb Total Space | 7,40 Gb Free Space | 99,09% Space Free | Partition Type: FAT32

 

Computer Name: GRADESBRETT | User Name: Sven | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\Sven\Desktop\OTL.exe (OldTimer Tools)

PRC - D:\Programme\Java\bin\jqs.exe (Sun Microsystems, Inc.)

PRC - D:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)

PRC - D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)

PRC - D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

PRC - D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

PRC - C:\Programme\Outlook Express\msimn.exe (Microsoft Corporation)

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

PRC - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe (Cyberlink)

PRC - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe (Cyberlink)

PRC - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe ()

PRC - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe ()

PRC - C:\Programme\Home Cinema\PowerCinema\PCMService.exe (CyberLink Corp.)

PRC - C:\Programme\Launch Manager\WButton.exe ()

PRC - C:\Programme\Launch Manager\HotkeyApp.exe (Wistron)

PRC - C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe (Cyberlink Corp.)

PRC - C:\Programme\Intel\Wireless\Bin\EOUWiz.exe (Intel Corporation)

PRC - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe (Intel Corporation)

PRC - C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe (Intel Corporation)

PRC - C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe (Intel Corporation)

PRC - C:\Programme\Intel\Wireless\Bin\1XConfig.exe (Intel)

PRC - C:\Programme\Launch Manager\LaunchAp.exe ()

PRC - C:\Programme\Launch Manager\OSD.exe (Wistron)

PRC - C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)

PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)

PRC - C:\Programme\Common Files\X10\Common\X10nets.exe (X10)

 

 
 ========== Modules (No Company Name) ==========

 

MOD - D:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()

MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ()

MOD - D:\Programme\Winrar\RarExt.dll ()

MOD - C:\WINDOWS\system32\msdmo.dll ()

MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe ()

MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe ()

MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapEngine.dll ()

MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSchMgr.dll ()

MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvcps.dll ()

MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\HomeNetWorking\CLNetMedia.dll ()

MOD - C:\Programme\Launch Manager\WButton.exe ()

MOD - C:\Programme\Intel\Wireless\Bin\D8021Xps.DLL ()

MOD - C:\Programme\Launch Manager\LaunchAp.exe ()

MOD - C:\Programme\Intel\Wireless\Bin\libeay32.dll ()

 

 
 ========== Win32 Services (SafeList) ==========

 

SRV - (HidServ) --  File not found

SRV - (AppMgmt) --  File not found

SRV - (JavaQuickStarterService) -- D:\Programme\Java\bin\jqs.exe (Sun Microsystems, Inc.)

SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)

SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)

SRV - (CyberLink Media Library Service) -- C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe (Cyberlink)

SRV - (CLSched) CyberLink Task Scheduler (CTS) -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe ()

SRV - (CLCapSvc) CyberLink Background Capture Service (CBCS) -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe ()

SRV - (OwnershipProtocol) -- C:\Programme\Intel\Wireless\Bin\OProtSvc.exe (Intel Corporation)

SRV - (x10nets) -- C:\Programme\Common Files\X10\Common\X10nets.exe (X10)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira GmbH)

DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (DCamUSBSTK02N) -- C:\WINDOWS\system32\drivers\STK02NW2.sys (Syntek Ltd.)

DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation)

DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation)

DRV - (IWCA) -- C:\WINDOWS\system32\drivers\iwca.sys (Intel Corporation)

DRV - (bcm4sbxp) -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys (Broadcom Corporation)

DRV - (XUIF) -- C:\WINDOWS\system32\drivers\x10ufx2.sys (X10 Wireless Technology, Inc.)

DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)

DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)

DRV - (tifm21) -- C:\WINDOWS\system32\drivers\tifm21.sys (Texas Instruments)

DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)

DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)

DRV - (Hotkey) -- C:\WINDOWS\System32\drivers\HOTKEY.sys ()

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = 

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

 

FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: D:\Programme\Java\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\jqs@sun.com: D:\Programme\Java\lib\deploy\jqs\ff [2011.11.09 09:38:36 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: D:\Programme\Firefox\components [2011.11.08 23:19:54 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: D:\Programme\Firefox\plugins [2011.12.13 11:05:44 | 000,000,000 | ---D | M]

 

[2011.11.09 14:54:36 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Mozilla\Extensions

[2011.11.10 13:36:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Mozilla\Firefox\Profiles\67qcxqkf.default\extensions

 

O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.)

O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\bin\jp2ssv.dll (Sun Microsystems, Inc.)

O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)

O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.)

O3 - HKCU\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.)

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

O4 - HKLM..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe (Wistron)

O4 - HKLM..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe (Intel Corporation)

O4 - HKLM..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe (Wistron)

O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation)

O4 - HKLM..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe ()

O4 - HKLM..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe (Wistron)

O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] D:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)

O4 - HKLM..\Run: [PCMService] C:\Programme\Home Cinema\PowerCinema\PCMService.exe (CyberLink Corp.)

O4 - HKLM..\Run: [RemoteControl] C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe (Cyberlink Corp.)

O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)

O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)

O4 - HKLM..\Run: [Wbutton] C:\Programme\Launch Manager\Wbutton.exe ()

O4 - HKCU..\Run: [Lmdudf] C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Lmdudf.exe File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: &Google Search - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.)

O8 - Extra context menu item: Backward Links - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.)

O8 - Extra context menu item: Cached Snapshot of Page - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.)

O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()

O8 - Extra context menu item: Similar Pages - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.)

O8 - Extra context menu item: Translate into English - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_05)

O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{296DEE5C-0B75-4D62-8DF8-46D37E15B38F}: DhcpNameServer = 192.168.2.1

O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)

O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)

O20 - Winlogon\Notify\IntelWireless: DllName - (C:\Programme\Intel\Wireless\Bin\LgNotify.dll) - C:\Programme\Intel\Wireless\Bin\LgNotify.dll (Intel Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2011.11.08 19:57:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2011.11.07 10:32:58 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ FAT32 ]

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2011.12.14 14:29:50 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sven\Desktop\OTL.exe

[2011.12.14 12:11:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Desktop\bilder2

[2011.12.14 12:10:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Desktop\bilder

[2011.12.12 19:15:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\GHISLER

[2011.12.12 18:27:14 | 000,193,024 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\fsquirt.exe

[2011.12.12 15:28:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss

[2011.12.12 10:00:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\.rbs

[2011.12.10 11:53:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\Ahead

[2011.12.09 15:33:47 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Sven\Recent

[2011.11.20 23:12:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\calibre

[2011.11.20 19:37:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Ahead

[2011.11.19 17:47:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1

[2011.11.17 16:28:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe

[2011.11.17 16:11:41 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR

[2011.11.15 16:01:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Tinypic

[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2011.12.14 14:39:19 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2011.12.14 14:29:54 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sven\Desktop\OTL.exe

[2011.12.14 11:59:42 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\asyck.sys

[2011.12.14 09:05:28 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini

[2011.12.14 09:05:27 | 000,094,720 | ---- | M] () -- C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2011.12.14 00:39:01 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2011.12.13 19:43:28 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl

[2011.12.13 19:37:27 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2011.12.09 10:36:09 | 000,134,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys

[2011.12.05 15:34:20 | 000,000,266 | ---- | M] () -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\wklnhst.dat

[2011.11.29 22:48:05 | 000,000,137 | ---- | M] () -- C:\Dokumente und Einstellungen\Sven\default.pls

[2011.11.28 13:52:26 | 000,000,046 | ---- | M] () -- C:\Dokumente und Einstellungen\Sven\Eigene Dateien\PDVD_MediaDisc.PlayList

[2011.11.17 16:51:43 | 003,540,552 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2011.11.15 13:54:38 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2011.12.14 11:59:42 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\asyck.sys

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\UC.PIF

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\RAR.PIF

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\PKZIP.PIF

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\PKUNZIP.PIF

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\NOCLOSE.PIF

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\LHA.PIF

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\ARJ.PIF

[2011.11.28 13:51:10 | 000,000,046 | ---- | C] () -- C:\Dokumente und Einstellungen\Sven\Eigene Dateien\PDVD_MediaDisc.PlayList

[2011.11.20 19:37:24 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\Sven\default.pls

[2011.11.17 16:11:49 | 000,000,708 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Help.lnk

[2011.11.15 14:25:49 | 000,000,266 | ---- | C] () -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\wklnhst.dat

[2011.11.10 14:54:00 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL

[2011.11.09 00:32:17 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini

[2011.11.09 00:31:17 | 000,094,720 | ---- | C] () -- C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2011.11.08 21:13:00 | 000,009,867 | ---- | C] () -- C:\WINDOWS\System32\drivers\HOTKEY.sys

[2011.11.08 20:52:57 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[2011.11.08 20:24:12 | 000,073,845 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat

[2011.11.08 20:18:04 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll

[2011.11.08 20:18:04 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe

[2011.11.08 20:18:01 | 000,001,160 | ---- | C] () -- C:\WINDOWS\System32\drivers\alcxinit.dat

[2011.11.08 20:07:32 | 000,127,184 | ---- | C] () -- C:\WINDOWS\Unwise.exe

[2011.11.08 20:06:16 | 000,004,184 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys

[2011.11.08 20:05:43 | 000,001,208 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini

[2011.11.08 20:05:43 | 000,000,024 | ---- | C] () -- C:\WINDOWS\magix.ini

[2011.11.08 20:00:15 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat

[2011.11.08 19:54:39 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

[2011.11.08 18:50:12 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2011.11.08 18:48:49 | 003,540,552 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2004.09.28 22:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll

[2004.08.12 08:44:10 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\iwca.dll

[2004.08.04 13:00:00 | 000,755,200 | ---- | C] () -- C:\WINDOWS\System32\ir50_32.dll

[2004.08.04 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat

[2004.08.04 13:00:00 | 000,467,118 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat

[2004.08.04 13:00:00 | 000,447,948 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat

[2004.08.04 13:00:00 | 000,338,432 | ---- | C] () -- C:\WINDOWS\System32\ir41_qcx.dll

[2004.08.04 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat

[2004.08.04 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat

[2004.08.04 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat

[2004.08.04 13:00:00 | 000,200,192 | ---- | C] () -- C:\WINDOWS\System32\ir50_qc.dll

[2004.08.04 13:00:00 | 000,183,808 | ---- | C] () -- C:\WINDOWS\System32\ir50_qcx.dll

[2004.08.04 13:00:00 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\ir41_qc.dll

[2004.08.04 13:00:00 | 000,088,390 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat

[2004.08.04 13:00:00 | 000,073,930 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat

[2004.08.04 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin

[2004.08.04 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat

[2004.08.04 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat

[2004.08.04 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat

[2004.08.04 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin

[2004.08.04 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

[2001.09.04 14:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin

[2001.09.04 14:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
 

< End of report >

--- --- ---

und hier dasa zweite Otl-File:

OTL EXTRAS Logfile:

Code:

OTL Extras logfile created on: 14.12.2011 14:30:53 - Run 1

OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\Sven\Desktop

Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

510,98 Mb Total Physical Memory | 104,02 Mb Available Physical Memory | 20,36% Memory free

1,75 Gb Paging File | 0,81 Gb Available in Paging File | 46,16% Paging File free

Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 15,63 Gb Total Space | 6,95 Gb Free Space | 44,46% Space Free | Partition Type: NTFS

Drive D: | 77,52 Gb Total Space | 54,95 Gb Free Space | 70,88% Space Free | Partition Type: NTFS

Drive F: | 7,47 Gb Total Space | 7,40 Gb Free Space | 99,09% Space Free | Partition Type: FAT32

 

Computer Name: GRADESBRETT | User Name: Sven | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

exefile [open] -- "%1" %*

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe" = C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe:*:Enabled:PowerCinema -- (CyberLink Corp.)

"D:\Programme\Winamp\winamp.exe" = D:\Programme\Winamp\winamp.exe:*:Enabled:Winamp -- (Nullsoft, Inc.)

"C:\Programme\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe" = C:\Programme\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe:*:Enabled:Camfrog Video Chat -- (Camshare Inc.)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}" = Microsoft_VC90_ATL_x86

"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu

"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86

"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel

"{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}" = mLogView

"{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}" = Microsoft_VC80_ATL_x86

"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate

"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer

"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe

"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = PowerCinema 4.0

"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java(TM) 6 Update 29

"{28DA872A-0848-48CF-B749-19A198157A2A}" = mDriver

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{3521BDBD-D453-5D9F-AA55-44B75D214629}" = Adobe Community Help

"{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA

"{3F424493-B0F2-43A4-A892-DFA447B2A59D}" = STK02N 2.4.1

"{425ECED4-23ED-4E05-A88A-B59700DAF2AD}" = TIxx21/x515

"{46C045BF-2B3F-4BC4-8E4C-00E0CF8BD9DB}" = Adobe AIR

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{52504CE6-E909-4113-B232-4AFEC6543A61}" = Broadcom 440x 10/100 Integrated Controller

"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth

"{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}" = Microsoft_VC90_MFC_x86

"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD

"{6B103F43-069C-11D6-9EA2-0050BAE317E1}" = Home Cinema

"{6DE14BE4-6F04-4935-8ABD-A0A19FE2E55A}" = mCore

"{6DED41BC-C9EF-4330-B4E5-46CB2C5C6E2D}" = No23 Recorder

"{6FFFE74E-3FBD-4E2E-97F9-5E9A2A077626}" = mIWCA

"{7148F0A8-6813-11D6-A77B-00B0D0142050}" = Java 2 Runtime Environment, SE v1.4.2_05

"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Pro Trial

"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player

"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr

"{8C6BB412-D3A8-4AAE-A01B-35B681789D68}" = mHelp

"{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz

"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002

"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86

"{94658027-9F16-4509-BBD7-A59FE57C3023}" = mZConfig

"{95140000-00AF-0407-0000-0000000FF1CE}" = Microsoft PowerPoint Viewer

"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Deutsch

"{B26E3B0D-C2FA-4370-B068-7C476766F029}" = Microsoft Works

"{B502B428-3386-40A9-98DB-079AAB72E64F}" = mEoU.msi

"{B6D38690-755E-4F40-A35A-23F8BC2B86AC}" = Microsoft_VC90_MFCLOC_x86

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU

"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU

"{C438DF2B-C5DF-4783-9CA5-9B89E501FA62}" = Works Update

"{C6A12D9B-D86A-4ee6-B980-95E4B26A2E13}" = Microsoft Works Suite-Add-Ins für Microsoft Word

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{D0846526-66DD-4DC9-A02C-98F9A2806812}" = Launch Manager V1.2.9

"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86

"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86

"{E3723A04-A894-4036-A78E-282E18F43C0A}_is1" = Tinypic 3.17a

"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse

"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219

"{F6090A17-0967-4A8A-B3C3-422A1B514D49}" = mDrWiFi

"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio

"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe

"Adobe AIR" = Adobe AIR

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software

"ATI Display Driver" = ATI Display Driver

"Avira AntiVir Desktop" = Avira Free Antivirus

"Camfrog 6.1" = Camfrog Video Chat 6.1

"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help

"ClearProg" = ClearProg 1.6.1 Beta 4

"Combined Community Codec Pack_is1" = Combined Community Codec Pack 2011-07-30

"Creatix 2.0 AC'97 Soft Modem" = Creatix 2.0 AC'97 Modem

"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.11.923

"HyperCam 2" = HyperCam 2

"ie8" = Windows Internet Explorer 8

"InstallShield_{425ECED4-23ED-4E05-A88A-B59700DAF2AD}" = Texas Instruments PCIxx21/x515 drivers.

"InstallShield_{52504CE6-E909-4113-B232-4AFEC6543A61}" = Broadcom 440x 10/100 Integrated Controller

"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300

"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Mozilla Firefox 8.0 (x86 de)" = Mozilla Firefox 8.0 (x86 de)

"NeroMultiInstaller!UninstallKey" = Nero Suite

"No23 Recorder" = No23 Recorder

"ProInst" = Intel(R) PROSet/Wireless Software

"SynTPDeinstKey" = Synaptics Pointing Device Driver

"Winamp" = Winamp

"Windows Media Format Runtime" = Windows Media Format Runtime

"Windows Media Player" = Windows Media Player 10

"Windows XP Service Pack" = Windows XP Service Pack 3

"WinRAR archiver" = WinRAR 4.01 (32-Bit)

"Works2005Setup" = Setup-Start von Microsoft Works 2005

"X10Hardware" = X10 Hardware(TM)

"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

 
 ========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 04.12.2011 17:42:51 | Computer Name = GRADESBRETT | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung mpc-hc.exe, Version 1.5.3.3514, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 07.12.2011 05:35:50 | Computer Name = GRADESBRETT | Source = WmiAdapter | ID = 4099

Description = Dienst konnte nicht geöffnet werden.

 

Error - 09.12.2011 03:42:36 | Computer Name = GRADESBRETT | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes

 Modul mshtml.dll, Version 8.0.6001.19154, Fehleradresse 0x00067a38.

 

Error - 11.12.2011 23:47:08 | Computer Name = GRADESBRETT | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes

 Modul mshtml.dll, Version 8.0.6001.19154, Fehleradresse 0x00067a38.

 

Error - 12.12.2011 04:32:15 | Computer Name = GRADESBRETT | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung mpc-hc.exe, Version 1.5.3.3514, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

[ System Events ]

Error - 12.12.2011 13:31:38 | Computer Name = GRADESBRETT | Source = sr | ID = 1

Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 

Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung

 wurde angehalten.

 

Error - 12.12.2011 13:31:53 | Computer Name = GRADESBRETT | Source = Service Control Manager | ID = 7026

Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:

   IntelIde

 

 

< End of report >

--- --- ---

Auf der Speicherkarte scheint nichts gefunden zu sein. Hier sind aber eindeutig Ordner und Dateien drauf, die dort nicht hingehören. seltsam...

Hi,

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\WINDOWS\System32\drivers\asyck.sys

C:\WINDOWS\UC.PIF

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Wenn die UC.PIF nicht erkannt wird, bite das Feete aus dem Script rausnehmen

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Code:

:OTL

SRV - (HidServ) --  File not found

SRV - (AppMgmt) --  File not found

O4 - HKLM..\Run: []  File not found

O32 - AutoRun File - [2011.11.07 10:32:58 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ FAT32 ]
 

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\UC.PIF

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\RAR.PIF

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\PKZIP.PIF

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\PKUNZIP.PIF

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\NOCLOSE.PIF

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\LHA.PIF

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\ARJ.PIF
 

:Commands

[emptytemp]

[EMPTYFLASH]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Stürzt GMER ab, bitte im abgesicherten Modus (F8 beim Booten) probieren!

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

So und jetzt rücken wir der Speicherkarte zu leibe...
Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sect...isinfector.exe
oder
http://download.bleepingcomputer.com...isinfector.exe

Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden). Die Shift-Taste solange gedrückt halten, bis die Laufwerke erkannt sind!
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.
Es werden u. a. dabei Dateien erstellt, die nicht so einfach überschrieben werden können (von Trojanern/Viren), also nicht wundern wenn was auf der Karte steht...

chris

virsutotal ergebnis:

File name: asyck.sys
Submission date: 2011-12-14 16:20:31 (UTC)
Current status: queued queued analysing finished
Result: 2/ 42 (4.8%)

Antivirus Version Last Update Result
AhnLab-V3 2011.12.13.01 2011.12.14 -
AntiVir 7.11.19.106 2011.12.14 -
Antiy-AVL 2.0.3.7 2011.12.14 -
Avast 6.0.1289.0 2011.12.14 -
AVG 10.0.0.1190 2011.12.14 -
BitDefender 7.2 2011.12.14 -
ByteHero 1.0.0.1 2011.12.07 -
CAT-QuickHeal 12.00 2011.12.14 -
ClamAV 0.97.3.0 2011.12.14 -
Commtouch 5.3.2.6 2011.12.14 -
Comodo 10955 2011.12.14 -
DrWeb 5.0.2.03300 2011.12.14 -
Emsisoft 5.1.0.11 2011.12.14 -
eSafe 7.0.17.0 2011.12.13 Win32.TrojanHorse
eTrust-Vet 37.0.9623 2011.12.14 -
F-Prot 4.6.5.141 2011.12.13 -
F-Secure 9.0.16440.0 2011.12.14 -
Fortinet 4.3.388.0 2011.12.14 -
GData 22.307/22.576 2011.12.14 -
Ikarus T3.1.1.109.0 2011.12.14 -
Jiangmin 13.0.900 2011.12.14 -
K7AntiVirus 9.119.5684 2011.12.14 -
Kaspersky 9.0.0.837 2011.12.14 -
McAfee 5.400.0.1158 2011.12.14 -
McAfee-GW-Edition 2010.1E 2011.12.14 -
Microsoft 1.7903 2011.12.14 -
Norman 6.07.13 2011.12.14 -
nProtect 2011-12-14.01 2011.12.14 -
Panda 10.0.3.5 2011.12.14 Trj/Hupigon.BDH
PCTools 8.0.0.5 2011.12.14 -
Prevx 3.0 2011.12.14 -
Rising 23.88.02.02 2011.12.14 -
Sophos 4.72.0 2011.12.14 -
SUPERAntiSpyware 4.40.0.1006 2011.12.14 -
Symantec 20111.2.0.82 2011.12.14 -
TheHacker 6.7.0.1.356 2011.12.11 -
TrendMicro 9.500.0.1008 2011.12.14 -
TrendMicro-HouseCall 9.500.0.1008 2011.12.14 -
VBA32 3.12.16.4 2011.12.14 -
VIPRE 11249 2011.12.14 -
ViRobot 2011.12.14.4825 2011.12.14 -
VirusBuster 14.1.115.0 2011.12.14 -

Additional informationShow all
MD5 : e6d35f3aa51a65eb35c1f2340154a25e
SHA1 : aabbd57e20d2e7041f9e7abce6cfd8a53c366537
SHA256: 3da4f51682e7d42c5569f1fb1adc6295182962e36f748219e1d0c8f2389ba516
ssdeep: 768:Bosx0q2ph6P2Jpz8ftoSUiJP7hYTCMrhwYKUzY4q:j076P2Jpz8ftBUMPaCMrhwY
File size : 54016 bytes
First seen: 2009-09-18 00:44:25
Last seen : 2011-12-14 16:20:31
TrID:
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0xC505
timedatestamp....: 0x4A9EE5B5 (Wed Sep 02 21:37:57 2009)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x480, 0xBD9F, 0xBE00, 5.83, 9474f39576a0e15bdbaa2ea3355f0a4a
.rdata, 0xC280, 0x126, 0x180, 3.78, 375b710d9f213cfced30e9fdb29567e1
.data, 0xC400, 0xC0, 0x100, 0.33, 786971ca2b109729eda604b44d6c72ad
INIT, 0xC500, 0x3C8, 0x400, 5.20, eea49a93a73afb6afc178455582133c6
.reloc, 0xC900, 0x9EC, 0xA00, 6.62, bddd5a40c508bfc84ec87de5f8e6a5d3

[[ 1 import(s) ]]
ntoskrnl.exe: ZwWriteFile, RtlUpcaseUnicodeChar, ZwClose, ZwCreateFile, RtlInitUnicodeString, _wcsicmp, ZwQueryValueKey, ZwOpenKey, ZwDeleteKey, swprintf, ZwEnumerateKey, ExFreePoolWithTag, DbgPrint, ExAllocatePool, RtlPrefixUnicodeString, memcpy, RtlDeleteRegistryValue, ZwSetValueKey, RtlWriteRegistryValue, ZwEnumerateValueKey, ZwSetInformationFile, ZwQueryInformationFile, ZwQueryDirectoryFile, ZwOpenFile, KeTickCount, KeBugCheck, MmGetSystemRoutineAddress, ZwFlushKey, PsTerminateSystemThread, KeSetPriorityThread, KeGetCurrentThread, RtlCheckRegistryKey, KeDelayExecutionThread, ZwReadFile, PsCreateSystemThread, PsGetVersion, KeBugCheckEx

ExifTool:
file metadata
CodeSize: 49664
EntryPoint: 0xc505
FileSize: 53 kB
FileType: Win32 EXE
ImageVersion: 6.0
InitializedDataSize: 3200
LinkerVersion: 8.0
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 6.0
PEType: PE32
Subsystem: Native
SubsystemVersion: 5.1
TimeStamp: 2009:09:02 23:37:57+02:00
UninitializedDataSize: 0

und noch die andere uc.pif datei:

File name: UC.PIF
Submission date: 2011-12-14 16:38:12 (UTC)
Current status: queued (#1) queued (#1) analysing finished
Result: 0/ 43 (0.0%)

Antivirus Version Last Update Result
AhnLab-V3 2011.12.13.01 2011.12.14 -
AntiVir 7.11.19.106 2011.12.14 -
Antiy-AVL 2.0.3.7 2011.12.14 -
Avast 6.0.1289.0 2011.12.14 -
AVG 10.0.0.1190 2011.12.14 -
BitDefender 7.2 2011.12.14 -
ByteHero 1.0.0.1 2011.12.07 -
CAT-QuickHeal 12.00 2011.12.14 -
ClamAV 0.97.3.0 2011.12.14 -
Commtouch 5.3.2.6 2011.12.14 -
Comodo 10955 2011.12.14 -
DrWeb 5.0.2.03300 2011.12.14 -
Emsisoft 5.1.0.11 2011.12.14 -
eSafe 7.0.17.0 2011.12.13 -
eTrust-Vet 37.0.9623 2011.12.14 -
F-Prot 4.6.5.141 2011.12.13 -
F-Secure 9.0.16440.0 2011.12.14 -
Fortinet 4.3.388.0 2011.12.14 -
GData 22.307/22.576 2011.12.14 -
Ikarus T3.1.1.109.0 2011.12.14 -
Jiangmin 13.0.900 2011.12.14 -
K7AntiVirus 9.119.5684 2011.12.14 -
Kaspersky 9.0.0.837 2011.12.14 -
McAfee 5.400.0.1158 2011.12.14 -
McAfee-GW-Edition 2010.1E 2011.12.14 -
Microsoft 1.7903 2011.12.14 -
NOD32 6711 2011.12.14 -
Norman 6.07.13 2011.12.14 -
nProtect 2011-12-14.01 2011.12.14 -
Panda 10.0.3.5 2011.12.14 -
PCTools 8.0.0.5 2011.12.14 -
Prevx 3.0 2011.12.14 -
Rising 23.88.02.02 2011.12.14 -
Sophos 4.72.0 2011.12.14 -
SUPERAntiSpyware 4.40.0.1006 2011.12.14 -
Symantec 20111.2.0.82 2011.12.14 -
TheHacker 6.7.0.1.356 2011.12.11 -
TrendMicro 9.500.0.1008 2011.12.14 -
TrendMicro-HouseCall 9.500.0.1008 2011.12.14 -
VBA32 3.12.16.4 2011.12.14 -
VIPRE 11249 2011.12.14 -
ViRobot 2011.12.14.4825 2011.12.14 -
VirusBuster 14.1.115.0 2011.12.14 -

Additional informationShow all
MD5 : cd372c250481170d0f873f42f73a0518
SHA1 : 74d16ce1900815a60c381aff2d1d43f0f5c3af87
SHA256: 086ac279465159a880a51e51aca53bda6d9adc20fded83e0e4d4e343dea03ddd
ssdeep: 3:d/nlHvF9/V/3/UwllllX2qjDUgCsGBqGk3t/t8famVlaXkdl3Sf/l:d/JiQ/PjggCxqGkdlTG
a0m
File size : 545 bytes
First seen: 2009-03-26 02:59:26
Last seen : 2011-12-14 16:38:12
TrID:
Windows Program Information (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

ExifTool:
file metadata
Error: Unknown file type
FileSize: 545 bytes

Hi,

Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort und lade die Datei:

Code:

C:\WINDOWS\System32\drivers\asyck.sys

C:\WINDOWS\UC.PIF

hoch.

Bitte den Rest ebenfalls noch ausführen...
Die PIF-Dateien aus dem Script rausnehmen...(Obwohl die mir nicht sauber erscheinen)...

chris

log file von gmer:

GMER Logfile:

Code:

GMER 1.0.15.15641 - hxxp://www.gmer.net

Rootkit scan 2011-12-14 18:09:05

Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 HTS541010G9AT00 rev.MBZOA60A

Running: zhl6thsv.exe; Driver: C:\DOKUME~1\Sven\LOKALE~1\Temp\uwliqpog.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F8C5D1B4                                                                                                         ZwClose

SSDT            F8C5D16E                                                                                                         ZwCreateKey

SSDT            F8C5D1BE                                                                                                         ZwCreateSection

SSDT            F8C5D164                                                                                                         ZwCreateThread

SSDT            F8C5D173                                                                                                         ZwDeleteKey

SSDT            F8C5D17D                                                                                                         ZwDeleteValueKey

SSDT            F8C5D1AF                                                                                                         ZwDuplicateObject

SSDT            F8C5D182                                                                                                         ZwLoadKey

SSDT            F8C5D150                                                                                                         ZwOpenProcess

SSDT            F8C5D155                                                                                                         ZwOpenThread

SSDT            F8C5D1D7                                                                                                         ZwQueryValueKey

SSDT            F8C5D18C                                                                                                         ZwReplaceKey

SSDT            F8C5D1C8                                                                                                         ZwRequestWaitReplyPort

SSDT            F8C5D187                                                                                                         ZwRestoreKey

SSDT            F8C5D1C3                                                                                                         ZwSetContextThread

SSDT            F8C5D1CD                                                                                                         ZwSetSecurityObject

SSDT            F8C5D178                                                                                                         ZwSetValueKey

SSDT            F8C5D1D2                                                                                                         ZwSystemDebugControl

SSDT            F8C5D15F                                                                                                         ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

init            C:\WINDOWS\system32\drivers\tifm21.sys                                                                           entry point in "init" section [0xF81E4F80]
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!DialogBoxParamW                                     7E3747AB 5 Bytes  JMP 411954D5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!CreateWindowExW                                     7E37D0A3 5 Bytes  JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!DialogBoxIndirectParamW                             7E382072 5 Bytes  JMP 41365397 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!MessageBoxIndirectA                                 7E38A082 5 Bytes  JMP 413652C9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!DialogBoxParamA                                     7E38B144 5 Bytes  JMP 41365334 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!MessageBoxExW                                       7E3A0838 5 Bytes  JMP 4136519A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!MessageBoxExA                                       7E3A085C 5 Bytes  JMP 413651FC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!DialogBoxIndirectParamA                             7E3A6D7D 5 Bytes  JMP 413653FA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!MessageBoxIndirectW                                 7E3B64D5 5 Bytes  JMP 4136525E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!DialogBoxParamW                                     7E3747AB 5 Bytes  JMP 411954D5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!SetWindowsHookExW                                   7E37820F 5 Bytes  JMP 41269AD1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!CallNextHookEx                                      7E37B3C6 5 Bytes  JMP 4125D10D C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!CreateWindowExW                                     7E37D0A3 5 Bytes  JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!UnhookWindowsHookEx                                 7E37D5F3 5 Bytes  JMP 411D464E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!DialogBoxIndirectParamW                             7E382072 5 Bytes  JMP 41365397 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!MessageBoxIndirectA                                 7E38A082 5 Bytes  JMP 413652C9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!DialogBoxParamA                                     7E38B144 5 Bytes  JMP 41365334 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!MessageBoxExW                                       7E3A0838 5 Bytes  JMP 4136519A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!MessageBoxExA                                       7E3A085C 5 Bytes  JMP 413651FC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!DialogBoxIndirectParamA                             7E3A6D7D 5 Bytes  JMP 413653FA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!MessageBoxIndirectW                                 7E3B64D5 5 Bytes  JMP 4136525E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] ole32.dll!CoCreateInstance                                     774CF1AC 5 Bytes  JMP 4126DBA0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[3300] ole32.dll!OleLoadFromStream                                    774F981B 5 Bytes  JMP 413656FF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
 

---- User IAT/EAT - GMER 1.0.15 ----
 

IAT             C:\Programme\Internet Explorer\iexplore.exe[3300] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]  [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                         fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

Device          \FileSystem\Cdfs \Cdfs                                                                                           B7034400
 

---- EOF - GMER 1.0.15 ----

--- --- ---

Hallo ich kann die den Report vom TDSS nicht kopieren. Ich habs mit makieren und Rechtsklick versucht. Da passiert nichts. Eine andere Möglichkeit sehe ich da nicht, oder schnalle ich da was nicht?
Gefunden hat TDSS jedenfalls nichts.

Die Ergebnisse von Virustotal habe ich doch Hochgeladen. Habe ich das was nicht Verstanden?

Habs nun mit dem hochladen gecheckt. hab asyck.sys
und UC.PIF
hochgeladen. aber was meinst du mit aus dem script rausnehmen?

Hi,

nur ad hier von OTL durchfürehn lassen...

Code:



:OTL

SRV - (HidServ) --  File not found

SRV - (AppMgmt) --  File not found

O4 - HKLM..\Run: []  File not found

O32 - AutoRun File - [2011.11.07 10:32:58 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ FAT32 ]

Danach noch den Flashdesinfector... (sieh postings)...

chris

chris