Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ordner auf Speicherkarte nur noch Verknüpfung (https://www.trojaner-board.de/106186-ordner-speicherkarte-nur-noch-verknuepfung.html)

gradesbrett 13.12.2011 17:20
Ordner auf Speicherkarte nur noch Verknüpfung
 
Hallo,
ich kann auf eine meiner Speicherkarten für die Digitalkamera nicht mehr zugreifen.
Der Ursprüngliche Ordner ist durch eine Verknüpfung ersetzt worden, die auf den Pfad %windir%\system32\cmd.exe /c "start %cd%RECYCLER\470a1245.exe verweist.
Zudem befindet sich eine neue Autofun.inf datei auf der Speicherkarte, sowie ein Versteckter Ordner namens Recycler. In diesem Befindet sich wahrscheinlich ein Wurm. :wtf:

Wie kann ich diesen Fehler beheben? Der Fehler besteht schon etwas länger. Ich komme aber erst jetzt dazu Ihn anzugehen. Mein Computer schient recht stabil zu laufen, bin mir nun aber unsicher, woher das kommt.

Wäre schön, wenn mir jemand dabei helfen könnte wieder auf die Bilder der Speicherkarte zugreifen zu können.

Gruß
gradesbrett

Chris4You 13.12.2011 21:37
Hi,

die SHIFT-Taste gedrückt halten, die Speicherkarte/Kamera anschließen und erst wieder loslassen wenn sie vollständig erkannt wurde...

Dann MAM drüberlaufen lassen (alle Laufwerke!) und ein OTL-Scan...

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

* Doppelklick auf die OTL.exe
* Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
* Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
* Unter Extra Registry, wähle bitte Use SafeList
* Klicke nun auf Run Scan links oben
* Wenn der Scan beendet wurde werden 2 Logfiles erstellt
* Poste die Logfiles hier in den Thread.

chris

gradesbrett 14.12.2011 14:39
Hallo ich habe vorhin den Computer inklusive Speicherkarte mit Malwarebytes gescannt. Dabei kam eine Fehlermaeldung, die ich dann bereinigt habe.

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8368

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14.12.2011 11:59:23
mbam-log-2011-12-14 (11-59-08).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|)
Durchsuchte Objekte: 206162
Laufzeit: 1 Stunde(n), 32 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
d:\programme\cryptload\cryptload 1.1.8\cryptload1.1.8\router\fritz!box\nc.exe (PUP.Netcat) -> No action taken.

gradesbrett 14.12.2011 14:42
Da ich aber Gestern aber schon mal selbstständig mit Malwarebytes ohne der Speicherkarte gescannt hatte, blieb heute nur noch ein Fehler bei Crypload über. Gestern gabs noch mehr, die ich mit malwarebytes gelöscht habe. Gestern hatte ich den Cryptload-Fehler nicht behoben. Von daher hier nochmal das logfile von gestern, falls es weiterhilft.


Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8357

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13.12.2011 12:24:22
mbam-log-2011-12-13 (12-24-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 197704
Laufzeit: 1 Stunde(n), 4 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP53\A0011050.exe (Trojan.Dropper.BCM) -> No action taken.
c:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP54\A0012040.exe (Trojan.Agent.CK) -> No action taken.
c:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP54\A0012045.exe (Trojan.Agent.CK) -> No action taken.
c:\WINDOWS\servicepackfiles\i386\fsquirt.exe (Trojan.Dropper.BCM) -> No action taken.
c:\WINDOWS\$ntservicepackuninstall$\fsquirt.exe (Trojan.Dropper.BCM) -> No action taken.
d:\programme\cryptload\cryptload 1.1.8\cryptload1.1.8\router\fritz!box\nc.exe (PUP.Netcat) -> No action taken.
d:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP43\A0009750.EXE (Dont.Steal.Our.Software) -> No action taken.
d:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP43\A0009751.exe (Trojan.Agent.CK) -> No action taken.
d:\system volume information\_restore{e5814648-6952-4c8c-baca-c34166c2fa69}\RP54\A0012043.exe (Trojan.Agent.CK) -> No action taken.

gradesbrett 14.12.2011 15:09
und otl hat diese logfiles erstellt.
erste:


OTL Logfile:
Code:
OTL logfile created on: 14.12.2011 14:30:53 - Run 1
OTL by OldTimer - Version 3.2.31.0    Folder = C:\Dokumente und Einstellungen\Sven\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
510,98 Mb Total Physical Memory | 104,02 Mb Available Physical Memory | 20,36% Memory free
1,75 Gb Paging File | 0,81 Gb Available in Paging File | 46,16% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 15,63 Gb Total Space | 6,95 Gb Free Space | 44,46% Space Free | Partition Type: NTFS
Drive D: | 77,52 Gb Total Space | 54,95 Gb Free Space | 70,88% Space Free | Partition Type: NTFS
Drive F: | 7,47 Gb Total Space | 7,40 Gb Free Space | 99,09% Space Free | Partition Type: FAT32
 
Computer Name: GRADESBRETT | User Name: Sven | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Sven\Desktop\OTL.exe (OldTimer Tools)
PRC - D:\Programme\Java\bin\jqs.exe (Sun Microsystems, Inc.)
PRC - D:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Outlook Express\msimn.exe (Microsoft Corporation)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe (Cyberlink)
PRC - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe (Cyberlink)
PRC - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe ()
PRC - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe ()
PRC - C:\Programme\Home Cinema\PowerCinema\PCMService.exe (CyberLink Corp.)
PRC - C:\Programme\Launch Manager\WButton.exe ()
PRC - C:\Programme\Launch Manager\HotkeyApp.exe (Wistron)
PRC - C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
PRC - C:\Programme\Intel\Wireless\Bin\EOUWiz.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\iFrmewrk.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\ZCfgSvc.exe (Intel Corporation)
PRC - C:\Programme\Intel\Wireless\Bin\1XConfig.exe (Intel)
PRC - C:\Programme\Launch Manager\LaunchAp.exe ()
PRC - C:\Programme\Launch Manager\OSD.exe (Wistron)
PRC - C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
PRC - C:\Programme\Common Files\X10\Common\X10nets.exe (X10)
 
 
========== Modules (No Company Name) ==========
 
MOD - D:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ()
MOD - D:\Programme\Winrar\RarExt.dll ()
MOD - C:\WINDOWS\system32\msdmo.dll ()
MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe ()
MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe ()
MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapEngine.dll ()
MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSchMgr.dll ()
MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvcps.dll ()
MOD - C:\Programme\Home Cinema\PowerCinema\Kernel\HomeNetWorking\CLNetMedia.dll ()
MOD - C:\Programme\Launch Manager\WButton.exe ()
MOD - C:\Programme\Intel\Wireless\Bin\D8021Xps.DLL ()
MOD - C:\Programme\Launch Manager\LaunchAp.exe ()
MOD - C:\Programme\Intel\Wireless\Bin\libeay32.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) --  File not found
SRV - (AppMgmt) --  File not found
SRV - (JavaQuickStarterService) -- D:\Programme\Java\bin\jqs.exe (Sun Microsystems, Inc.)
SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (CyberLink Media Library Service) -- C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe (Cyberlink)
SRV - (CLSched) CyberLink Task Scheduler (CTS) -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe ()
SRV - (CLCapSvc) CyberLink Background Capture Service (CBCS) -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe ()
SRV - (OwnershipProtocol) -- C:\Programme\Intel\Wireless\Bin\OProtSvc.exe (Intel Corporation)
SRV - (x10nets) -- C:\Programme\Common Files\X10\Common\X10nets.exe (X10)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (DCamUSBSTK02N) -- C:\WINDOWS\system32\drivers\STK02NW2.sys (Syntek Ltd.)
DRV - (w29n51) Intel(R) -- C:\WINDOWS\system32\drivers\w29n51.sys (Intel® Corporation)
DRV - (s24trans) -- C:\WINDOWS\system32\drivers\s24trans.sys (Intel Corporation)
DRV - (IWCA) -- C:\WINDOWS\system32\drivers\iwca.sys (Intel Corporation)
DRV - (bcm4sbxp) -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys (Broadcom Corporation)
DRV - (XUIF) -- C:\WINDOWS\system32\drivers\x10ufx2.sys (X10 Wireless Technology, Inc.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (tifm21) -- C:\WINDOWS\system32\drivers\tifm21.sys (Texas Instruments)
DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (Hotkey) -- C:\WINDOWS\System32\drivers\HOTKEY.sys ()
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant =
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
 
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: D:\Programme\Java\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\jqs@sun.com: D:\Programme\Java\lib\deploy\jqs\ff [2011.11.09 09:38:36 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: D:\Programme\Firefox\components [2011.11.08 23:19:54 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: D:\Programme\Firefox\plugins [2011.12.13 11:05:44 | 000,000,000 | ---D | M]
 
[2011.11.09 14:54:36 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Mozilla\Extensions
[2011.11.10 13:36:04 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Mozilla\Firefox\Profiles\67qcxqkf.default\extensions
 
O1 HOSTS File: ([2004.08.04 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar1.dll (Google Inc.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe (Wistron)
O4 - HKLM..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe (Intel Corporation)
O4 - HKLM..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe (Wistron)
O4 - HKLM..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe (Intel Corporation)
O4 - HKLM..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe ()
O4 - HKLM..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe (Wistron)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] D:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [PCMService] C:\Programme\Home Cinema\PowerCinema\PCMService.exe (CyberLink Corp.)
O4 - HKLM..\Run: [RemoteControl] C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [Wbutton] C:\Programme\Launch Manager\Wbutton.exe ()
O4 - HKCU..\Run: [Lmdudf] C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Lmdudf.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: &Google Search - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.)
O8 - Extra context menu item: Backward Links - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.)
O8 - Extra context menu item: Cached Snapshot of Page - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.)
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O8 - Extra context menu item: Similar Pages - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.)
O8 - Extra context menu item: Translate into English - C:\Programme\Google\GoogleToolbar1.dll (Google Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_05)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{296DEE5C-0B75-4D62-8DF8-46D37E15B38F}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\IntelWireless: DllName - (C:\Programme\Intel\Wireless\Bin\LgNotify.dll) - C:\Programme\Intel\Wireless\Bin\LgNotify.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.11.08 19:57:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2011.11.07 10:32:58 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.12.14 14:29:50 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sven\Desktop\OTL.exe
[2011.12.14 12:11:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Desktop\bilder2
[2011.12.14 12:10:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Desktop\bilder
[2011.12.12 19:15:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\GHISLER
[2011.12.12 18:27:14 | 000,193,024 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\fsquirt.exe
[2011.12.12 15:28:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2011.12.12 10:00:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\.rbs
[2011.12.10 11:53:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\Ahead
[2011.12.09 15:33:47 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Sven\Recent
[2011.11.20 23:12:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\calibre
[2011.11.20 19:37:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\Ahead
[2011.11.19 17:47:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
[2011.11.17 16:28:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe
[2011.11.17 16:11:41 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe AIR
[2011.11.15 16:01:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Tinypic
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.12.14 14:39:19 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.12.14 14:29:54 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Sven\Desktop\OTL.exe
[2011.12.14 11:59:42 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\asyck.sys
[2011.12.14 09:05:28 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011.12.14 09:05:27 | 000,094,720 | ---- | M] () -- C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.12.14 00:39:01 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.12.13 19:43:28 | 000,414,368 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2011.12.13 19:37:27 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.12.09 10:36:09 | 000,134,856 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011.12.05 15:34:20 | 000,000,266 | ---- | M] () -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\wklnhst.dat
[2011.11.29 22:48:05 | 000,000,137 | ---- | M] () -- C:\Dokumente und Einstellungen\Sven\default.pls
[2011.11.28 13:52:26 | 000,000,046 | ---- | M] () -- C:\Dokumente und Einstellungen\Sven\Eigene Dateien\PDVD_MediaDisc.PlayList
[2011.11.17 16:51:43 | 003,540,552 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.11.15 13:54:38 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.12.14 11:59:42 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\asyck.sys
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\UC.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\RAR.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\PKZIP.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\PKUNZIP.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\NOCLOSE.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\LHA.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\ARJ.PIF
[2011.11.28 13:51:10 | 000,000,046 | ---- | C] () -- C:\Dokumente und Einstellungen\Sven\Eigene Dateien\PDVD_MediaDisc.PlayList
[2011.11.20 19:37:24 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\Sven\default.pls
[2011.11.17 16:11:49 | 000,000,708 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Help.lnk
[2011.11.15 14:25:49 | 000,000,266 | ---- | C] () -- C:\Dokumente und Einstellungen\Sven\Anwendungsdaten\wklnhst.dat
[2011.11.10 14:54:00 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL
[2011.11.09 00:32:17 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2011.11.09 00:31:17 | 000,094,720 | ---- | C] () -- C:\Dokumente und Einstellungen\Sven\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.11.08 21:13:00 | 000,009,867 | ---- | C] () -- C:\WINDOWS\System32\drivers\HOTKEY.sys
[2011.11.08 20:52:57 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2011.11.08 20:24:12 | 000,073,845 | R--- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2011.11.08 20:18:04 | 000,156,672 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2011.11.08 20:18:04 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2011.11.08 20:18:01 | 000,001,160 | ---- | C] () -- C:\WINDOWS\System32\drivers\alcxinit.dat
[2011.11.08 20:07:32 | 000,127,184 | ---- | C] () -- C:\WINDOWS\Unwise.exe
[2011.11.08 20:06:16 | 000,004,184 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2011.11.08 20:05:43 | 000,001,208 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2011.11.08 20:05:43 | 000,000,024 | ---- | C] () -- C:\WINDOWS\magix.ini
[2011.11.08 20:00:15 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011.11.08 19:54:39 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2011.11.08 18:50:12 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011.11.08 18:48:49 | 003,540,552 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2004.09.28 22:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2004.08.12 08:44:10 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\iwca.dll
[2004.08.04 13:00:00 | 000,755,200 | ---- | C] () -- C:\WINDOWS\System32\ir50_32.dll
[2004.08.04 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 13:00:00 | 000,467,118 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 13:00:00 | 000,447,948 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 13:00:00 | 000,338,432 | ---- | C] () -- C:\WINDOWS\System32\ir41_qcx.dll
[2004.08.04 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 13:00:00 | 000,200,192 | ---- | C] () -- C:\WINDOWS\System32\ir50_qc.dll
[2004.08.04 13:00:00 | 000,183,808 | ---- | C] () -- C:\WINDOWS\System32\ir50_qcx.dll
[2004.08.04 13:00:00 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\ir41_qc.dll
[2004.08.04 13:00:00 | 000,088,390 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 13:00:00 | 000,073,930 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.08.04 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2001.09.04 14:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.09.04 14:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

< End of report >
--- --- ---

gradesbrett 14.12.2011 15:13
und hier dasa zweite Otl-File:


OTL EXTRAS Logfile:
Code:
OTL Extras logfile created on: 14.12.2011 14:30:53 - Run 1
OTL by OldTimer - Version 3.2.31.0    Folder = C:\Dokumente und Einstellungen\Sven\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
510,98 Mb Total Physical Memory | 104,02 Mb Available Physical Memory | 20,36% Memory free
1,75 Gb Paging File | 0,81 Gb Available in Paging File | 46,16% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 15,63 Gb Total Space | 6,95 Gb Free Space | 44,46% Space Free | Partition Type: NTFS
Drive D: | 77,52 Gb Total Space | 54,95 Gb Free Space | 70,88% Space Free | Partition Type: NTFS
Drive F: | 7,47 Gb Total Space | 7,40 Gb Free Space | 99,09% Space Free | Partition Type: FAT32
 
Computer Name: GRADESBRETT | User Name: Sven | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe" = C:\Programme\Home Cinema\PowerCinema\PowerCinema.exe:*:Enabled:PowerCinema -- (CyberLink Corp.)
"D:\Programme\Winamp\winamp.exe" = D:\Programme\Winamp\winamp.exe:*:Enabled:Winamp -- (Nullsoft, Inc.)
"C:\Programme\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe" = C:\Programme\Camfrog\Camfrog Video Chat\Camfrog Video Chat.exe:*:Enabled:Camfrog Video Chat -- (Camshare Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{033E378E-6AD3-4AD5-BDEB-CBD69B31046C}" = Microsoft_VC90_ATL_x86
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{0E2B0B41-7E08-4F9F-B21F-41C4133F43B7}" = mLogView
"{0F3647F8-E51D-4FCC-8862-9A8D0C5ACF25}" = Microsoft_VC80_ATL_x86
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{23FB368F-1399-4EAC-817C-4B83ECBE3D83}" = mProSafe
"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = PowerCinema 4.0
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java(TM) 6 Update 29
"{28DA872A-0848-48CF-B749-19A198157A2A}" = mDriver
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3521BDBD-D453-5D9F-AA55-44B75D214629}" = Adobe Community Help
"{3E9D596A-61D4-4239-BD19-2DB984D2A16F}" = mIWA
"{3F424493-B0F2-43A4-A892-DFA447B2A59D}" = STK02N 2.4.1
"{425ECED4-23ED-4E05-A88A-B59700DAF2AD}" = TIxx21/x515
"{46C045BF-2B3F-4BC4-8E4C-00E0CF8BD9DB}" = Adobe AIR
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{52504CE6-E909-4113-B232-4AFEC6543A61}" = Broadcom 440x 10/100 Integrated Controller
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{635FED5B-2C6D-49BE-87E6-7A6FCD22BC5A}" = Microsoft_VC90_MFC_x86
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6B103F43-069C-11D6-9EA2-0050BAE317E1}" = Home Cinema
"{6DE14BE4-6F04-4935-8ABD-A0A19FE2E55A}" = mCore
"{6DED41BC-C9EF-4330-B4E5-46CB2C5C6E2D}" = No23 Recorder
"{6FFFE74E-3FBD-4E2E-97F9-5E9A2A077626}" = mIWCA
"{7148F0A8-6813-11D6-A77B-00B0D0142050}" = Java 2 Runtime Environment, SE v1.4.2_05
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Pro Trial
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8B928BA1-EDEC-4227-A2DA-DD83026C36F5}" = mPfMgr
"{8C6BB412-D3A8-4AAE-A01B-35B681789D68}" = mHelp
"{90B0D222-8C21-4B35-9262-53B042F18AF9}" = mPfWiz
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{94658027-9F16-4509-BBD7-A59FE57C3023}" = mZConfig
"{95140000-00AF-0407-0000-0000000FF1CE}" = Microsoft PowerPoint Viewer
"{9CC89556-3578-48DD-8408-04E66EBEF401}" = mXML
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Deutsch
"{B26E3B0D-C2FA-4370-B068-7C476766F029}" = Microsoft Works
"{B502B428-3386-40A9-98DB-079AAB72E64F}" = mEoU.msi
"{B6D38690-755E-4F40-A35A-23F8BC2B86AC}" = Microsoft_VC90_MFCLOC_x86
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C438DF2B-C5DF-4783-9CA5-9B89E501FA62}" = Works Update
"{C6A12D9B-D86A-4ee6-B980-95E4B26A2E13}" = Microsoft Works Suite-Add-Ins für Microsoft Word
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0846526-66DD-4DC9-A02C-98F9A2806812}" = Launch Manager V1.2.9
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{E3723A04-A894-4036-A78E-282E18F43C0A}_is1" = Tinypic 3.17a
"{F0BFC7EF-9CF8-44EE-91B0-158884CD87C5}" = mMHouse
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F6090A17-0967-4A8A-B3C3-422A1B514D49}" = mDrWiFi
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FCA651F3-5BDA-4DDA-9E4A-5D87D6914CC4}" = mWlsSafe
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira Free Antivirus
"Camfrog 6.1" = Camfrog Video Chat 6.1
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"ClearProg" = ClearProg 1.6.1 Beta 4
"Combined Community Codec Pack_is1" = Combined Community Codec Pack 2011-07-30
"Creatix 2.0 AC'97 Soft Modem" = Creatix 2.0 AC'97 Modem
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.11.923
"HyperCam 2" = HyperCam 2
"ie8" = Windows Internet Explorer 8
"InstallShield_{425ECED4-23ED-4E05-A88A-B59700DAF2AD}" = Texas Instruments PCIxx21/x515 drivers.
"InstallShield_{52504CE6-E909-4113-B232-4AFEC6543A61}" = Broadcom 440x 10/100 Integrated Controller
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 8.0 (x86 de)" = Mozilla Firefox 8.0 (x86 de)
"NeroMultiInstaller!UninstallKey" = Nero Suite
"No23 Recorder" = No23 Recorder
"ProInst" = Intel(R) PROSet/Wireless Software
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Winamp" = Winamp
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR 4.01 (32-Bit)
"Works2005Setup" = Setup-Start von Microsoft Works 2005
"X10Hardware" = X10 Hardware(TM)
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 04.12.2011 17:42:51 | Computer Name = GRADESBRETT | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung mpc-hc.exe, Version 1.5.3.3514, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 07.12.2011 05:35:50 | Computer Name = GRADESBRETT | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 09.12.2011 03:42:36 | Computer Name = GRADESBRETT | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
 Modul mshtml.dll, Version 8.0.6001.19154, Fehleradresse 0x00067a38.
 
Error - 11.12.2011 23:47:08 | Computer Name = GRADESBRETT | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
 Modul mshtml.dll, Version 8.0.6001.19154, Fehleradresse 0x00067a38.
 
Error - 12.12.2011 04:32:15 | Computer Name = GRADESBRETT | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung mpc-hc.exe, Version 1.5.3.3514, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 12.12.2011 13:31:38 | Computer Name = GRADESBRETT | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
Error - 12.12.2011 13:31:53 | Computer Name = GRADESBRETT | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  IntelIde
 
 
< End of report >
--- --- ---

gradesbrett 14.12.2011 15:15
Auf der Speicherkarte scheint nichts gefunden zu sein. Hier sind aber eindeutig Ordner und Dateien drauf, die dort nicht hingehören. seltsam...

Chris4You 14.12.2011 16:52
Hi,


Dateien Online überprüfen lassen:
  • Suche die Seite Virustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\System32\drivers\asyck.sys
C:\WINDOWS\UC.PIF
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Wenn die UC.PIF nicht erkannt wird, bite das Feete aus dem Script rausnehmen
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:
:OTL
SRV - (HidServ) --  File not found
SRV - (AppMgmt) --  File not found
O4 - HKLM..\Run: []  File not found
O32 - AutoRun File - [2011.11.07 10:32:58 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ FAT32 ]

[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\UC.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\RAR.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\PKZIP.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\PKUNZIP.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\NOCLOSE.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\LHA.PIF
[2011.12.12 19:15:01 | 000,000,545 | ---- | C] () -- C:\WINDOWS\ARJ.PIF

:Commands
[emptytemp]
[EMPTYFLASH]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (GMER - Rootkit Detector and Remover), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. Stürzt GMER ab, bitte im abgesicherten Modus (F8 beim Booten) probieren!

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

So und jetzt rücken wir der Speicherkarte zu leibe...
Lade Dir den Flash_disinfector auf den Desktop, starte ihn und folge den Anweisungen...
http://www.techsupportforum.com/sect...isinfector.exe
oder
http://download.bleepingcomputer.com...isinfector.exe

Trenne den Rechner physikalisch vom Netz.
Deaktiviere den Hintergrundwächter deines AVP und (falls vorhanden) den TeaTimer.
Schließe jetzt alle externe Datenträger mit gedrückter Shift-Taste an Deinen Rechner (Autoplay wird unterbunden). Die Shift-Taste solange gedrückt halten, bis die Laufwerke erkannt sind!
Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
Wenn der Scan zuende ist, kannst du das Programm schließen.
Starte Deinen Rechner neu.
Es werden u. a. dabei Dateien erstellt, die nicht so einfach überschrieben werden können (von Trojanern/Viren), also nicht wundern wenn was auf der Karte steht...

chris

gradesbrett 14.12.2011 17:35
virsutotal ergebnis:


File name: asyck.sys
Submission date: 2011-12-14 16:20:31 (UTC)
Current status: queued queued analysing finished
Result: 2/ 42 (4.8%)


Antivirus Version Last Update Result
AhnLab-V3 2011.12.13.01 2011.12.14 -
AntiVir 7.11.19.106 2011.12.14 -
Antiy-AVL 2.0.3.7 2011.12.14 -
Avast 6.0.1289.0 2011.12.14 -
AVG 10.0.0.1190 2011.12.14 -
BitDefender 7.2 2011.12.14 -
ByteHero 1.0.0.1 2011.12.07 -
CAT-QuickHeal 12.00 2011.12.14 -
ClamAV 0.97.3.0 2011.12.14 -
Commtouch 5.3.2.6 2011.12.14 -
Comodo 10955 2011.12.14 -
DrWeb 5.0.2.03300 2011.12.14 -
Emsisoft 5.1.0.11 2011.12.14 -
eSafe 7.0.17.0 2011.12.13 Win32.TrojanHorse
eTrust-Vet 37.0.9623 2011.12.14 -
F-Prot 4.6.5.141 2011.12.13 -
F-Secure 9.0.16440.0 2011.12.14 -
Fortinet 4.3.388.0 2011.12.14 -
GData 22.307/22.576 2011.12.14 -
Ikarus T3.1.1.109.0 2011.12.14 -
Jiangmin 13.0.900 2011.12.14 -
K7AntiVirus 9.119.5684 2011.12.14 -
Kaspersky 9.0.0.837 2011.12.14 -
McAfee 5.400.0.1158 2011.12.14 -
McAfee-GW-Edition 2010.1E 2011.12.14 -
Microsoft 1.7903 2011.12.14 -
Norman 6.07.13 2011.12.14 -
nProtect 2011-12-14.01 2011.12.14 -
Panda 10.0.3.5 2011.12.14 Trj/Hupigon.BDH
PCTools 8.0.0.5 2011.12.14 -
Prevx 3.0 2011.12.14 -
Rising 23.88.02.02 2011.12.14 -
Sophos 4.72.0 2011.12.14 -
SUPERAntiSpyware 4.40.0.1006 2011.12.14 -
Symantec 20111.2.0.82 2011.12.14 -
TheHacker 6.7.0.1.356 2011.12.11 -
TrendMicro 9.500.0.1008 2011.12.14 -
TrendMicro-HouseCall 9.500.0.1008 2011.12.14 -
VBA32 3.12.16.4 2011.12.14 -
VIPRE 11249 2011.12.14 -
ViRobot 2011.12.14.4825 2011.12.14 -
VirusBuster 14.1.115.0 2011.12.14 -




Additional informationShow all
MD5 : e6d35f3aa51a65eb35c1f2340154a25e
SHA1 : aabbd57e20d2e7041f9e7abce6cfd8a53c366537
SHA256: 3da4f51682e7d42c5569f1fb1adc6295182962e36f748219e1d0c8f2389ba516
ssdeep: 768:Bosx0q2ph6P2Jpz8ftoSUiJP7hYTCMrhwYKUzY4q:j076P2Jpz8ftBUMPaCMrhwY
File size : 54016 bytes
First seen: 2009-09-18 00:44:25
Last seen : 2011-12-14 16:20:31
TrID:
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0xC505
timedatestamp....: 0x4A9EE5B5 (Wed Sep 02 21:37:57 2009)
machinetype......: 0x14c (I386)

[[ 5 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x480, 0xBD9F, 0xBE00, 5.83, 9474f39576a0e15bdbaa2ea3355f0a4a
.rdata, 0xC280, 0x126, 0x180, 3.78, 375b710d9f213cfced30e9fdb29567e1
.data, 0xC400, 0xC0, 0x100, 0.33, 786971ca2b109729eda604b44d6c72ad
INIT, 0xC500, 0x3C8, 0x400, 5.20, eea49a93a73afb6afc178455582133c6
.reloc, 0xC900, 0x9EC, 0xA00, 6.62, bddd5a40c508bfc84ec87de5f8e6a5d3

[[ 1 import(s) ]]
ntoskrnl.exe: ZwWriteFile, RtlUpcaseUnicodeChar, ZwClose, ZwCreateFile, RtlInitUnicodeString, _wcsicmp, ZwQueryValueKey, ZwOpenKey, ZwDeleteKey, swprintf, ZwEnumerateKey, ExFreePoolWithTag, DbgPrint, ExAllocatePool, RtlPrefixUnicodeString, memcpy, RtlDeleteRegistryValue, ZwSetValueKey, RtlWriteRegistryValue, ZwEnumerateValueKey, ZwSetInformationFile, ZwQueryInformationFile, ZwQueryDirectoryFile, ZwOpenFile, KeTickCount, KeBugCheck, MmGetSystemRoutineAddress, ZwFlushKey, PsTerminateSystemThread, KeSetPriorityThread, KeGetCurrentThread, RtlCheckRegistryKey, KeDelayExecutionThread, ZwReadFile, PsCreateSystemThread, PsGetVersion, KeBugCheckEx

ExifTool:
file metadata
CodeSize: 49664
EntryPoint: 0xc505
FileSize: 53 kB
FileType: Win32 EXE
ImageVersion: 6.0
InitializedDataSize: 3200
LinkerVersion: 8.0
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 6.0
PEType: PE32
Subsystem: Native
SubsystemVersion: 5.1
TimeStamp: 2009:09:02 23:37:57+02:00
UninitializedDataSize: 0

gradesbrett 14.12.2011 17:46
und noch die andere uc.pif datei:



File name: UC.PIF
Submission date: 2011-12-14 16:38:12 (UTC)
Current status: queued (#1) queued (#1) analysing finished
Result: 0/ 43 (0.0%)



Antivirus Version Last Update Result
AhnLab-V3 2011.12.13.01 2011.12.14 -
AntiVir 7.11.19.106 2011.12.14 -
Antiy-AVL 2.0.3.7 2011.12.14 -
Avast 6.0.1289.0 2011.12.14 -
AVG 10.0.0.1190 2011.12.14 -
BitDefender 7.2 2011.12.14 -
ByteHero 1.0.0.1 2011.12.07 -
CAT-QuickHeal 12.00 2011.12.14 -
ClamAV 0.97.3.0 2011.12.14 -
Commtouch 5.3.2.6 2011.12.14 -
Comodo 10955 2011.12.14 -
DrWeb 5.0.2.03300 2011.12.14 -
Emsisoft 5.1.0.11 2011.12.14 -
eSafe 7.0.17.0 2011.12.13 -
eTrust-Vet 37.0.9623 2011.12.14 -
F-Prot 4.6.5.141 2011.12.13 -
F-Secure 9.0.16440.0 2011.12.14 -
Fortinet 4.3.388.0 2011.12.14 -
GData 22.307/22.576 2011.12.14 -
Ikarus T3.1.1.109.0 2011.12.14 -
Jiangmin 13.0.900 2011.12.14 -
K7AntiVirus 9.119.5684 2011.12.14 -
Kaspersky 9.0.0.837 2011.12.14 -
McAfee 5.400.0.1158 2011.12.14 -
McAfee-GW-Edition 2010.1E 2011.12.14 -
Microsoft 1.7903 2011.12.14 -
NOD32 6711 2011.12.14 -
Norman 6.07.13 2011.12.14 -
nProtect 2011-12-14.01 2011.12.14 -
Panda 10.0.3.5 2011.12.14 -
PCTools 8.0.0.5 2011.12.14 -
Prevx 3.0 2011.12.14 -
Rising 23.88.02.02 2011.12.14 -
Sophos 4.72.0 2011.12.14 -
SUPERAntiSpyware 4.40.0.1006 2011.12.14 -
Symantec 20111.2.0.82 2011.12.14 -
TheHacker 6.7.0.1.356 2011.12.11 -
TrendMicro 9.500.0.1008 2011.12.14 -
TrendMicro-HouseCall 9.500.0.1008 2011.12.14 -
VBA32 3.12.16.4 2011.12.14 -
VIPRE 11249 2011.12.14 -
ViRobot 2011.12.14.4825 2011.12.14 -
VirusBuster 14.1.115.0 2011.12.14 -


Additional informationShow all
MD5 : cd372c250481170d0f873f42f73a0518
SHA1 : 74d16ce1900815a60c381aff2d1d43f0f5c3af87
SHA256: 086ac279465159a880a51e51aca53bda6d9adc20fded83e0e4d4e343dea03ddd
ssdeep: 3:d/nlHvF9/V/3/UwllllX2qjDUgCsGBqGk3t/t8famVlaXkdl3Sf/l:d/JiQ/PjggCxqGkdlTG
a0m
File size : 545 bytes
First seen: 2009-03-26 02:59:26
Last seen : 2011-12-14 16:38:12
TrID:
Windows Program Information (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

ExifTool:
file metadata
Error: Unknown file type
FileSize: 545 bytes

Chris4You 14.12.2011 17:58
Hi,

Datei hochladen:
http://www.trojaner-board.de/54791-a...ner-board.html
Folge den Anweisungen dort und lade die Datei:
Code:
C:\WINDOWS\System32\drivers\asyck.sys
C:\WINDOWS\UC.PIF
hoch.

Bitte den Rest ebenfalls noch ausführen...
Die PIF-Dateien aus dem Script rausnehmen...(Obwohl die mir nicht sauber erscheinen)...

chris

gradesbrett 14.12.2011 18:11
log file von gmer:



GMER Logfile:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-12-14 18:09:05
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 HTS541010G9AT00 rev.MBZOA60A
Running: zhl6thsv.exe; Driver: C:\DOKUME~1\Sven\LOKALE~1\Temp\uwliqpog.sys


---- System - GMER 1.0.15 ----

SSDT            F8C5D1B4                                                                                                        ZwClose
SSDT            F8C5D16E                                                                                                        ZwCreateKey
SSDT            F8C5D1BE                                                                                                        ZwCreateSection
SSDT            F8C5D164                                                                                                        ZwCreateThread
SSDT            F8C5D173                                                                                                        ZwDeleteKey
SSDT            F8C5D17D                                                                                                        ZwDeleteValueKey
SSDT            F8C5D1AF                                                                                                        ZwDuplicateObject
SSDT            F8C5D182                                                                                                        ZwLoadKey
SSDT            F8C5D150                                                                                                        ZwOpenProcess
SSDT            F8C5D155                                                                                                        ZwOpenThread
SSDT            F8C5D1D7                                                                                                        ZwQueryValueKey
SSDT            F8C5D18C                                                                                                        ZwReplaceKey
SSDT            F8C5D1C8                                                                                                        ZwRequestWaitReplyPort
SSDT            F8C5D187                                                                                                        ZwRestoreKey
SSDT            F8C5D1C3                                                                                                        ZwSetContextThread
SSDT            F8C5D1CD                                                                                                        ZwSetSecurityObject
SSDT            F8C5D178                                                                                                        ZwSetValueKey
SSDT            F8C5D1D2                                                                                                        ZwSystemDebugControl
SSDT            F8C5D15F                                                                                                        ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\tifm21.sys                                                                          entry point in "init" section [0xF81E4F80]

---- User code sections - GMER 1.0.15 ----

.text          C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!DialogBoxParamW                                    7E3747AB 5 Bytes  JMP 411954D5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!CreateWindowExW                                    7E37D0A3 5 Bytes  JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!DialogBoxIndirectParamW                            7E382072 5 Bytes  JMP 41365397 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!MessageBoxIndirectA                                7E38A082 5 Bytes  JMP 413652C9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!DialogBoxParamA                                    7E38B144 5 Bytes  JMP 41365334 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!MessageBoxExW                                      7E3A0838 5 Bytes  JMP 4136519A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!MessageBoxExA                                      7E3A085C 5 Bytes  JMP 413651FC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!DialogBoxIndirectParamA                            7E3A6D7D 5 Bytes  JMP 413653FA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[1872] USER32.dll!MessageBoxIndirectW                                7E3B64D5 5 Bytes  JMP 4136525E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!DialogBoxParamW                                    7E3747AB 5 Bytes  JMP 411954D5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!SetWindowsHookExW                                  7E37820F 5 Bytes  JMP 41269AD1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!CallNextHookEx                                      7E37B3C6 5 Bytes  JMP 4125D10D C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!CreateWindowExW                                    7E37D0A3 5 Bytes  JMP 4126DB44 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!UnhookWindowsHookEx                                7E37D5F3 5 Bytes  JMP 411D464E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!DialogBoxIndirectParamW                            7E382072 5 Bytes  JMP 41365397 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!MessageBoxIndirectA                                7E38A082 5 Bytes  JMP 413652C9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!DialogBoxParamA                                    7E38B144 5 Bytes  JMP 41365334 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!MessageBoxExW                                      7E3A0838 5 Bytes  JMP 4136519A C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!MessageBoxExA                                      7E3A085C 5 Bytes  JMP 413651FC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!DialogBoxIndirectParamA                            7E3A6D7D 5 Bytes  JMP 413653FA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] USER32.dll!MessageBoxIndirectW                                7E3B64D5 5 Bytes  JMP 4136525E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] ole32.dll!CoCreateInstance                                    774CF1AC 5 Bytes  JMP 4126DBA0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text          C:\Programme\Internet Explorer\iexplore.exe[3300] ole32.dll!OleLoadFromStream                                    774F981B 5 Bytes  JMP 413656FF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\Programme\Internet Explorer\iexplore.exe[3300] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW]  [451F1ACB] C:\Programme\Internet Explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                        fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs                                                                                          B7034400

---- EOF - GMER 1.0.15 ----
--- --- ---

gradesbrett 14.12.2011 18:20
Hallo ich kann die den Report vom TDSS nicht kopieren. Ich habs mit makieren und Rechtsklick versucht. Da passiert nichts. Eine andere Möglichkeit sehe ich da nicht, oder schnalle ich da was nicht?
Gefunden hat TDSS jedenfalls nichts.


Die Ergebnisse von Virustotal habe ich doch Hochgeladen. Habe ich das was nicht Verstanden?

gradesbrett 14.12.2011 18:29
Habs nun mit dem hochladen gecheckt. hab asyck.sys
und UC.PIF
hochgeladen. aber was meinst du mit aus dem script rausnehmen?

Chris4You 14.12.2011 19:02
Hi,

nur ad hier von OTL durchfürehn lassen...
Code:

:OTL
SRV - (HidServ) --  File not found
SRV - (AppMgmt) --  File not found
O4 - HKLM..\Run: []  File not found
O32 - AutoRun File - [2011.11.07 10:32:58 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ FAT32 ]

Danach noch den Flashdesinfector... (sieh postings)...

chris

chris

gradesbrett 14.12.2011 19:33
Hab den Flashdesinfector durchlaufen lassen.

Nun verstehe ich nicht, wie ich beim OTL nur ab den geziegten Zeilen durchführen kann. Der scannt doch automatisch den ganzen computer, oder wie geht das?

gradesbrett 14.12.2011 19:36
Oder soll ich diese Zeilen...

SRV - (HidServ) -- File not found
SRV - (AppMgmt) -- File not found
O4 - HKLM..\Run: [] File not found
O32 - AutoRun File - [2011.11.07 10:32:58 | 000,000,000 | ---- | M] () - F:\autorun.inf -- [ FAT32 ]

....unten in das weiße fach des OTL einfügen und dann auf bereinigen drücken?

Chris4You 14.12.2011 20:50
Hi,

in custom/scan fixes kopieren... aber aus der CodeBox
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

chris

gradesbrett 14.12.2011 21:11
Liste der Anhänge anzeigen (Anzahl: 1)
Sieht das so nun richtig aus? und wenn ja dann auf bereinigen?

Chris4You 14.12.2011 21:22
Hi,

ja...

chris

Ps.: Hast Du mit Avenger experimentiert?

gradesbrett 14.12.2011 21:50
So OTL hat nun sich und sonst noch was gelöscht.

Den Flashdesinfector habe ich nun danach nochmal angewendet. Macht es was, wenn meine Flash-Karte über einen USB-Adapter angeschlossen ist?

Was ist Avenger? Habe ich meines wissens nicht mit experimentiert.

Chris4You 14.12.2011 21:59
Hi,

weil der Treiber teile von Avenger zeigt...

Wie verhält sich der Rechner?

chris

gradesbrett 14.12.2011 22:32
Liste der Anhänge anzeigen (Anzahl: 1)
Der Rechner schien eben ein wenig flotter zu sein, beim surfen.
Nun habe ich aber versucht auf meine Bilder zu kommen. Und daist immer noch die Verknüpfung, sowie alle anderen Ordner und Dateien, die da nicht hingehören. Ich habe mal alle Ordner sichbar gemacht. Kaum hatte ich das gemacht, kam eine Viruswarnung von Antivir.

gradesbrett 14.12.2011 22:34
Unter den Versteckten Ordnern ist, wie man sieht auch der Normal DCIM Ordner. Die Bilder konnte ich so jedenfalls schon mal "retten".
Nur scheint das ganze ja noch nicht richtig zu sein.

Chris4You 14.12.2011 22:37
Hi,

die Verknüpfung DCIM löschen. Die Bilder befinden sich im unsichtbaren Ordner DCIM, rechts mit der Maus den Ordner anklicken, dann Eigenschaften, und ev. vorhandene Häkchen beii Schreibgeschützt, SYstem, Versteckt rausnehmen.
Wie lautet die Meldung von AVIRA. Wenn es sowas wie autostart unterdrückt ist, dann ist es normal....

chris

gradesbrett 14.12.2011 23:07
Die Verknüpfung konnte ich löschen. Beimversteckten Ordner konnte man zwar schreibgeschützt wegmachen. Dies war aber obwohl ich auf übernehmen gedrückt habe beim nächsten mal wieder da. Den haken bei "versteckt" aknn man hingegen gar nicht anklicken.

Die Meldund von Antivir ist diese:
In der Datei 'F:\SYSTEM.EXE'
wurde ein Virus oder unerwünschtes Programm 'TR/Injector.253953' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

gradesbrett 14.12.2011 23:09
und was geschieht mit dem recycler ordner, der system und der autorun datei?

Chris4You 14.12.2011 23:17
Hi,
das wollte ich wissen, löschen (system.exe)... autorun.inf sollte vom flashdesinfector angelegt und nicht löschtbar sein...

chris

gradesbrett 14.12.2011 23:26
Die System.exe kann man nicht löschen da kommt.

System kan nicht gelöscht werden: Der Zugriff wurde verweigert.

Stellen SIe sicher, dass der Datenträger weder voll nich schreibgeschützt ist und die Datei gerade nicht verwendet wird.



Wenn ich nun auch bei der System.exe versuche den Schreibschutz aufzuheben, kommt wieder eine Fehlermeldung:

Bei Übernehmen der Attribute ist ein Fehler aufgetreten:
F:\SYSTEM.EXE

Zugriff verweigert.

Chris4You 15.12.2011 07:23
Hi,

das Problem beim Löschen der System.exe wird sein, wann wird der Reader eingebunden...
Wir können es mit OTL und Reboot probieren...
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:
:OTL

:FILES
F:\SYSTEM.EXE
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

chris

gradesbrett 15.12.2011 10:59
Hallo,
scheint wieder nicht geklappt zu haben. das logfile von OTL

========== OTL ==========
========== FILES ==========
File move failed. F:\SYSTEM.EXE scheduled to be moved on reboot.

OTL by OldTimer - Version 3.2.31.0 log created on 12152011_102011

gradesbrett 15.12.2011 11:02
Ich habs eben nochmal versucht und vorher Antivirscanner ausgeschaltet, dann kam dieses logfile. Scheint nun doch weg zu sein.


========== OTL ==========
========== FILES ==========
File\Folder F:\SYSTEM.EXE not found.

OTL by OldTimer - Version 3.2.31.0 log created on 12152011_110046

gradesbrett 15.12.2011 11:03
Darf der Rycycler Ordner bleiben? Ich habe da vor ein paar Tagen mal reingeschaut. Da schien auch eine exe-Datei drin zu sein.

gradesbrett 15.12.2011 11:11
Der normale DCIM Ordner auf der FLashkarte ist aber immer noch unsichtbar. Er wird erst angezeigt, wenn man den Haken bei "geschützte Systemdatei ausblenden (empfohlen)" wegmacht. Darauf zugreifen kann ich dann aber.
Den Schreibschutz kann ich beim DCIM Ordner auch noch nicht wegmachen.

Wenigstens kommt keine Meldung mehr von Antivir, wenn ich auf die Flashkarte zugreife.

Chris4You 15.12.2011 11:15
Hi,

dann würde ich jetzt die Fotos auf die Festplatte kopieren und anschließend die Flashkarte formatieren...

chris

gradesbrett 15.12.2011 12:18
Hab eben nochmal einen Vollscan mit Malwarebytes gemacht. Malewarebytes hat nichts gefunden, jedoch hat Antivir während Malewarebytes den Scan gemacht hat 3 Meldungen gegeben:

In der Datei 'C:\System Volume Information\_restore{E5814648-6952-4C8C-BACA-C34166C2FA69}\RP53\A0011049.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern




In der Datei 'C:\System Volume Information\_restore{E5814648-6952-4C8C-BACA-C34166C2FA69}\RP55\A0012068.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern




In der Datei 'C:\_OTL\MovedFiles\12152011_102011\F_\SYSTEM.EXE'
wurde ein Virus oder unerwünschtes Programm 'TR/Injector.253953' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Chris4You 15.12.2011 19:12
Hi,

OTL hat die Datei tatsächlich erwischt, das andere sind Sicherungen von Windows (SystemRestore), d.h. er wurde mit gesichert... Gehst Du auf einen Wiederherstellungspunkt zurück, dann hast Du Ihn wieder ;o)...

Daher:
ystemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Vista etc.:
Computer->rechts anklicken->Eingenschaften->Computerschutz->Alle Häkchen an den Fesplatten entfernen->Übernehmen->Ok & neue Booten;
Dann das gleiche nur diesmal für das Laufwerk auf dem Windows liegt anhaken->Übernehmen->Erstellen und den Anweisungen folgen

chris

gradesbrett 15.12.2011 19:40
Hallo,
ich habe nun die Widerherstellung wie beschrieben deaktiviert und wieder neu aktiviert. scheint alles funktioniert zu haben.

Aber was mache ich nun mit dem OTL Ordner in dem die System.exe ist.
Einfach löschen kann ich den Ordner nicht.

Chris4You 15.12.2011 20:02
Hi,

Killbox, macht das was der Name sagt... ;o)..
http://www.chip.de/downloads/Pocket-..._20730776.html

chris

gradesbrett 15.12.2011 21:03
Hallo,
vielen herzlichen Dank für Deine Tolle Arbeit. Bis hier hin schien alles gut zu laufen.

Nun lasse ich gerade nochmal Malwarebytes das System prüfen. Dabei kamen schon wieder MEldungen von Antivir, die Die Systemwiderherstellung betreffen. Alles Meldungen in diesem Verzeichnis:

'C:\System Volume Information\_restore{E5814648-6952-4C8C-BACA-C34166C2FA69}.....

Dabei habe ich das mit der Systemwiderherstellungs-Deaktivierung eigentlich gemacht. Habe ich was falsch gemacht? Oder ist es eh nicht sooo wichtig, diese Sachen zu löschen?

Chris4You 15.12.2011 21:17
Hi,

nochmal bitte löschen lassen bzw. Systemwiederherstellung ausschalten neu Booten und wieder einrichten. Kann sein, dass es sich mit der Killbox überschnitten hat...

chris

gradesbrett 15.12.2011 22:20
Hallo,
nun kam keine Meldung mehr von Antivir. Mein System scheint bereinigt zu sein.

Herzlichen Dank für Deine Hilfe. Ich wurde echt großartig durch die Prozeduren geführt.
Ich wünsche Dir und Deinen Lieben ein frohes Fest und einen guten Rutsch.

Gruß
Gradesbrett


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19