Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Medeyes A.1.3 und andere (https://www.trojaner-board.de/112919-tr-medeyes-a-1-3-andere.html)

Lokisbrain 02.04.2012 08:49
TR/Medeyes A.1.3 und andere
 
Hallo Ihr Lieben Computerexperten, (nun wirds peinlich)

nachdem ich nun Eure Forumsregeln gelesen habe, versuche ich alles richtig zu befolgen. Ich bin nun was meinen Computer betrifft ein mega Deletant,.... meine Computerfreunde nennen mich daher gerne die Chaos Queen. :crazy:
Ich habe mir von einem Freund Antivir und einen Hama Wireless Lan Anschluss einrichten lassen.

Nun hatte ich vor einem halben Jahr den Bundeskriminalamts Trojaner .... :pfui:

Nachdem ich mein System neu aufgespielt habe (XP), lief alles gut . Zu Weihnachten rum hab ich dann diese Wireless Lan gecshenkt bekommen. Nun tauchen aber immer wieder Viren Meldungen Trojaner oder was auch immer auf.

So schlau wie ich bin :headbang:, dachte ich mir, das liegt wohl an diesem Router der nun sehr genau alles erkennt.

Die Dinger sind in der Quarantäne, ich weiß nicht wie ich sie lösche, denn wenn ich mit der rechten Maustaste auf löschen gehe, dann sagt er mir so was wie aus der Quarantäne holen ( das will ich ja nun nicht).

Ich würde auch gerne diese Liste hierreinkopieren, aber auch das bekomme ich nicht hin.
Es Handelt sich um TR/Zusy/917570, oder TR Rootkit Gen8, oder TR/Atraps Gen, oder TR/ Crypt Zpack Gen2, oder seit Mitte März ständig TR Medeyes

Seit gestern kommt immer beim Hochfahren die Meldung des TR/Medeyes A.1.3. Dannach wird mein Internetzugung lahmgelegt. Der Mozille Bildschirm erscheint zwar aber ich komme nicht ins Internet. Ob ich nun selbst meinen Wireless Lan Anschluss rausgekickt habe, oder ob es an den Problemem liegt, weiß ich nicht, ich komme jetzte nur noch über das Kabel ins Netz. Des öfteren erscheint jetzt auch seit heute die Meldung von Antivir, dass der Zugriff auf D aus Sicherheitsgründen verweigert wird. Nun habe ich hier schon ohne registriert zu sein nach Tipps gesucht und versucht selbst zu reparieren ( wovon ihr ja abratet, dass habe ich heute aber erst gelesen).
Jedenfalls habe ich mir Anti Malwarebxtes runtergeladen und gestern wurden diese Objekte gefunden : affiliate Download, Pum dissable S..., und 2mal seit gestern Pup Bundle Off.
Was ist das bloß alles ?Ich hatte doch früher keine Probleme. Könnt Ihr mir helfen?? Ich weiß, ich bin sicher ein schwieriger Fall, aber es wäre trotzdem tll, wenn Ihr Nachsicht mit mir hättet. Ach ja ich hatte mir och ein OTL Programm runtergeladen von dem Ihr geschrieben habt... vielleicht hilft Euch das ja etwas:OTL EXTRAS Logfile:
Code:
OTL Extras logfile created on: 02.04.2012 09:06:49 - Run 1
OTL by OldTimer - Version 3.2.39.2    Folder = C:\Dokumente und Einstellungen\danny\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1023,48 Mb Total Physical Memory | 323,41 Mb Available Physical Memory | 31,60% Memory free
2,40 Gb Paging File | 1,62 Gb Available in Paging File | 67,33% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 59,08 Gb Total Space | 39,70 Gb Free Space | 67,19% Space Free | Partition Type: NTFS
Drive D: | 79,84 Gb Total Space | 71,71 Gb Free Space | 89,81% Space Free | Partition Type: NTFS
Drive E: | 10,11 Gb Total Space | 10,11 Gb Free Space | 99,98% Space Free | Partition Type: FAT32
 
Computer Name: HEIMCOMPUTER | User Name: danny | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "C:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft, Inc.)
Directory [Winamp.Enqueue] -- "C:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft, Inc.)
Directory [Winamp.Play] -- "C:\Programme\Winamp\winamp.exe" "%1" (Nullsoft, Inc.)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Winamp\winamp.exe" = C:\Programme\Winamp\winamp.exe:*:Disabled:Winamp -- (Nullsoft, Inc.)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java(TM) 6 Update 29
"{28DA7D8B-F9A4-4F18-8AA0-551B1E084D0D}" = Hama Wireless LAN Adapter
"{2F28B3C9-2C89-4206-8B33-8ADC9577C49B}" = Scan
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{520C1D80-935C-42B9-9340-E883849D804F}_is1" = DriverTuner 3.0.1.0
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{88908767-B7AD-4b0d-ACBC-FBCCF2761D31}" = HP Photosmart All-In-One Software 9.0
"{900C2AB5-3F37-4F84-B58C-893FA5F42D7D}_is1" = WiseFixer 3.5
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AF7FC1CA-79DF-43c3-90A3-33EFEB9294CE}" = AIO_Scan
"{E28750A2-45F2-4b63-99F7-9F81A94B1E2D}" = PS_AIO_Software_min
"{E91E8912-769D-42F0-8408-0E329443BABC}" = Hama Wireless LAN Adapter
"{E9C18EBD-85BE-47D0-AA73-3FEDCC976B04}" = Toolbox
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}" = 32 Bit HP CIO Components Installer
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"5513-1208-7298-9440" = JDownloader 0.9
"888casino" = 888casino
"888poker" = 888poker
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"AIDA64 Extreme Edition_is1" = AIDA64 Extreme Edition v1.80
"Avira AntiVir Desktop" = Avira Free Antivirus
"C-Media Audio" = C-Media 3D Audio
"DivX Setup" = DivX-Setup
"Eusing Free Registry Cleaner" = Eusing Free Registry Cleaner
"Foxit Reader_is1" = Foxit Reader 5.0
"GOM Player" = GOM Player
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.1.1000
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Mozilla Firefox 11.0 (x86 de)" = Mozilla Firefox 11.0 (x86 de)
"PartyCasino" = PartyCasino
"PartyPoker" = PartyPoker
"PhotoCardMaker_is1" = PhotoCardMaker 1.0.4
"softonic" = Softonic toolbar  on IE and Chrome
"Winamp" = Winamp
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Winamp Detect" = Winamp Erkennungs-Plug-in
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 15.06.2006 00:31:21 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 14.06.2006 19:01:28 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 14.06.2006 19:01:28 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 14.06.2006 19:01:28 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 14.06.2006 19:01:28 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 14.06.2006 19:01:29 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 14.06.2006 19:01:29 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 14.06.2006 19:01:29 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 14.06.2006 19:01:29 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 14.06.2006 19:01:30 | Computer Name = HEIMCOMPUTER | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
[ System Events ]
Error - 19.03.2012 10:04:40 | Computer Name = HEIMCOMPUTER | Source = Windows Update Agent | ID = 16
Description = Verbindung nicht möglich: Es konnte keine Verbindung mit dem Dienst
 "Automatische Updates" hergestellt werden, daher können Updates nicht nach dem
angegebenen Zeitplan heruntergeladen und installiert werden. Es wird weiterhin versucht,
 eine Verbindung herzustellen.
 
Error - 26.03.2012 04:27:34 | Computer Name = HEIMCOMPUTER | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst IMAPI-CD-Brenn-COM-Dienste.
 
Error - 26.03.2012 04:27:34 | Computer Name = HEIMCOMPUTER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "IMAPI-CD-Brenn-COM-Dienste" wurde aufgrund folgenden Fehlers
 nicht gestartet:  %%1053
 
Error - 26.03.2012 04:31:19 | Computer Name = HEIMCOMPUTER | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Gatewaydienst
 auf Anwendungsebene.
 
Error - 26.03.2012 04:31:19 | Computer Name = HEIMCOMPUTER | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Gatewaydienst auf Anwendungsebene" wurde aufgrund folgenden
 Fehlers nicht gestartet:  %%1053
 
Error - 26.03.2012 13:42:30 | Computer Name = HEIMCOMPUTER | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
 Peer  "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
 Minuten  wiederholt.  Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
 (0x80072751)
 
Error - 26.03.2012 13:42:31 | Computer Name = HEIMCOMPUTER | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
 Zeitquellen  konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb  der
 nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung  mit der Quelle
 herzustellen.  Der NtpClient verfügt über keine Quelle mit genauer Zeit.
 
Error - 01.04.2012 16:02:32 | Computer Name = HEIMCOMPUTER | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
Error - 02.04.2012 01:52:43 | Computer Name = HEIMCOMPUTER | Source = DCOM | ID = 10010
Description = Der Server "{601AC3DC-786A-4EB0-BF40-EE3521E70BFB}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 02.04.2012 01:53:13 | Computer Name = HEIMCOMPUTER | Source = DCOM | ID = 10010
Description = Der Server "{601AC3DC-786A-4EB0-BF40-EE3521E70BFB}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
 
< End of report >
--- --- ---
Ich lasse jetzt meinen Rechner an, sonst komme ich dann womöglich nicht mehr rein.....Ich hoffe da hat sich nun keine allzugroße Sicherheitslücke breit gemacht. Zum Glück mache ich zur Zeit kein Internetbanking, aber Pay Pal, aber ich denke da kann nichts passieren, aber dennoch wäre ich froh wenn sich die Probleme bald beheben lassen und hoffe sehr auf Eure Mithilfe.

LG

markusg 02.04.2012 11:18
hi
öffne mal avira, berichte, suche die logs mit funden, ein doppelklick müsste die öffnen und dann kannst du die kopieren und einfügen.
auch mal ein paar der funde unter avira, ereignisse posten.
otl.txt fehlt außerdem noch, bitte nach reichen

Lokisbrain 02.04.2012 11:55
HuHu Danke dür die Antwort, weiß nicht genau was Du meinst .....meinst Du8 das ?? Das wäre nun einer der Berichte.
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 2. April 2012 08:42

Es wird nach 3572891 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HEIMCOMPUTER

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 19:36:40
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 19:36:39
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 19:36:41
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 19:36:42
AVREG.DLL : 12.1.0.29 228048 Bytes 15.02.2012 19:36:41
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 19:38:19
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 21:39:36
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 17:47:31
VBASE005.VDF : 7.11.26.45 2048 Bytes 28.03.2012 17:49:08
VBASE006.VDF : 7.11.26.46 2048 Bytes 28.03.2012 17:49:08
VBASE007.VDF : 7.11.26.47 2048 Bytes 28.03.2012 17:49:08
VBASE008.VDF : 7.11.26.48 2048 Bytes 28.03.2012 17:49:08
VBASE009.VDF : 7.11.26.49 2048 Bytes 28.03.2012 17:49:08
VBASE010.VDF : 7.11.26.50 2048 Bytes 28.03.2012 17:49:09
VBASE011.VDF : 7.11.26.51 2048 Bytes 28.03.2012 17:49:09
VBASE012.VDF : 7.11.26.52 2048 Bytes 28.03.2012 17:49:09
VBASE013.VDF : 7.11.26.53 2048 Bytes 28.03.2012 17:49:09
VBASE014.VDF : 7.11.26.107 221696 Bytes 30.03.2012 17:43:48
VBASE015.VDF : 7.11.26.108 2048 Bytes 30.03.2012 17:43:48
VBASE016.VDF : 7.11.26.109 2048 Bytes 30.03.2012 17:43:48
VBASE017.VDF : 7.11.26.110 2048 Bytes 30.03.2012 17:43:48
VBASE018.VDF : 7.11.26.111 2048 Bytes 30.03.2012 17:43:49
VBASE019.VDF : 7.11.26.112 2048 Bytes 30.03.2012 17:43:49
VBASE020.VDF : 7.11.26.113 2048 Bytes 30.03.2012 17:43:49
VBASE021.VDF : 7.11.26.114 2048 Bytes 30.03.2012 17:43:50
VBASE022.VDF : 7.11.26.115 2048 Bytes 30.03.2012 17:43:50
VBASE023.VDF : 7.11.26.116 2048 Bytes 30.03.2012 17:43:50
VBASE024.VDF : 7.11.26.117 2048 Bytes 30.03.2012 17:43:52
VBASE025.VDF : 7.11.26.118 2048 Bytes 30.03.2012 17:43:52
VBASE026.VDF : 7.11.26.119 2048 Bytes 30.03.2012 17:43:52
VBASE027.VDF : 7.11.26.120 2048 Bytes 30.03.2012 17:43:52
VBASE028.VDF : 7.11.26.121 2048 Bytes 30.03.2012 17:43:52
VBASE029.VDF : 7.11.26.122 2048 Bytes 30.03.2012 17:43:52
VBASE030.VDF : 7.11.26.123 2048 Bytes 30.03.2012 17:43:52
VBASE031.VDF : 7.11.26.144 203776 Bytes 01.04.2012 17:47:33
Engineversion : 8.2.10.34
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.06.2006 00:06:40
AESCRIPT.DLL : 8.1.4.15 442747 Bytes 30.03.2012 17:45:45
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 18:40:28
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 13:34:12
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.9 807287 Bytes 30.03.2012 17:45:41
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 08:38:49
AEHEUR.DLL : 8.1.4.10 4551031 Bytes 30.03.2012 17:45:23
AEHELP.DLL : 8.1.19.0 254327 Bytes 19.01.2012 17:50:13
AEGEN.DLL : 8.1.5.23 409973 Bytes 09.03.2012 11:37:55
AEEXP.DLL : 8.1.0.27 82293 Bytes 30.03.2012 17:45:46
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 15:26:27
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 14:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 14:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 14:55:49
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 19:36:39
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 14:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 14:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 14:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 14:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 14:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 14:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4f79462f\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Montag, 2. April 2012 08:42

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cdbxpp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RaUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'raid_tool.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbamservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\WINXP\system32\jpggorro.dll'
C:\WINXP\system32\jpggorro.dll
[FUND] Ist das Trojanische Pferd TR/MediyesH.A.13
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c3fea45.qua' verschoben!


Ende des Suchlaufs: Montag, 2. April 2012 08:42
Benötigte Zeit: 00:05 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
38 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
37 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Welchen OTL Text meinst Du..... ach wenn ich doch nicht so ein Deletant wäre:headbang:

Noch einen anderen Report :

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 17. März 2012 04:59

Es wird nach 3567427 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HEIMCOMPUTER

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 19:36:40
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 19:36:39
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 19:36:41
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 19:36:42
AVREG.DLL : 12.1.0.29 228048 Bytes 15.02.2012 19:36:41
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 19:38:19
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 21:39:36
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 21:39:36
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 21:39:37
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 21:39:37
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 21:39:37
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 21:39:37
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 21:39:38
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 21:39:38
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 21:39:38
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 21:39:39
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 21:41:10
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 21:41:33
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 08:11:14
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 11:17:36
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 13:11:59
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 19:36:37
VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 19:36:35
VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 09:55:50
VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 14:14:19
VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 06:47:55
VBASE023.VDF : 7.11.24.152 165888 Bytes 05.03.2012 11:37:52
VBASE024.VDF : 7.11.24.204 177664 Bytes 07.03.2012 11:37:48
VBASE025.VDF : 7.11.25.30 245248 Bytes 12.03.2012 13:02:42
VBASE026.VDF : 7.11.25.121 252416 Bytes 15.03.2012 16:54:30
VBASE027.VDF : 7.11.25.122 2048 Bytes 15.03.2012 16:54:30
VBASE028.VDF : 7.11.25.123 2048 Bytes 15.03.2012 16:54:30
VBASE029.VDF : 7.11.25.124 2048 Bytes 15.03.2012 16:54:30
VBASE030.VDF : 7.11.25.125 2048 Bytes 15.03.2012 16:54:30
VBASE031.VDF : 7.11.25.136 44032 Bytes 16.03.2012 16:54:30
Engineversion : 8.2.10.22
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.06.2006 00:06:40
AESCRIPT.DLL : 8.1.4.10 455035 Bytes 15.03.2012 15:26:34
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 18:40:28
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 13:34:12
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.5 803190 Bytes 09.03.2012 11:38:26
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 08:38:49
AEHEUR.DLL : 8.1.4.6 4497781 Bytes 15.03.2012 15:26:33
AEHELP.DLL : 8.1.19.0 254327 Bytes 19.01.2012 17:50:13
AEGEN.DLL : 8.1.5.23 409973 Bytes 09.03.2012 11:37:55
AEEXP.DLL : 8.1.0.25 74101 Bytes 15.03.2012 15:26:34
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 15:26:27
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 14:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 14:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 14:55:49
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 19:36:39
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 14:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 14:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 14:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 14:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 14:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 14:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_4f637021\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Samstag, 17. März 2012 04:59

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RaUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'raid_tool.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP113\A0035806.sys'
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP113\A0035806.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen8
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4df1acc5.qua' verschoben!


Ende des Suchlaufs: Samstag, 17. März 2012 04:59
Benötigte Zeit: 00:05 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
36 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
35 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
1 Hinweise

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 23. März 2012 22:57

Es wird nach 3590852 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HEIMCOMPUTER

Versionsinformationen:
BUILD.DAT : 12.0.0.898 41963 Bytes 31.01.2012 13:51:00
AVSCAN.EXE : 12.1.0.20 492496 Bytes 15.02.2012 19:36:40
AVSCAN.DLL : 12.1.0.18 65744 Bytes 15.02.2012 19:36:39
LUKE.DLL : 12.1.0.19 68304 Bytes 15.02.2012 19:36:41
AVSCPLR.DLL : 12.1.0.22 100048 Bytes 15.02.2012 19:36:42
AVREG.DLL : 12.1.0.29 228048 Bytes 15.02.2012 19:36:41
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 09:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 19:38:19
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 21:39:36
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 21:39:36
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 21:39:37
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 21:39:37
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 21:39:37
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 21:39:37
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 21:39:38
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 21:39:38
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 21:39:38
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 21:39:39
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 21:41:10
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 21:41:33
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 08:11:14
VBASE016.VDF : 7.11.22.154 144896 Bytes 08.02.2012 11:17:36
VBASE017.VDF : 7.11.22.220 183296 Bytes 13.02.2012 13:11:59
VBASE018.VDF : 7.11.23.34 202752 Bytes 15.02.2012 19:36:37
VBASE019.VDF : 7.11.23.98 126464 Bytes 17.02.2012 19:36:35
VBASE020.VDF : 7.11.23.150 148480 Bytes 20.02.2012 09:55:50
VBASE021.VDF : 7.11.23.224 172544 Bytes 23.02.2012 14:14:19
VBASE022.VDF : 7.11.24.52 219648 Bytes 28.02.2012 06:47:55
VBASE023.VDF : 7.11.24.152 165888 Bytes 05.03.2012 11:37:52
VBASE024.VDF : 7.11.24.204 177664 Bytes 07.03.2012 11:37:48
VBASE025.VDF : 7.11.25.30 245248 Bytes 12.03.2012 13:02:42
VBASE026.VDF : 7.11.25.121 252416 Bytes 15.03.2012 16:54:30
VBASE027.VDF : 7.11.25.177 202752 Bytes 20.03.2012 17:11:03
VBASE028.VDF : 7.11.25.233 169984 Bytes 23.03.2012 17:18:10
VBASE029.VDF : 7.11.25.234 2048 Bytes 23.03.2012 17:18:10
VBASE030.VDF : 7.11.25.235 2048 Bytes 23.03.2012 17:18:11
VBASE031.VDF : 7.11.25.240 21504 Bytes 23.03.2012 17:18:12
Engineversion : 8.2.10.28
AEVDF.DLL : 8.1.2.2 106868 Bytes 15.06.2006 00:06:40
AESCRIPT.DLL : 8.1.4.13 442746 Bytes 23.03.2012 17:19:00
AESCN.DLL : 8.1.8.2 131444 Bytes 27.01.2012 18:40:28
AESBX.DLL : 8.2.5.5 606579 Bytes 12.03.2012 13:34:12
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 21:16:06
AEPACK.DLL : 8.2.16.7 803190 Bytes 23.03.2012 17:18:55
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 08:38:49
AEHEUR.DLL : 8.1.4.8 4514165 Bytes 23.03.2012 17:18:49
AEHELP.DLL : 8.1.19.0 254327 Bytes 19.01.2012 17:50:13
AEGEN.DLL : 8.1.5.23 409973 Bytes 09.03.2012 11:37:55
AEEXP.DLL : 8.1.0.25 74101 Bytes 15.03.2012 15:26:34
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 21:46:01
AECORE.DLL : 8.1.25.6 201078 Bytes 15.03.2012 15:26:27
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 21:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 14:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 14:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 14:55:49
AVARKT.DLL : 12.1.0.23 209360 Bytes 15.02.2012 19:36:39
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 14:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 14:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 14:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 14:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 14:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 14:56:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 23. März 2012 22:57

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '98' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMSAccessU.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'RaUI.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'raid_tool.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '87' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '56' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '92' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\WINXP\system32\ntqdmvnv.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen

Die Registry wurde durchsucht ( '367' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\358d5076-417c6e2d
[0] Archivtyp: ZIP
--> apps/MyWorker.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Vedenbi.Gen
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP102\A0032324.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP104\A0034469.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP104\A0034471.dll
[FUND] Ist das Trojanische Pferd TR/Mediyes.B.10
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP105\A0034492.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP105\A0034501.dll
[FUND] Ist das Trojanische Pferd TR/Mediyes.B.20
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP108\A0034605.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP108\A0034608.dll
[FUND] Ist das Trojanische Pferd TR/Mediyes.B.20
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP114\A0035861.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP115\A0035864.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP115\snapshot\MFEX-1.DAT
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP118\A0036028.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP28\A0010301.dll
[FUND] Ist das Trojanische Pferd TR/Mediyes.B.36
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP49\A0012769.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP53\A0013018.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP54\A0013085.dll
[FUND] Ist das Trojanische Pferd TR/Mediyes.B.36
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP90\A0024834.sys
[FUND] Ist das Trojanische Pferd TR/Zusy.917570
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP90\A0025822.dll
[FUND] Ist das Trojanische Pferd TR/Mediyes.B.47
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP98\A0032214.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
C:\WINXP\system32\ntqdmvnv.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
Beginne mit der Suche in 'D:\' <Daten>
Beginne mit der Suche in 'E:\' <BACKUP>

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP98\A0032214.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ca98d72.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP90\A0025822.dll
[FUND] Ist das Trojanische Pferd TR/Mediyes.B.47
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '543ea2d7.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP90\A0024834.sys
[FUND] Ist das Trojanische Pferd TR/Zusy.917570
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0661f83f.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP54\A0013085.dll
[FUND] Ist das Trojanische Pferd TR/Mediyes.B.36
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6056b7fa.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP53\A0013018.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '25d29ac4.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP49\A0012769.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ac9a8a4.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP28\A0010301.dll
[FUND] Ist das Trojanische Pferd TR/Mediyes.B.36
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '167184ee.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP118\A0036028.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Eine Exception wurde abgefangen!
[HINWEIS] Die Datei wurde zum Löschen nach einem Neustart markiert.
[HINWEIS] Für die abschliessende Reparatur wird ein Neustart des Computers eingeleitet.
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP115\snapshot\MFEX-1.DAT
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6a46c4d6.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP115\A0035864.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4733ebf1.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP114\A0035861.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e5bd014.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP108\A0034608.dll
[FUND] Ist das Trojanische Pferd TR/Mediyes.B.20
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3207fc24.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP108\A0034605.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43bec5b0.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP105\A0034501.dll
[FUND] Ist das Trojanische Pferd TR/Mediyes.B.20
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4da4f574.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP105\A0034492.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '088d8c36.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP104\A0034471.dll
[FUND] Ist das Trojanische Pferd TR/Mediyes.B.10
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0186889c.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP104\A0034469.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '59c791f2.qua' verschoben!
C:\System Volume Information\_restore{DA4808C3-8582-4231-A8FB-BA1A955A7CC2}\RP102\A0032324.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7533e83e.qua' verschoben!
C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54\358d5076-417c6e2d
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Vedenbi.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bf588ea.qua' verschoben!
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqdmvnv> wurde erfolgreich entfernt.
Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ntqdmvnv> wurde erfolgreich entfernt.
C:\WINXP\system32\ntqdmvnv.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2880a35c.qua' verschoben!
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqdmvnv\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntqdmvnv\ImagePath> wurde erfolgreich repariert.
[HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ntqdmvnv\ImagePath> wurde erfolgreich repariert.


Ende des Suchlaufs: Samstag, 24. März 2012 02:54
Benötigte Zeit: 1:30:46 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7680 Verzeichnisse wurden überprüft
381328 Dateien wurden geprüft
21 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
19 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
381307 Dateien ohne Befall
3164 Archive wurden durchsucht
1 Warnungen
20 Hinweise

Die Reparaturanweisungen wurden in die Datei 'C:\avrescue\rescue.avp' geschrieben.

Ich habe noch mal OTL scan gestartet..... weil ich nicht weiß welchen Text Du meinst? Eben kam von Avira wieder die Meldung Autorun blockiert (aus Sicherheitsgründen).

OTL Logfile:
Code:
OTL logfile created on: 02.04.2012 13:00:37 - Run 1
OTL by OldTimer - Version 3.2.39.2    Folder = C:\Dokumente und Einstellungen\danny\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1023,48 Mb Total Physical Memory | 313,49 Mb Available Physical Memory | 30,63% Memory free
2,40 Gb Paging File | 1,63 Gb Available in Paging File | 67,85% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 59,08 Gb Total Space | 39,69 Gb Free Space | 67,18% Space Free | Partition Type: NTFS
Drive D: | 79,84 Gb Total Space | 71,71 Gb Free Space | 89,81% Space Free | Partition Type: NTFS
Drive E: | 10,11 Gb Total Space | 10,11 Gb Free Space | 99,98% Space Free | Partition Type: FAT32
Drive J: | 557,68 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: HEIMCOMPUTER | User Name: danny | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\danny\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\CDBurnerXP\cdbxpp.exe (Canneverbe Limited)
PRC - C:\WINXP\soundman.exe (Realtek Semiconductor Corp.)
PRC - C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - c:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Hama\Common\RaUI.exe (Hama GmbH & Co KG)
PRC - C:\Programme\VIA\RAID\raid_tool.exe (VIA Technologies)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\WINXP\system32\Macromed\Flash\NPSWF32.dll ()
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\Programme\DivX\DivX Update\DivXUpdateCheck.dll ()
MOD - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
MOD - C:\Programme\CDBurnerXP\NMSAccessU.exe ()
MOD - C:\Programme\Hama\Common\acAuth.dll ()
MOD - C:\Programme\VIA\RAID\drvInterface.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\1031\NSEXTINT.DLL ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found
SRV - (lanmanworkstation) -- C:\WINXP\system32\aptwujpgi.dll (Works Ltd.)
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (Update-Service) -- C:\WINXP\system32\UpdSvc.dll (Joosoft.com GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (MBAMSwissArmy) -- C:\WINXP\system32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (avipbb) -- C:\WINXP\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (MBAMProtector) -- C:\WINXP\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (avgntflt) -- C:\WINXP\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avkmgr) -- C:\WINXP\system32\drivers\avkmgr.sys (Avira GmbH)
DRV - (AIDA64Driver) -- C:\Programme\FinalWire\AIDA64 Extreme Edition\kerneld.x32 ()
DRV - (ssmdrv) -- C:\WINXP\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (StarOpen) -- C:\WINXP\System32\drivers\StarOpen.sys ()
DRV - (ntqdmvnv) -- C:\WINXP\system32\ntqdmvnv.sys (New Technology Quality, Ltd.)
DRV - (gameenum) -- C:\WINXP\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (RT73) -- C:\WINXP\system32\drivers\rt73.sys (Ralink Technology, Corp.)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINXP\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = B6 DC 6E 33 D4 04 CD 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..network.proxy.type: 0
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINXP\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf: C:\Programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll (Foxit Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2012.03.10 20:35:49 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.03.14 14:16:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.12.08 01:15:55 | 000,000,000 | ---D | M]
 
[2006.06.15 01:58:45 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Extensions
[2012.02.09 09:21:23 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\extensions
[2012.02.09 09:21:24 | 000,000,000 | ---D | M] (Softonic Toolbar) -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\extensions\ffxtlbra@softonic.com
[2011.12.19 14:42:11 | 000,000,933 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\searchplugins\11-suche.xml
[2011.12.19 14:42:11 | 000,002,419 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\searchplugins\englische-ergebnisse.xml
[2011.12.19 14:42:11 | 000,010,525 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\searchplugins\gmx-suche.xml
[2011.12.19 14:42:11 | 000,002,457 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\searchplugins\lastminute.xml
[2011.12.19 14:42:11 | 000,005,508 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\searchplugins\webde-suche.xml
[2011.12.27 20:31:25 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\EFGEA3V3.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2006.06.15 09:35:04 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2012.03.14 14:16:46 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.10.26 20:49:56 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll
[2011.12.21 07:08:50 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.12.21 07:02:40 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.12.21 07:08:50 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.12.21 07:08:50 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.12.21 07:08:50 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.12.21 07:08:50 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 11:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC)
O2 - BHO: (Softonic Helper Object) - {E87806B5-E908-45FD-AF5E-957D83E58E68} - C:\Programme\Softonic\softonic\1.5.11.5\bh\softonic.dll (Softonic.com)
O3 - HKLM\..\Toolbar: (Softonic Toolbar) - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - C:\Programme\Softonic\softonic\1.5.11.5\softonicTlbr.dll (Softonic.com)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found
O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe (VIA Technologies)
O4 - HKLM..\Run: [SoundMan] C:\WINXP\soundman.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe (Hama GmbH & Co KG)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Dokumente und Einstellungen\danny\Desktop\PartyCasino.lnk ()
O9 - Extra 'Tools' menuitem : PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Dokumente und Einstellungen\danny\Desktop\PartyCasino.lnk ()
O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\danny\Desktop\PartyPoker.lnk ()
O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\danny\Desktop\PartyPoker.lnk ()
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{136F032D-3D9E-46A5-A4E0-0FED15201654}: NameServer = 62.109.123.6 213.191.92.87
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\userinit.exe) - C:\WINXP\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\danny\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\danny\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.06.15 01:29:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - Unable to obtain root file information for disk D:\
O32 - AutoRun File - [2012.04.02 08:38:16 | 000,000,000 | ---- | M] () - E:\AUTORUN.INF -- [ FAT32 ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.04.02 08:35:53 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2012.04.02 08:34:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Desktop\Neuer Ordner (2)
[2012.04.01 21:48:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Malwarebytes
[2012.04.01 21:48:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.04.01 21:48:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.04.01 21:48:16 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[2012.04.01 21:48:16 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.03.17 11:38:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Startmenü\Programme\888casino
[2012.03.17 11:38:42 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\CasinoOnNet
[2012.03.17 11:38:36 | 000,000,000 | ---D | C] -- C:\Programme\CasinoOnNet
[2012.03.16 21:17:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Desktop\Neuer Ordner
[2012.03.10 20:37:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\DDMSettings
[2012.03.10 20:35:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\DivX
[2012.03.10 20:35:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\DivX Plus
[2012.03.10 20:34:46 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\DivX Shared
[2012.03.10 20:33:07 | 000,000,000 | ---D | C] -- C:\Programme\DivX
[2012.03.10 20:32:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DivX
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.04.02 08:55:12 | 000,000,536 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\12.lnk
[2012.04.02 08:42:11 | 000,000,283 | ---- | M] () -- C:\user.js
[2012.04.02 08:35:53 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2012.04.02 08:25:48 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2012.04.02 08:24:43 | 1073,270,784 | -HS- | M] () -- C:\hiberfil.sys
[2012.04.02 08:24:43 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2012.04.01 21:48:21 | 000,000,762 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.03.29 17:16:29 | 000,020,480 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.03.25 18:07:55 | 000,416,034 | ---- | M] () -- C:\WINXP\System32\perfh007.dat
[2012.03.25 18:07:55 | 000,405,012 | ---- | M] () -- C:\WINXP\System32\perfh009.dat
[2012.03.25 18:07:55 | 000,066,180 | ---- | M] () -- C:\WINXP\System32\perfc007.dat
[2012.03.25 18:07:55 | 000,054,356 | ---- | M] () -- C:\WINXP\System32\perfc009.dat
[2012.03.23 09:55:11 | 000,221,184 | ---- | M] (Works Ltd.) -- C:\WINXP\System32\aptwujpgi.dll
[2012.03.17 11:38:58 | 000,001,697 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Application Data\Microsoft\Internet Explorer\Quick Launch\888casino.lnk
[2012.03.17 11:38:58 | 000,001,679 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Desktop\888casino.lnk
[2012.03.15 04:19:58 | 000,114,968 | ---- | M] () -- C:\WINXP\System32\FNTCACHE.DAT
[2012.03.15 04:01:03 | 000,001,374 | ---- | M] () -- C:\WINXP\imsins.BAK
[2012.03.10 20:35:54 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Converter.lnk
[2012.03.10 20:35:54 | 000,001,490 | ---- | M] () -- C:\Dokumente und Einstellungen\danny\Desktop\DivX Movies.lnk
[2012.03.10 20:35:35 | 000,000,763 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Player.lnk
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.04.02 08:55:11 | 000,000,536 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\12.lnk
[2012.04.01 21:48:21 | 000,000,762 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.03.17 11:38:58 | 000,001,697 | ---- | C] () -- C:\Dokumente und Einstellungen\danny\Application Data\Microsoft\Internet Explorer\Quick Launch\888casino.lnk
[2012.03.17 11:38:58 | 000,001,679 | ---- | C] () -- C:\Dokumente und Einstellungen\danny\Desktop\888casino.lnk
[2012.03.10 20:35:54 | 000,001,490 | ---- | C] () -- C:\Dokumente und Einstellungen\danny\Desktop\DivX Movies.lnk
[2012.03.10 20:35:35 | 000,000,763 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Player.lnk
[2012.03.10 20:35:11 | 000,001,727 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\DivX Plus Converter.lnk
[2012.02.25 14:49:50 | 000,005,504 | ---- | C] () -- C:\WINXP\System32\drivers\StarOpen.sys
[2012.02.16 21:32:18 | 000,003,072 | ---- | C] () -- C:\WINXP\System32\iacenc.dll
[2012.02.07 12:11:12 | 000,130,771 | ---- | C] () -- C:\WINXP\hpoins15.dat
[2012.02.07 12:11:11 | 000,001,037 | ---- | C] () -- C:\WINXP\hpomdl15.dat
[2011.12.30 20:24:18 | 000,020,480 | ---- | C] () -- C:\Dokumente und Einstellungen\danny\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.12.27 20:28:47 | 000,002,048 | ---- | C] () -- C:\WINXP\System32\rt73.bin
[2011.12.27 20:16:18 | 000,311,296 | ---- | C] () -- C:\WINXP\System32\AegisI5.exe
[2011.12.27 20:16:18 | 000,290,918 | ---- | C] () -- C:\WINXP\System32\Install7x.dll
[2011.12.27 20:16:18 | 000,002,048 | ---- | C] () -- C:\WINXP\System32\drivers\rt73.bin
[2011.12.08 16:23:45 | 000,000,092 | ---- | C] () -- C:\WINXP\CMISETUP.INI
[2011.12.08 16:23:44 | 000,000,026 | ---- | C] () -- C:\WINXP\CMCDPLAY.INI
[2011.12.08 16:23:43 | 000,233,472 | ---- | C] () -- C:\WINXP\System32\cmirmdrv.exe
[2011.12.08 16:23:43 | 000,028,672 | ---- | C] () -- C:\WINXP\System32\cmirmdrv.dll
[2011.12.08 16:23:43 | 000,000,000 | ---- | C] () -- C:\WINXP\Wininit.ini
[2011.12.08 16:23:41 | 000,266,240 | ---- | C] () -- C:\WINXP\CMIUninstall.exe
[2011.12.08 16:23:41 | 000,225,280 | ---- | C] () -- C:\WINXP\CmiRmRedundDir.exe
[2011.12.08 16:23:41 | 000,028,672 | ---- | C] () -- C:\WINXP\CMIRmDriver.dll
[2011.12.07 22:28:17 | 000,040,960 | ---- | C] () -- C:\WINXP\System32\ChCfg.exe
[2011.10.18 05:17:55 | 000,135,168 | ---- | C] () -- C:\WINXP\System32\RTLCPAPI.dll
 
========== LOP Check ==========
 
[2012.02.25 14:50:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2011.12.07 21:45:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}
[2012.02.25 14:50:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Canneverbe Limited
[2012.03.17 11:51:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\CasinoOnNet
[2012.03.10 20:37:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\DDMSettings
[2011.12.16 19:20:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Foxit Software
[2011.12.08 01:15:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\OpenCandy
[2012.02.17 21:09:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\PacificPoker
[2012.02.09 09:21:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\danny\Anwendungsdaten\Softonic
 
========== Purity Check ==========
 
 

< End of report >
--- --- ---

LG Dani und sorry für die Mühe, toll, dass es Euch gibt !!

markusg 02.04.2012 16:55
hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



Code:
:OTL
SRV - (lanmanworkstation) -- C:\WINXP\system32\aptwujpgi.dll (Works Ltd.)
 :Files
C:\WINXP\system32\aptwujpgi.dll
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

Lokisbrain 02.04.2012 19:21
Hmhhh, wie lange dauert das ganze denn?? Habe den Text kopiert und dann stand unten killling processes.... Do not interrupted..... was ich dann aber nach 1,5 Stunden unterbrochen habe. Es sieht so aus als würde sich der rechner aufhängen, die Desktop Icons verschwinden. Außerdem hatte ich gerade eine Meldung von mailwarebytes: MBAM Service terminated unexpektedly, see event log für details......

markusg 02.04.2012 19:38
starte mal in den abgesicherten modus, geht über f8 beim neustart.
wähle dort dein nutzerkonto und versuchs noch mal

Lokisbrain 02.04.2012 21:05
All processes killed
========== OTL ==========
Service lanmanworkstation stopped successfully!
Service lanmanworkstation deleted successfully!
C:\WINXP\system32\aptwujpgi.dll moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: danny
->Flash cache emptied: 29213 bytes

User: Default User

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: danny
->Temp folder emptied: 12336480702 bytes
->Temporary Internet Files folder emptied: 95602641 bytes
->Java cache emptied: 2092947 bytes
->FireFox cache emptied: 55224225 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 42244270 bytes
RecycleBin emptied: 164864 bytes

Total Files Cleaned = 11.951,00 mb

Error: Unable to interpret < :OTL> in the current context!
Error: Unable to interpret <SRV - (lanmanworkstation) -- C:\WINXP\system32\aptwujpgi.dll (Works Ltd.)> in the current context!
Error: Unable to interpret < :Files> in the current context!
Error: Unable to interpret <C:\WINXP\system32\aptwujpgi.dll> in the current context!
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: danny
->Flash cache emptied: 0 bytes

User: Default User

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: danny
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.39.2 log created on 04022012_215911

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Also bis jetzt hat alles geklappt und Du bist mein persönlicher Held des Tages (mindestens), wobei ich ja noch nicht weiß, was da ja jetzt alles passiert ist..... und wie ich sowas nun vermeiden kann. Ob nun noch alle Fehler und Trojaner noch da sind usw. Fragen über Fragen von einer völlig überforderten Userin.

Vielen Dank schon mal für die super schnelle Hilfe und die Zeit die geopfert wird, echt klasse :daumenhoc:daumenhoc

markusg 03.04.2012 10:30
hi, danke dir erst mal für den upload.
2. funktioniert das internet wieder?
3.
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Lokisbrain 03.04.2012 14:57
Huhu, vielen Dank Dir! Einen Neustart gab es nicht, ich komme jederzeit ins Internet, aber heute kam wieder die Tr Medeyes Meldung von Anti Vir..

hier der Text:

Combofix Logfile:
Code:
ComboFix 12-04-02.01 - danny 03.04.2012  15:47:02.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.444 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\danny\Eigene Dateien\Downloads\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\danny\WINDOWS
c:\winxp\system32\AutoRun.inf
D:\AUTORUN.INF
E:\Autorun.inf
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-03-03 bis 2012-04-03  ))))))))))))))))))))))))))))))
.
.
2012-04-02 16:38 . 2012-04-02 20:08        --------        d-----w-        C:\_OTL
2012-04-01 19:48 . 2012-04-01 19:48        --------        d-----w-        c:\dokumente und einstellungen\danny\Anwendungsdaten\Malwarebytes
2012-04-01 19:48 . 2012-04-01 19:48        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-04-01 19:48 . 2012-04-01 19:48        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2012-04-01 19:48 . 2011-12-10 13:24        20464        ----a-w-        c:\winxp\system32\drivers\mbam.sys
2012-03-17 09:38 . 2012-03-17 09:51        --------        d-----w-        c:\dokumente und einstellungen\danny\Anwendungsdaten\CasinoOnNet
2012-03-17 09:38 . 2012-03-17 09:38        --------        d-----w-        c:\programme\CasinoOnNet
2012-03-14 12:16 . 2012-03-14 12:16        592824        ----a-w-        c:\programme\Mozilla Firefox\gkmedias.dll
2012-03-14 12:16 . 2012-03-14 12:16        44472        ----a-w-        c:\programme\Mozilla Firefox\mozglue.dll
2012-03-10 18:37 . 2012-03-10 18:37        --------        d-----w-        c:\dokumente und einstellungen\danny\Anwendungsdaten\DDMSettings
2012-03-10 18:35 . 2012-03-29 15:14        --------        d-----w-        c:\dokumente und einstellungen\danny\Anwendungsdaten\DivX
2012-03-10 18:34 . 2012-03-10 18:35        --------        d-----w-        c:\programme\Gemeinsame Dateien\DivX Shared
2012-03-10 18:33 . 2012-03-10 18:35        --------        d-----w-        c:\programme\DivX
2012-03-10 18:32 . 2012-03-10 18:35        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivX
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-02 06:57 . 2009-02-09 07:54        464384        ----a-w-        c:\winxp\system32\ntqdmvnv.sys
2012-02-27 09:46 . 2006-06-15 07:20        414368        ----a-w-        c:\winxp\system32\FlashPlayerCPLApp.cpl
2012-02-15 19:36 . 2006-06-15 00:05        137416        ----a-w-        c:\winxp\system32\drivers\avipbb.sys
2012-02-03 09:56 . 2009-11-10 15:46        1869312        ----a-w-        c:\winxp\system32\win32k.sys
2012-01-11 19:06 . 2012-02-16 19:32        3072        ------w-        c:\winxp\system32\iacenc.dll
2012-01-09 16:20 . 2006-06-14 23:24        139784        ----a-w-        c:\winxp\system32\drivers\rdpwd.sys
2012-03-14 12:16 . 2011-12-27 18:31        97208        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E87806B5-E908-45FD-AF5E-957D83E58E68}]
2012-01-11 14:29        241872        ----a-w-        c:\programme\Softonic\softonic\1.5.11.5\bh\softonic.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{5018CFD2-804D-4C99-9F81-25EAEA2769DE}"= "c:\programme\Softonic\softonic\1.5.11.5\softonicTlbr.dll" [2012-01-11 250064]
.
[HKEY_CLASSES_ROOT\clsid\{5018cfd2-804d-4c99-9f81-25eaea2769de}]
[HKEY_CLASSES_ROOT\Softonic.dskBnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]
[HKEY_CLASSES_ROOT\Softonic.dskBnd]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-10-19 258512]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-06-09 254696]
"SoundMan"="SOUNDMAN.EXE" [2011-12-07 577536]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2011-10-26 74752]
"RaidTool"="c:\programme\VIA\RAID\raid_tool.exe" [2005-06-20 1056768]
"DivXUpdate"="c:\programme\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-01-13 460872]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Hama Wireless LAN Utility.lnk - c:\programme\Hama\Common\RaUI.exe [2011-12-27 1122304]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Winamp\\winamp.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
.
R1 avkmgr;avkmgr;c:\winxp\system32\drivers\avkmgr.sys [15.06.2006 02:05 36000]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [15.06.2006 02:05 86224]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [01.04.2012 21:48 652360]
R2 Update-Service;Update-Service;c:\winxp\System32\svchost.exe -k Update-Service [14.04.2008 11:00 14336]
R3 MBAMProtector;MBAMProtector;c:\winxp\system32\drivers\mbam.sys [01.04.2012 21:48 20464]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\winxp\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 14:16 130384]
S3 AIDA64Driver;FinalWire AIDA64 Kernel Driver;c:\programme\FinalWire\AIDA64 Extreme Edition\kerneld.x32 [08.12.2011 16:21 28824]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\winxp\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 14:16 753504]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - ntqdmvnv
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Update-Service-Installer-Service        REG_MULTI_SZ          Update-Service-Installer-Service
Update-Service        REG_MULTI_SZ          Update-Service
HPZ12        REG_MULTI_SZ          Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt        REG_MULTI_SZ          hpqcxs08
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - c:\dokumente und einstellungen\danny\Desktop\PartyCasino.lnk
TCP: Interfaces\{136F032D-3D9E-46A5-A4E0-0FED15201654}: NameServer = 213.191.92.86 62.109.123.7
FF - ProfilePath - c:\dokumente und einstellungen\danny\Anwendungsdaten\Mozilla\Firefox\Profiles\efgea3v3.default\
FF - prefs.js: network.proxy.type - 0
FF - user.js: extensions.softonic_i.newTab - false
FF - user.js: extensions.softonic_i.tlbrSrchUrl - hxxp://search.softonic.com/MON00001/tb_v1?SearchSource=1&cc=&q=
FF - user.js: extensions.softonic_i.id - 502b9240000000000000001060310b14
FF - user.js: extensions.softonic_i.instlDay - 15432
FF - user.js: extensions.softonic_i.vrsn - 1.5.11.5
FF - user.js: extensions.softonic_i.vrsni - 1.5.11.5
FF - user.js: extensions.softonic_i.vrsnTs - 1.5.11.58:42
FF - user.js: extensions.softonic_i.prtnrId - softonic
FF - user.js: extensions.softonic_i.prdct - softonic
FF - user.js: extensions.softonic_i.aflt - orgnl
FF - user.js: extensions.softonic_i.smplGrp - eng7
FF - user.js: extensions.softonic_i.tlbrId - eng7
FF - user.js: extensions.softonic_i.instlRef - MON00001
FF - user.js: extensions.softonic_i.dfltLng -
FF - user.js: extensions.softonic_i.excTlbr - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKLM-Run-Cmaudio - cmicnfg.cpl
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-03 15:51
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  RaidTool = c:\programme\VIA\RAID\raid_tool.exe????
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AIDA64Driver]
"ImagePath"="\??\c:\programme\FinalWire\AIDA64 Extreme Edition\kerneld.x32"
.
Zeit der Fertigstellung: 2012-04-03  15:53:45
ComboFix-quarantined-files.txt  2012-04-03 13:53
.
Vor Suchlauf: 5 Verzeichnis(se), 49.059.143.680 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 49.049.874.432 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - F3413415E66A15F26AFA36E3CEDBE9D2
--- --- ---

markusg 03.04.2012 18:51
hi

dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.



[CODE]
:OTL
DRV - (ntqdmvnv) -- C:\WINXP\system32\ntqdmvnv.sys (New Technology Quality, Ltd.)
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]



• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

Lokisbrain 05.04.2012 08:01
All processes killed
Error: Unable to interpret <[CODE]> in the current context!
========== OTL ==========
Error: No service named ntqdmvnv was found to stop!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqdmvnv deleted successfully.
File C:\WINXP\system32\ntqdmvnv.sys not found.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: danny
->Flash cache emptied: 2102 bytes

User: Default User

User: LocalService

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: danny
->Temp folder emptied: 592407429 bytes
->Temporary Internet Files folder emptied: 3707902 bytes
->Java cache emptied: 11548 bytes
->FireFox cache emptied: 132031198 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16867 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 694,00 mb


OTL by OldTimer - Version 3.2.39.2 log created on 04052012_085740

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

markusg 05.04.2012 11:53
sind aktuell probleme festzustellen? wenn ja, welche?

Lokisbrain 10.04.2012 11:53
Momentan habe ich keine Probleme mehr. Vielen lieben Dank ....
LG Dani

markusg 11.04.2012 16:06
lade den CCleaner standard:
CCleaner Download - CCleaner 3.17.1689
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131