Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Antimalware Doctor - mehrere Fragen (infizierte Datei ausfindig machen) (https://www.trojaner-board.de/88426-antimalware-doctor-mehrere-fragen-infizierte-datei-ausfindig.html)

AMDVictim 20.07.2010 14:43
Antimalware Doctor - mehrere Fragen (infizierte Datei ausfindig machen)
 
Zuerst einmal mein Betriebssystem:
Windows 7 Ultimate 64bit.

Ich habe hier diese Thema eröffnet weil mein Rechner mit den Antimalware Doctor infiziert ist und ich jetzt unbedingt die Ursprungsdatei ausfindig machen wollte.
Am besten wäre auch wenn ich herausfinden könnte wie ich mich mit diesen Virus infiziert habe.

1. Kann es auch sein dass der Antimalware Doctor durch Java auf meinen Rechner gekommen ist? Ich habe gestern, als ich Meldungen von diesen Antimalware Doctor bekommen habe nichts heruntergeladen und kurz vor den Meldungen habe ich das Javazeichen im Tray gesehen.

Ich wollte meine Systempartition jetzt formatieren um diesen Virus wieder los zu werden aber wollte auch die Ursprungsdatei löschen die eventuell noch auf meinen Rechner sitzt bevor ich Windows neu aufsetze.

2. Ich habe zwei Rechner Zuhause und deshalb meine Frage.
Kann sich der Antimalware Doctor auch über eine Fritzbox ausbreiten?
Und wenn ja, geht das nur wenn der infizierte und der nichtinfizierte gleichzeitig mit der Fritzbox verbunden sind oder kann der nicht infizierte Rechner noch infiziert werden wenn der andere Rechner nicht mehr mit den Internet verbunden ist?

Der saubere Rechner war aus als ich die Antimalware Doctor Meldungen bekommen habe.

3. Reicht es wenn ich die Windows Systempartitionen lösche, um den Virus los zu werden?
Ich habe zwei, Windows 7 Ultimate 64bit und Windows XP 32 bit und eine Partition für alle meine Daten. Letztere wollte ich behalten und nicht formatieren.

4. Wie kann es sein dass mir Kaspersky Internetsecurity 2010 nichts angezeigt hat?

5. Was könnte dieser Antimalware Doctor anrichten?
Oder wofür ist er da?
Sammelt er Passwörter oder sonstiges?
Was haben die Urheber vom Antimalware Doctor davon andere Rechner damit zu infizieren?

6. Könnt ihr anhand dieser Logfiles sehen ob ich noch Viren auf meinen Computer habe? Oder sehen welche Datei mit den Virus infiziert ist?

Ich habe gerade die Exe von Malwarebyte auf den Computer getan und die wurde direkt gelöscht.
Ich weiß nicht ob es Kaspersky war oder dieser Virus. Aber ich tippe eher mal auf den Virus da Kaspersky Malwarebytes auf den anderen Rechner nicht löscht.

Ich habe auch schon eine Systemwiederherstellung versucht, die erfolglos war:
http://s10.directupload.net/images/100720/6lwes8yp.png

AMDVictim 20.07.2010 18:51
Inzwischen habe ich alle Schritte, wie hier beschrieben:
http://www.trojaner-board.de/83172-a...entfernen.html

http://www.trojaner-board.de/69886-a...-beachten.html

befolgt.

Habe als erstes im abgesicherten Modus Malwarebyte Antimalware installiert und die Suche gestartet. Danach habe ich alles gefundene löschen lassen.
Danach habe ich den CCleaner ausgeführt und mit OTL zwei Logdateien erstellt.

Hier sind sie:
OTL Logfile:
OTL EXTRAS Logfile:
Code:
OTL logfile created on: 20.07.2010 19:23:44 - Run 1
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Users\Admin\Desktop
64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 70,00% Memory free
8,00 Gb Paging File | 7,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 62,50 Gb Total Space | 9,02 Gb Free Space | 14,43% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 128,91 Gb Total Space | 15,16 Gb Free Space | 11,76% Space Free | Partition Type: NTFS
Drive F: | 41,47 Gb Total Space | 30,41 Gb Free Space | 73,33% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
Drive I: | 3,67 Gb Total Space | 2,55 Gb Free Space | 69,37% Space Free | Partition Type: FAT32
 
Computer Name: ADMIN-PC
Current User Name: Admin
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Include 64bit Scans
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\Admin\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe (mobile concepts GmbH)
PRC - C:\Windows\SysWOW64\PnkBstrA.exe ()
PRC - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
PRC - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe (Kaspersky Lab)
PRC - C:\Program Files (x86)\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner.exe ()
PRC - C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Users\Admin\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll (Kaspersky Lab)
MOD - C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll (Kaspersky Lab)
MOD - C:\Windows\SysWOW64\msscript.ocx (Microsoft Corporation)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (PnkBstrA) -- C:\Windows\SysNative\PnkBstrA.exe File not found
SRV:64bit: - (npggsvc) -- C:\Windows\SysNative\GameMon.des File not found
SRV:64bit: - (MSCamSvc) -- C:\Program Files\Microsoft LifeCam\MSCamS64.exe (Microsoft Corporation)
SRV:64bit: - (nHancer) -- C:\Program Files\nHancer\nHancerService.exe (KSE - Korndörfer Software Engineering)
SRV:64bit: - (wlidsvc) -- C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corporation)
SRV:64bit: - (UmRdpService) -- C:\Windows\SysNative\umrdp.dll (Microsoft Corporation)
SRV:64bit: - (PeerDistSvc) -- C:\Windows\SysNative\PeerDistSvc.dll (Microsoft Corporation)
SRV:64bit: - (CscService) -- C:\Windows\SysNative\cscsvc.dll (Microsoft Corporation)
SRV:64bit: - (AppMgmt) -- C:\Windows\SysNative\appmgmts.dll (Microsoft Corporation)
SRV - (CGVPNCliSrvc) -- C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe (mobile concepts GmbH)
SRV - (Steam Client Service) -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe (Valve Corporation)
SRV - (PnkBstrA) -- C:\Windows\SysWOW64\PnkBstrA.exe ()
SRV - (clr_optimization_v4.0.30319_64) -- C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (Stereo Service) -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe (NVIDIA Corporation)
SRV - (npggsvc) -- C:\Windows\SysWow64\GameMon.des (INCA Internet Co., Ltd.)
SRV - (AVP) -- C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe (Kaspersky Lab)
SRV - (StarWindServiceAE) -- C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (Rocket Division Software)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (NPPTNT2) -- C:\Windows\SysNative\npptNT2.sys File not found
DRV:64bit: - (VX1000) -- C:\Windows\SysNative\drivers\VX1000.sys (Microsoft Corporation)
DRV:64bit: - (sptd) -- C:\Windows\SysNative\drivers\sptd.sys ()
DRV:64bit: - (KLIF) -- C:\Windows\SysNative\drivers\klif.sys (Kaspersky Lab)
DRV:64bit: - (usbbus) -- C:\Windows\SysNative\drivers\lgx64bus.sys (LG Electronics Inc.)
DRV:64bit: - (tap0901) -- C:\Windows\SysNative\drivers\tap0901.sys (The OpenVPN Project)
DRV:64bit: - (cmuda3) -- C:\Windows\SysNative\drivers\cmudax3.sys (C-Media Inc)
DRV:64bit: - (KLIM6) -- C:\Windows\SysNative\drivers\klim6.sys (Kaspersky Lab)
DRV:64bit: - (KLBG) -- C:\Windows\SysNative\drivers\klbg.sys (Kaspersky Lab)
DRV:64bit: - (klmouflt) -- C:\Windows\SysNative\drivers\klmouflt.sys (Kaspersky Lab)
DRV:64bit: - (kl1) -- C:\Windows\SysNative\drivers\kl1.sys (Kaspersky Lab)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (vmbus) -- C:\Windows\SysNative\drivers\vmbus.sys (Microsoft Corporation)
DRV:64bit: - (storflt) -- C:\Windows\SysNative\drivers\vmstorfl.sys (Microsoft Corporation)
DRV:64bit: - (storvsc) -- C:\Windows\SysNative\drivers\storvsc.sys (Microsoft Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (s3cap) -- C:\Windows\SysNative\drivers\vms3cap.sys (Microsoft Corporation)
DRV:64bit: - (VMBusHID) -- C:\Windows\SysNative\drivers\VMBusHID.sys (Microsoft Corporation)
DRV:64bit: - (CSC) -- C:\Windows\SysNative\drivers\csc.sys (Microsoft Corporation)
DRV:64bit: - (Ntfs) -- C:\Windows\SysNative\wbem\ntfs.mof ()
DRV:64bit: - (NVENETFD) -- C:\Windows\SysNative\drivers\nvm62x64.sys (NVIDIA Corporation)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (s217mdm) -- C:\Windows\SysNative\drivers\s217mdm.sys (MCCI Corporation)
DRV:64bit: - (s217unic) Sony Ericsson Device 217 USB Ethernet Emulation SEMC217 (WDM) -- C:\Windows\SysNative\drivers\s217unic.sys (MCCI)
DRV:64bit: - (s217obex) -- C:\Windows\SysNative\drivers\s217obex.sys (MCCI Corporation)
DRV:64bit: - (s217bus) Sony Ericsson Device 217 driver (WDM) -- C:\Windows\SysNative\drivers\s217bus.sys (MCCI Corporation)
DRV:64bit: - (s217mdfl) -- C:\Windows\SysNative\drivers\s217mdfl.sys (MCCI Corporation)
DRV:64bit: - (ElbyCDIO) -- C:\Windows\SysNative\drivers\ElbyCDIO.sys (Elaborate Bytes AG)
DRV:64bit: - (ElbyDelay) -- C:\Windows\SysNative\drivers\ElbyDelay.sys (Elaborate Bytes AG)
DRV:64bit: - (MTsensor) -- C:\Windows\SysNative\drivers\ASACPI.sys ()
DRV - (RivaTuner64) -- C:\Program Files (x86)\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner64.sys ()
DRV - (ElbyDelay) -- C:\Windows\SysWOW64\drivers\ElbyDelay.sys (Elaborate Bytes AG)
DRV - (NPPTNT2) -- C:\Windows\SysWOW64\npptNT2.sys (INCA Internet Co., Ltd.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 34 C7 00 98 81 22 CB 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Bing"
FF - prefs.js..browser.search.defaulturl: "hxxp://www.bing.com/search?FORM=IEFM1&q="
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "google.de"
FF - prefs.js..extensions.enabledItems: {22119944-ED35-4ab1-910B-E619EA06A115}:6.9.96
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..extensions.enabledItems: linkfilter@kaspersky.ru:9.0.0.736
FF - prefs.js..keyword.URL: "hxxp://www.bing.com/search?FORM=IEFM1&q="
 
FF - HKLM\software\mozilla\Firefox\Extensions\\{22119944-ED35-4ab1-910B-E619EA06A115}: C:\Program Files (x86)\Siber Systems\AI RoboForm\Firefox [2010.05.02 17:18:01 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.10\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2010.06.24 15:03:05 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.10\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins [2010.06.24 15:03:05 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Thunderbird\Extensions\\{eea12ec4-729d-4703-bc37-106ce9879ce2}: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\THBExt [2010.02.19 23:47:12 | 000,000,000 | ---D | M]
 
[2010.02.19 23:44:33 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\mozilla\Extensions
[2010.07.16 12:00:17 | 000,000,000 | ---D | M] -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\qtlazliw.default\extensions
[2010.06.15 10:14:54 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\qtlazliw.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2010.02.20 03:02:57 | 000,002,163 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\FireFox\Profiles\qtlazliw.default\searchplugins\bing.xml
[2010.07.16 12:00:17 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\mozilla firefox\extensions
[2010.02.19 23:47:30 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\mozilla firefox\extensions\linkfilter@kaspersky.ru
[2010.03.15 19:18:25 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.03.15 19:18:25 | 000,002,344 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2010.03.15 19:18:25 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.03.15 19:18:25 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.03.15 19:18:25 | 000,000,801 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010.07.13 15:37:14 | 000,000,988 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 serial.alcohol-soft.com
O1 - Hosts: 127.0.0.1 www.alcohol-soft.com
O1 - Hosts: 127.0.0.1 images.alcohol-soft.com
O1 - Hosts: 127.0.0.1 trial.alcohol-soft.com
O1 - Hosts: 127.0.0.1 alcohol-soft.com
O2:64bit: - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\x64\ievkbd.dll (Kaspersky Lab)
O2:64bit: - BHO: (Windows Live ID-Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2:64bit: - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\x64\klwtbbho.dll (Kaspersky Lab)
O2 - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll (Kaspersky Lab)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll (Siber Systems Inc.)
O2 - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll (Kaspersky Lab)
O3 - HKLM\..\Toolbar: (&RoboForm) - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll (Siber Systems Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (&RoboForm) - {724D43A0-0D85-11D4-9908-00400523E39A} - C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll (Siber Systems Inc.)
O4:64bit: - HKLM..\Run: [RivaTuner] C:\Program Files (x86)\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTunerWrapper.exe ()
O4 - HKLM..\Run: [AVP] C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe (Kaspersky Lab)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O8:64bit: - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Admin\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O8:64bit: - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm ()
O8:64bit: - Extra context menu item: RF - Formular ausfüllen - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComFillForms.html ()
O8:64bit: - Extra context menu item: RF - Formular speichern - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComSavePass.html ()
O8:64bit: - Extra context menu item: RF - Menü anpassen - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html ()
O8:64bit: - Extra context menu item: RF - RoboForm-Leiste ein/aus - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html ()
O8 - Extra context menu item: Free YouTube to Mp3 Converter - C:\Users\Admin\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm ()
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm ()
O8 - Extra context menu item: RF - Formular ausfüllen - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComFillForms.html ()
O8 - Extra context menu item: RF - Formular speichern - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComSavePass.html ()
O8 - Extra context menu item: RF - Menü anpassen - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html ()
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html ()
O9:64bit: - Extra Button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\x64\klwtbbho.dll (Kaspersky Lab)
O9:64bit: - Extra Button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\x64\klwtbbho.dll (Kaspersky Lab)
O9 - Extra Button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComFillForms.html ()
O9 - Extra 'Tools' menuitem : RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComFillForms.html ()
O9 - Extra Button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComSavePass.html ()
O9 - Extra 'Tools' menuitem : RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComSavePass.html ()
O9 - Extra Button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll (Kaspersky Lab)
O9 - Extra Button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html ()
O9 - Extra 'Tools' menuitem : RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - C:\Program Files (x86)\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html ()
O9 - Extra Button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files (x86)\ICQ7.0\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files (x86)\ICQ7.0\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll (Kaspersky Lab)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corporation)
O13 - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18:64bit: - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - Reg Error: Key error. File not found
O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18:64bit: - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - Reg Error: Key error. File not found
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\KASPER~1\KASPER~1\x64\sbhook64.dll) - C:\PROGRA~2\KASPER~1\KASPER~1\x64\sbhook64.dll (Kaspersky Lab)
O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\KASPER~1\KASPER~1\x64\kloehk.dll) - C:\PROGRA~2\KASPER~1\KASPER~1\x64\kloehk.dll (Kaspersky Lab)
O20 - AppInit_DLLs: (C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll) - C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll (Kaspersky Lab)
O20 - AppInit_DLLs: (C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll) - C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll (Kaspersky Lab)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysWow64\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20:64bit: - Winlogon\Notify\klogon: DllName - Reg Error: Key error. - C:\Windows\SysNative\klogon.dll (Kaspersky Lab)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O30:64bit: - LSA: Security Packages - (livessp) - C:\Windows\SysNative\livessp.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (livessp) - C:\Windows\SysWow64\livessp.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.02.19 22:21:39 | 000,000,000 | ---- | M] () - F:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [1980.11.13 16:53:52 | 000,000,070 | RH-- | M] () - I:\AUTORUN.INF -- [ FAT32 ]
O33 - MountPoints2\{3643650d-2143-11df-8190-001d600c146d}\Shell - "" = AutoRun
O33 - MountPoints2\{3643650d-2143-11df-8190-001d600c146d}\Shell\AutoRun\command - "" = H:\Support\AutoRun\AutoRun.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010.07.20 19:08:58 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\CCleaner
[2010.07.20 19:08:01 | 003,396,176 | ---- | C] (Piriform Ltd) -- C:\Users\Admin\Desktop\ccsetup233.exe
[2010.07.20 19:07:33 | 000,574,976 | ---- | C] (OldTimer Tools) -- C:\Users\Admin\Desktop\OTL.exe
[2010.07.20 16:46:24 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\Malwarebytes
[2010.07.20 16:46:17 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysWow64\drivers\mbamswissarmy.sys
[2010.07.20 16:46:16 | 000,024,664 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2010.07.20 16:46:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.07.20 16:45:40 | 006,153,648 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Users\Admin\Desktop\mbam-setup.exe
[2010.07.20 16:37:05 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2010.07.20 00:02:11 | 000,000,000 | ---D | C] -- C:\Users\Admin\AppData\Roaming\92C7BE4A5A41AEF6E10373354CA6F49B
[2010.07.14 09:11:35 | 000,144,384 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\cdd.dll
[2010.07.13 00:45:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Project64 1.6
[2010.06.24 09:39:53 | 001,942,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\dfshim.dll
[2010.06.24 09:39:53 | 001,130,824 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\dfshim.dll
[2010.06.24 09:39:53 | 000,320,352 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\PresentationHost.exe
[2010.06.24 09:39:53 | 000,295,264 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\PresentationHost.exe
[2010.06.24 09:39:53 | 000,109,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\PresentationHostProxy.dll
[2010.06.24 09:39:53 | 000,099,176 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\PresentationHostProxy.dll
[2010.06.24 09:39:53 | 000,049,472 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\netfxperf.dll
[2010.06.24 09:39:53 | 000,048,960 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\netfxperf.dll
[2010.06.24 09:38:09 | 001,736,608 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntdll.dll
[2010.06.24 09:38:04 | 000,961,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\CPFilters.dll
[2010.06.24 09:38:04 | 000,641,536 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\CPFilters.dll
[2010.06.24 09:38:04 | 000,552,960 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\msdri.dll
[2010.06.24 09:38:04 | 000,258,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\mpg2splt.ax
[2010.06.24 09:38:04 | 000,199,680 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\mpg2splt.ax
[2010.06.24 09:38:03 | 000,288,256 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\MSNP.ax
[2010.06.24 09:38:03 | 000,204,288 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\MSNP.ax
[3 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010.07.20 19:23:52 | 002,883,584 | -HS- | M] () -- C:\Users\Admin\ntuser.dat
[2010.07.20 19:20:15 | 001,498,506 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2010.07.20 19:20:15 | 000,653,928 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2010.07.20 19:20:15 | 000,615,810 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2010.07.20 19:20:15 | 000,129,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2010.07.20 19:20:15 | 000,106,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2010.07.20 19:17:52 | 000,001,104 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2010.07.20 19:08:59 | 000,001,020 | ---- | M] () -- C:\Users\Admin\Desktop\CCleaner.lnk
[2010.07.20 19:08:07 | 003,396,176 | ---- | M] (Piriform Ltd) -- C:\Users\Admin\Desktop\ccsetup233.exe
[2010.07.20 19:07:01 | 000,001,108 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2010.07.20 19:07:00 | 000,574,976 | ---- | M] (OldTimer Tools) -- C:\Users\Admin\Desktop\OTL.exe
[2010.07.20 18:12:34 | 000,014,192 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2010.07.20 18:12:34 | 000,014,192 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2010.07.20 18:05:19 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.07.20 18:05:16 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.07.20 18:05:08 | 3220,086,784 | -HS- | M] () -- C:\hiberfil.sys
[2010.07.20 16:46:19 | 000,001,022 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.20 16:38:20 | 000,524,288 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{84b7d4a1-940a-11df-bff9-001d600c146d}.TMContainer00000000000000000002.regtrans-ms
[2010.07.20 16:38:20 | 000,524,288 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{84b7d4a1-940a-11df-bff9-001d600c146d}.TMContainer00000000000000000001.regtrans-ms
[2010.07.20 16:38:20 | 000,065,536 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{84b7d4a1-940a-11df-bff9-001d600c146d}.TM.blf
[2010.07.20 14:44:34 | 006,153,648 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Users\Admin\Desktop\mbam-setup.exe
[2010.07.20 14:42:26 | 000,363,520 | ---- | M] () -- C:\Users\Admin\Desktop\rkill.com
[2010.07.20 03:09:45 | 000,524,288 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{990ce25b-9385-11df-b06d-001d600c146d}.TMContainer00000000000000000002.regtrans-ms
[2010.07.20 03:09:45 | 000,524,288 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{990ce25b-9385-11df-b06d-001d600c146d}.TMContainer00000000000000000001.regtrans-ms
[2010.07.20 03:09:45 | 000,065,536 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{990ce25b-9385-11df-b06d-001d600c146d}.TM.blf
[2010.07.20 03:05:10 | 000,524,288 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{2cd42966-9384-11df-8596-001d600c146d}.TMContainer00000000000000000002.regtrans-ms
[2010.07.20 03:05:10 | 000,524,288 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{2cd42966-9384-11df-8596-001d600c146d}.TMContainer00000000000000000001.regtrans-ms
[2010.07.20 03:05:10 | 000,065,536 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{2cd42966-9384-11df-8596-001d600c146d}.TM.blf
[2010.07.20 00:31:01 | 000,065,536 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{97d75500-9381-11df-a1b4-001d600c146d}.TM.blf
[2010.07.20 00:31:00 | 000,524,288 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{97d75500-9381-11df-a1b4-001d600c146d}.TMContainer00000000000000000002.regtrans-ms
[2010.07.20 00:31:00 | 000,524,288 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{97d75500-9381-11df-a1b4-001d600c146d}.TMContainer00000000000000000001.regtrans-ms
[2010.06.30 19:39:23 | 000,000,085 | -HS- | M] () -- C:\ProgramData\.zreglib
[2010.06.26 00:11:32 | 000,524,288 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{38cf3a90-8078-11df-a2fe-001d600c146d}.TMContainer00000000000000000002.regtrans-ms
[2010.06.26 00:11:32 | 000,524,288 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{38cf3a90-8078-11df-a2fe-001d600c146d}.TMContainer00000000000000000001.regtrans-ms
[2010.06.26 00:11:32 | 000,065,536 | -HS- | M] () -- C:\Users\Admin\ntuser.dat{38cf3a90-8078-11df-a2fe-001d600c146d}.TM.blf
[3 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[1 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010.07.20 19:08:59 | 000,001,020 | ---- | C] () -- C:\Users\Admin\Desktop\CCleaner.lnk
[2010.07.20 16:46:19 | 000,001,022 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.07.20 16:45:41 | 000,363,520 | ---- | C] () -- C:\Users\Admin\Desktop\rkill.com
[2010.07.20 16:28:39 | 000,524,288 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{84b7d4a1-940a-11df-bff9-001d600c146d}.TMContainer00000000000000000002.regtrans-ms
[2010.07.20 16:28:39 | 000,524,288 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{84b7d4a1-940a-11df-bff9-001d600c146d}.TMContainer00000000000000000001.regtrans-ms
[2010.07.20 16:28:39 | 000,065,536 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{84b7d4a1-940a-11df-bff9-001d600c146d}.TM.blf
[2010.07.20 03:07:27 | 000,524,288 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{990ce25b-9385-11df-b06d-001d600c146d}.TMContainer00000000000000000002.regtrans-ms
[2010.07.20 03:07:27 | 000,524,288 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{990ce25b-9385-11df-b06d-001d600c146d}.TMContainer00000000000000000001.regtrans-ms
[2010.07.20 03:07:27 | 000,065,536 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{990ce25b-9385-11df-b06d-001d600c146d}.TM.blf
[2010.07.20 00:33:23 | 000,524,288 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{2cd42966-9384-11df-8596-001d600c146d}.TMContainer00000000000000000002.regtrans-ms
[2010.07.20 00:33:23 | 000,524,288 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{2cd42966-9384-11df-8596-001d600c146d}.TMContainer00000000000000000001.regtrans-ms
[2010.07.20 00:33:23 | 000,065,536 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{2cd42966-9384-11df-8596-001d600c146d}.TM.blf
[2010.07.20 00:23:12 | 000,524,288 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{97d75500-9381-11df-a1b4-001d600c146d}.TMContainer00000000000000000002.regtrans-ms
[2010.07.20 00:23:12 | 000,524,288 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{97d75500-9381-11df-a1b4-001d600c146d}.TMContainer00000000000000000001.regtrans-ms
[2010.07.20 00:23:12 | 000,065,536 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{97d75500-9381-11df-a1b4-001d600c146d}.TM.blf
[2010.06.25 22:16:45 | 000,524,288 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{38cf3a90-8078-11df-a2fe-001d600c146d}.TMContainer00000000000000000002.regtrans-ms
[2010.06.25 22:16:45 | 000,524,288 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{38cf3a90-8078-11df-a2fe-001d600c146d}.TMContainer00000000000000000001.regtrans-ms
[2010.06.25 22:16:45 | 000,065,536 | -HS- | C] () -- C:\Users\Admin\ntuser.dat{38cf3a90-8078-11df-a2fe-001d600c146d}.TM.blf
[2010.05.26 17:57:50 | 000,000,043 | ---- | C] () -- C:\Windows\gswin32.ini
[2010.04.02 17:17:34 | 000,179,091 | ---- | C] () -- C:\Windows\SysWow64\xlive.dll.cat
[2010.03.05 15:54:04 | 000,002,754 | ---- | C] () -- C:\Windows\cmudax3.ini
[2010.02.20 19:30:39 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll
[2009.07.13 23:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2009.06.26 18:24:18 | 000,015,498 | ---- | C] () -- C:\Windows\VX1000.ini
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:05EE1EEF
< End of report >
--- --- ---

--- --- ---

Und hier die Extras:
OTL EXTRAS Logfile:
Code:
OTL Extras logfile created on: 20.07.2010 19:23:44 - Run 1
OTL by OldTimer - Version 3.2.9.1    Folder = C:\Users\Admin\Desktop
64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
4,00 Gb Total Physical Memory | 3,00 Gb Available Physical Memory | 70,00% Memory free
8,00 Gb Paging File | 7,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 62,50 Gb Total Space | 9,02 Gb Free Space | 14,43% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 128,91 Gb Total Space | 15,16 Gb Free Space | 11,76% Space Free | Partition Type: NTFS
Drive F: | 41,47 Gb Total Space | 30,41 Gb Free Space | 73,33% Space Free | Partition Type: NTFS
G: Drive not present or media not loaded
H: Drive not present or media not loaded
Drive I: | 3,67 Gb Total Space | 2,55 Gb Free Space | 69,37% Space Free | Partition Type: FAT32
 
Computer Name: ADMIN-PC
Current User Name: Admin
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: Current user
Include 64bit Scans
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %* File not found
cmdfile [open] -- "%1" %* File not found
comfile [open] -- "%1" %* File not found
exefile [open] -- "%1" %* File not found
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- "C:\Program Files (x86)\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files (x86)\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %* File not found
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1" File not found
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S File not found
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 File not found
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- "C:\Program Files (x86)\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files (x86)\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files (x86)\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring" = 1
"" =
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{0E3DAF3D-FF69-345A-A99E-1FED304CA083}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{393ADA10-CEC5-47E7-AE6D-A9591C125EEF}" = Microsoft LifeCam
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{8ACE41AA-6262-43F7-B3E6-217C50803BBA}" = nHancer
"{95120000-00B9-0409-1000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9B48B0AC-C813-4174-9042-476A887592C7}" = Windows Live ID-Anmelde-Assistent
"{9C5A08BF-BB99-4998-81BD-F6CC32483B34}" = Microsoft Corporation
"{B6E3757B-5E77-3915-866A-CCFC4B8D194C}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x64 8.0.50727.4053
"{EE936C7A-EA40-31D5-9B65-8E3E089C3828}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"CyberGhost VPN_is1" = CyberGhost VPN Patch 4.5.18 PrePatch
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{0DEA94ED-915A-4834-A87E-388D012C8E02}" = Medal of Honor Allied Assault
"{0E0DF90C-D0BA-4C89-9262-AD78D1A3DE51}" = HP USB Disk Storage Format Tool
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{2624B969-7135-4EB1-B0F6-2D8C397B45F7}_is1" = Media Player Classic - Home Cinema v. 1.3.1249.0
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime
"{39DB116F-E088-486F-B13C-8925ECE7A6E5}" = 3D Sound Back Beta0.1
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{41E654A9-26D0-4EAC-854B-0FA824FFFABB}" = Windows Live Messenger
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{5FC68772-6D56-41C6-9DF1-24E868198AE6}" = Windows Live Call
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{88EB38EF-4D2C-436D-ABD3-56B232674062}" = ICQ7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8FB1B528-E260-451E-9B55-E9152F94B80B}" = Microsoft Games for Windows - LIVE Redistributable
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90850407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003
"{9559F7CA-5E34-4237-A2D9-D856464AD727}" = Project64 1.6
"{961034C0-58DF-11DF-97FD-005056806466}" = Google Earth Plug-in
"{9D8B0949-7C47-476F-9F06-F900D3B078EA}" = Kaspersky Internet Security 2010
"{A20A58C4-6784-4B4B-86CC-94E2E3671031}" = Nero 7 Ultra Edition
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A96E97134CA649888820BCDE5E300BBD}" = H.264 Decoder
"{AAC389499AEF40428987B3D30CFC76C9}" = MKV Splitter
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.1 - Deutsch
"{AEF9DC35ADDF4825B049ACBFD1C6EB37}" = AAC Decoder
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B3BC9DB1-0B0A-48B0-B86B-EA77CAA7F800}" = Microsoft Corporation
"{B3EE9807-E29C-4DCF-BF08-A658DB708B99}" = GM-M8000
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Plus Web Player
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{DA703982C580418795BF4001AA9D7061}" = DivX Plus Media Foundation Components
"{DEA314C4-0929-4250-BC92-98E4C105F28D}" = NVIDIA PhysX
"{ED00D08A-3C5F-488D-93A0-A04F21F23956}" = Windows Live Communications Platform
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F138762F-5A1F-4CF0-A5E1-1588EF6088A4}" = The Witcher Enhanced Edition
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F8FF18EE-264A-43FD-B2F6-5EAD40798C2F}" = Windows Live Essentials
"{F97E3841-CA9D-4964-9D64-26066241D26F}" = Microsoft Games for Windows - LIVE
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AI RoboForm" = AI RoboForm (All Users)
"CCleaner" = CCleaner
"CloneDVD2" = CloneDVD2
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"Dragonica(DE)" = Dragonica(DE)
"EVEREST Ultimate Edition_is1" = EVEREST Ultimate Edition v5.01
"Fake Webcam_is1" = Fake Webcam 6.1.3
"Fraps" = Fraps (remove only)
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.3
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.5
"FreePDF_XP" = FreePDF (Remove only)
"Führerschein-Trainer 2008" = Führerschein-Trainer 2008
"Google Chrome" = Google Chrome
"GPL Ghostscript 8.70" = GPL Ghostscript 8.70
"InstallWIX_{9D8B0949-7C47-476F-9F06-F900D3B078EA}" = Kaspersky Internet Security 2010
"Just Cause 2_is1" = Just Cause 2
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Messenger Plus! Live" = Messenger Plus! Live
"Mozilla Firefox (3.5.10)" = Mozilla Firefox (3.5.10)
"Neffy" = Neffy 1,3,29,0
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"OPERATION7" = OPERATION7
"PunkBusterSvc" = PunkBuster Services
"RivaTuner" = RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition
"Steam App 240" = Counter-Strike: Source
"Steam App 33310" = R.U.S.E. Beta
"Steam App 80" = Counter-Strike: Condition Zero
"Teachmaster 4.3" = Teachmaster 4.3 (nur Entfernen)
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.0.5
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR archiver
"Xilisoft Video Converter Ultimate" = Xilisoft Video Converter Ultimate
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 19.07.2010 18:41:15 | Computer Name = Admin-PC | Source = Application Hang | ID = 1002
Description = Programm sdclt.exe, Version 6.1.7600.16385 kann nicht mehr unter Windows
 ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf in der Wartungscenter-Systemsteuerung,
 um nach weiteren Informationen zum Problem zu suchen.    Prozess-ID: e48    Startzeit:
01cb27932783d2dc    Endzeit: 2    Anwendungspfad: C:\Windows\System32\sdclt.exe    Berichts-ID:
 
 
Error - 19.07.2010 19:07:09 | Computer Name = Admin-PC | Source = Google Update | ID = 20
Description =
 
Error - 19.07.2010 20:07:11 | Computer Name = Admin-PC | Source = Google Update | ID = 20
Description =
 
Error - 19.07.2010 21:07:54 | Computer Name = Admin-PC | Source = System Restore | ID = 8210
Description =
 
Error - 20.07.2010 07:07:06 | Computer Name = Admin-PC | Source = Google Update | ID = 20
Description =
 
Error - 20.07.2010 08:07:06 | Computer Name = Admin-PC | Source = Google Update | ID = 20
Description =
 
Error - 20.07.2010 10:29:05 | Computer Name = Admin-PC | Source = System Restore | ID = 8210
Description =
 
Error - 20.07.2010 12:07:06 | Computer Name = Admin-PC | Source = Google Update | ID = 20
Description =
 
Error - 20.07.2010 12:34:34 | Computer Name = Admin-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 20.07.2010 12:34:34 | Computer Name = Admin-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
[ System Events ]
Error - 20.07.2010 11:14:09 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:  %%1068
 
Error - 20.07.2010 11:14:09 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:  %%1068
 
Error - 20.07.2010 11:14:09 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:  %%1068
 
Error - 20.07.2010 11:14:09 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Heimnetzgruppen-Anbieter" ist vom Dienst "Funktionssuchanbieter-Host"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:  %%1068
 
Error - 20.07.2010 11:15:13 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:  %%1068
 
Error - 20.07.2010 11:15:13 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:  %%1068
 
Error - 20.07.2010 11:15:13 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:  %%1068
 
Error - 20.07.2010 11:15:13 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:  %%1068
 
Error - 20.07.2010 11:15:13 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:  %%1068
 
Error - 20.07.2010 11:15:13 | Computer Name = Admin-PC | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Computerbrowser" ist vom Dienst "Server" abhängig, der
 aufgrund folgenden Fehlers nicht gestartet wurde:  %%1068
 
 
< End of report >
--- --- ---

Könnt ihr mir sagen ob mein System jetzt bereinigt ist und mir eventuell noch meine Fragen aus den ersten Post beantworten?
Oder sollte ich besser die Systempartition löschen und Windows 7 neu aufsetzen.

Ich bedanke mich schon einmal im voraus.

cosinus 23.07.2010 17:39
Zitat:
Ich wollte meine Systempartition jetzt formatieren um diesen Virus wieder los zu werden aber wollte auch die Ursprungsdatei löschen die eventuell noch auf meinen Rechner sitzt bevor ich Windows neu aufsetze.

Wozu? :confused:
Wenn Du formatierst gehts alles weg, daher ist die vorherige manuelle Löschung bestenfalls überflüssig.

Zitat:
Kann sich der Antimalware Doctor auch über eine Fritzbox ausbreiten?
Nein.

Zitat:
3. Reicht es wenn ich die Windows Systempartitionen lösche, um den Virus los zu werden?
Normalerweise ja. Du solltest nur keine ausführbaren Dateien, die vom infizierten System verarbeitet wurden, mehr verwenden, gleich löschen.

Zitat:
Ich habe zwei, Windows 7 Ultimate 64bit und Windows XP 32 bit und eine Partition für alle meine Daten. Letztere wollte ich behalten und nicht formatieren.
Wenn Du Win7 neu installierst, sollte das Setup das bestehende WinXP erkennen und Du solltest auch nach der Neuinstallation WinXP starten können.
Zitat:
4. Wie kann es sein dass mir Kaspersky Internetsecurity 2010 nichts angezeigt hat?
Weil Virenscanner prinzipielle Schwächen haben und niemals alle Viren finden können! Neue bzw. bis zu eine Woche "alte" Schädlinge werden mit hoher Wahrscheinlichkeit nicht entdeckt.
Du musst selbst was für Deine Sicherheit tun und darfst Dich nicht blind in (Schein-)sicherheit wiegen, weil Virenscanner und Firewall ja aktiv sind.
Ganz nebenbei => Internet Security Pakete sind nonsens, warum steht hier => Editorial | c't
Zitat:

5. Was könnte dieser Antimalware Doctor anrichten?
Oder wofür ist er da?
Sammelt er Passwörter oder sonstiges?
Was der genau anrichtet wissen wohl nur die Autoren. In erster Linie sollen die "Kunden"/Opfer dieses Fakeprogramm kaufen. => http://www.trojaner-board.de/83172-a...entfernen.html

Zitat:
Habe als erstes im abgesicherten Modus Malwarebyte Antimalware installiert und die Suche gestartet. Danach habe ich alles gefundene löschen lassen.
Und warum postest Du das Malwarebytes-Logfile nicht?

AMDVictim 23.07.2010 19:16
Ich bin zuerst einmal froh eine Antwort bekommen zu haben und bedanke mich ganz herzlich.

Zitat:
Wozu?
Wenn Du formatierst gehts alles weg, daher ist die vorherige manuelle Löschung bestenfalls überflüssig.
Sry, musst mich für total blöde halten.
Ne, dass bei einer Formatierung alles gelöscht wird ist mir klar aber ich wollte nur meine Systempartitionen löschen und die Datenträgerpartition behalten da ich auf ihr Dateien sichern wollte.

Die manuelle Löschung habe ich durchgeführt da ich mein System noch nicht direkt formatieren wollte, da ich mitten in der Woche nicht so viel Zeit hatte.
Aber auch weil ich meine dritte Datenträgerpartition zuerst sauber haben wollte bevor ich Windows neu aufsetze.
Ich kenne mich mit Viren und wie sie funktionieren überhaupt nicht aus.
Ich habe auch von selbstausführenden Dateien gehört und ich habe Angst dass der Antimalware Doctor solche auf meine Datenträgerpartition gespeichert haben könnte. Kann das sein?

Ich habe gar nicht an den Malwarbyteslogfile gedacht. :)
Hier ist der Logfile:
Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4331

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

20.07.2010 18:01:52
mbam-log-2010-07-20 (18-01-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|I:\|)
Durchsuchte Objekte: 327255
Laufzeit: 37 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Admin\Desktop\Programme\Reconnecter\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
E:\DVD (Ordner für Files die gesichert werden sollen)\gif maker\Easy GIF animator 4.12.28\Patch.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{72B75D41-6227-49DA-B152-47B78256ED43}\RP35\A0007896.exe (Trojan.Patcher) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{72B75D41-6227-49DA-B152-47B78256ED43}\RP35\A0007907.exe (Trojan.WGAPatch) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{72B75D41-6227-49DA-B152-47B78256ED43}\RP35\A0007913.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{72B75D41-6227-49DA-B152-47B78256ED43}\RP35\A0007993.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\Dokumente und Einstellungen\Administrator\Desktop\Programme\Reconnecter\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
Zitat:
Wenn Du Win7 neu installierst, sollte das Setup das bestehende WinXP erkennen und Du solltest auch nach der Neuinstallation WinXP starten können.
Sry, habe mich doof ausgedrückt.
Ich meinte dass ich drei Partitionen habe.
Eine Partition Win7, eine Win XP (also zwei Systempartitionen) und eine dritte reine Datenträgerpartition.
http://s7.directupload.net/images/100723/57t4f3nb.png
Ich wollte jetzt wissen ob es reicht wenn ich nur die Win7 und die Win XP Partition lösche, die Partition zur Datensicherung aber behalten kann oder ob sich dort auch Viren eingenistet haben können.

Wollte, wenn ich Windows neu aufsetze nur noch Win7 installieren da ich Win XP gar nicht mehr benötige. Ich wollte die zwei jetzigen Systempartitionen dann zu einer Systempartition für Win7 zusammenfassen.

Zitat:
Normalerweise ja. Du solltest nur keine ausführbaren Dateien, die vom infizierten System verarbeitet wurden, mehr verwenden, gleich löschen
Das verstehe ich nicht ganz. Wie will ich herausfinden welche EXE's von den Virus bearbeitet wurden?
Was meinst du damit? Meinst du dass ich jetzt alle Exe-Dateien löschen muss um sicher zu gehen dass ich den Virus nicht mehr aufn Rechner habe? :heulen:
Ich habe ne ganze Menge ausführende Dateien auf meinen Rechner, die ich eigentlich auf der dritten Partition sichern wollte. Wenn du aber sagst dass sie sicherheitshalber gelöscht werden müssen, werde ich es direkt tun.

Zitat:
Was der genau anrichtet wissen wohl nur die Autoren. In erster Linie sollen die "Kunden"/Opfer dieses Fakeprogramm kaufen. => Antimalware Doctor entfernen
Das machen dann wahrscheinlich nur totale PC-Noobs, wie alte Leute. :D

Könntest du noch einmal auf Frage 1 eingehen, das ist einer meiner brennensten Fragen.

Meine Mutter hat in ihrer Arbeit mal einen PC-Spezialisten gefragt wie man den Antimalware Doctor bekommt, der hatte gesagt dass man ihn selbststädig installieren muss und einwilligen muss das Fakeprogramm zu installieren.
Das kann aber wirklich nicht sein, denn wenn ich eine solche Meldung bekommen hätte dann hätte ich bestimmt nicht eingewilligt, mein kleiner Bruder auch nicht.
Ich habe die erste Meldung bekommen als ich am Surfen war, nach kurzer Zeit habe ich das Java-icon im Tray gesehen und kurz danach kam die Meldung von diesen Fakeprogramm dass ich Viren aufn Rechner habe.

Danach habe ich ne Meldung von der Win7-Benutzerkontosteuerung bekommen die mich gefragt hat ob ich Änderungen am System machen will, da habe ich natürlich direkt nein gedrückt und habe den Lanstecker gezogen. (Was das Programm aber nicht daran gehindert hat etwas zu installieren, denn kurz danach erschien aufn Deskop eine Antimalware Doctor-Verknüpfung)
Das erste was ich gemacht habe ist den PC neuzustarten, dann habe ich wieder ne Meldung von den Programm bekommen. Mir ist dann natürlich eingefallen dass ich vergessen habe die Windowsstartprogramme zu überprüfen, dort waren zwei Programme mit Namen aus willkürlichen Zahlen und Buchstabenabfolgen. Dort habe ich dann die Häkchen herausgenommen und habe den PC neugestartet.
Dann habe ich das System um einige Tage zurückgesetzt, was aber nicht ganz funktionierte. (Die Meldung ist ja oben im zweiten Post zu lesen)
Der Antimalware Doctor war dann aber nicht mehr unter Software zu erkennen und dann habe ich mit der Bereinigung des Rechners begonnen.

Kann man den Malwaredoctor nicht über ein Javaupdate bekommen?
Oder ist das Programm nur in anderen Installs integriert, die man vorher heruntergeladen hat?

Der Arbeitskollege von meiner Mutter meinte auch dass man dieses Fakeprogramm nur durch ein neuaufsetzen des System wieder wegbekommt. Ist das war?

cosinus 23.07.2010 19:28
Zitat:
E:\DVD (Ordner für Files die gesichert werden sollen)\gif maker\Easy GIF animator 4.12.28\Patch.exe
zuerst mal: Was genau soll das sein? Was ist eine patch.exe in einem Programm?

AMDVictim 23.07.2010 19:31
Zitat:
Zitat von cosinus (Beitrag 545416)
zuerst mal: Was genau soll das sein? Was ist eine patch.exe in einem Programm?
Verdammt.
Das ist eine Exe die das Programm patched damit es eine Vollversion wird.
Ich hoffe dass ich jetzt trotzdem Hilfe bekomme. *schäm*
Das wird aber nichts gewesen sein da ich die Exe schon kannte und sie ungefährlich ist.

cosinus 23.07.2010 19:35
Zitat:
Verdammt.
Das ist eine Exe die das Programm patched damit es eine Vollversion wird.
Ich hoffe dass ich jetzt trotzdem Hilfe bekomme. *schäm*
Das wird aber nichts gewesen sein da ich die Exe schon kannte und sie ungefährlich ist.
War mir schon klar, dass das was Illegales ist :pfui:
Da Du eh formatieren willst, kann ich Dir aber Deine Fragen beantworten, nur bereinigt wird dieses System wie es so jetzt ist nicht mehr!


Auf Deine Fragen geh gleich genauer ein.

AMDVictim 23.07.2010 19:42
Kann es sein, dass das Programm schon länger auf meine Rechner war, ich aber nach nen paar Tagen erst ne Meldung von den Programm bekommen habe?
Zitat:
Da Du eh formatieren willst, kann ich Dir aber Deine Fragen beantworten, nur bereinigt wird dieses System wie es so jetzt ist nicht mehr!
Was meinst du genau damit?

Ich habe Post #4 noch einmal aktualisiert.

Kann es sein dass ich den Virus auch bekommen habe weil die Windowsfirewall aus war? Ich habe nämlich, wie gesagt Kaspersky Inetsecurity und dort ist ja ne Firewall mit drinn.

Kann der Virus eigentlich viel an meinen System geändert haben? Als die Nachricht von der Benutzerkontosteuerung kam habe ich schließlich nicht eingewilligt.

cosinus 23.07.2010 19:45
Zitat:
Die manuelle Löschung habe ich durchgeführt da ich mein System noch nicht direkt formatieren wollte, da ich mitten in der Woche nicht so viel Zeit hatte.
Ok, das klingt noch nachvollziehbar, dass man erst hier und da was löscht, damit man eingermaßen noch arbeiten kann, bis man richtig neu installiert - aber von konsequentem Handeln kann man da leider nicht reden.

Zitat:
Ich habe auch von selbstausführenden Dateien gehört und ich habe Angst dass der Antimalware Doctor solche auf meine Datenträgerpartition gespeichert haben könnte. Kann das sein?
Es gibt ausführbare Dateien und nicht ausführbare Dateien. "Selbst ausführend" gibt es nicht, auch wenn manchmal das bescheuerte Konzept von Windows diesen Eindruck vermittelt :lach:
(man denke da an die automatische Wiedergabe, die ja sooo praktisch ist :D )


Zitat:
Ich wollte jetzt wissen ob es reicht wenn ich nur die Win7 und die Win XP Partition lösche, die Partition zur Datensicherung aber behalten kann oder ob sich dort auch Viren eingenistet haben können.
ja, die kannst Du idR so belassen. Schädliche/Gefährliche Dateien sind normalerweise nur solche, die ausführbaren Code beinhalten. Durch die Neuinstallation der Betriebssysteme hast Du aber die aktiven Schädlinge entfernt. Normalweise ist auch das WindowsXP nicht infiziert, wenn "nur" Dein Win7 befallen wurde.


Zitat:
Wollte, wenn ich Windows neu aufsetze nur noch Win7 installieren da ich Win XP gar nicht mehr benötige. Ich wollte die zwei jetzigen Systempartitionen dann zu einer Systempartition für Win7 zusammenfassen.
Ok, das geht natürlich problemlos.
Für den Fall der Fälle solltest Du aber etwaige wichtige Daten auf der Datenpartition aber noch extern sichern. Man kann schnell mal versehentliche die falsche Partition löschen und dann haste den Salat.

Zitat:
1. Kann es auch sein dass der Antimalware Doctor durch Java auf meinen Rechner gekommen ist? Ich habe gestern, als ich Meldungen von diesen Antimalware Doctor bekommen habe nichts heruntergeladen und kurz vor den Meldungen habe ich das Javazeichen im Tray gesehen.

=> E:\DVD (Ordner für Files die gesichert werden sollen)\gif maker\Easy GIF animator 4.12.28\Patch.exe
Verbreitet wird Antimalware Doctor über 'dubiose Seiten', Cracks, KeyGen und Warez.
Noch Fragen? :rolleyes: :D

Zitat:
Das kann aber wirklich nicht sein, denn wenn ich eine solche Meldung bekommen hätte dann hätte ich bestimmt nicht eingewilligt, mein kleiner Bruder auch nicht.
Dann hast Du selbst Schuld oder hat Deine Omama den "Patch" installiert? :D

Zitat:
Kann man den Malwaredoctor nicht über ein Javaupdate bekommen?
Ich weiß nicht warum Du Dich so sehr auf Java-Updates fixierst oder sollte das ein Ablenkungsmanöver vom Crack sein :balla: :pfui:
Es kommt drauf an, von wo Du das Update herbekommen hast, die Autoupdatefunktion, sofern sie nicht manipuliert wurde, wird Dir garantiert keinen Fakescanner unterschieben!! :kloppen:

AMDVictim 23.07.2010 20:19
Zitat:
Dann hast Du selbst Schuld oder hat Deine Omama den "Patch" installiert?
Der Patch des GiF-Makers kann eigentlich nichts damit zutun haben da ich diesen auf den neuen Win7 System gar nicht ausgeführt hatte und ich den nur auf ein anderes System, dass nicht infiziert war, ausgeführt habe.

Ich habe an den besagten Tag, an dem ich die Virusmeldung bekommen habe nichts heruntergeladen und auch nichts installiert.

Zitat:
Ich weiß nicht warum Du Dich so sehr auf Java-Updates fixierst oder sollte das ein Ablenkungsmanöver vom Crack sein :balla: :pfui:
Nein, das soll kein Ablenkungsmanöver sein. Ich möchte nur wissen woher ich diesen Virus bekommen habe. Ich habe auch gesagt dass das Java-Icon, kurz bevor die Meldung vom AMD kam, im Tray war. ich dachte mir nur dass das kein Zufall sein muss. Ich habe auch schon von Viren gelesen die sich über Javaupdate aufn Rechner einnisten und deshalb ist das wirklich eine ernstgemeinte Frage.

Hier noch eine Frage aus einen vorherigen Post:
Der Arbeitskollege von meiner Mutter meinte auch dass man dieses Fakeprogramm nur durch ein Neuaufsetzen des System wieder wegbekommt. Ist das war?

Ich habe im Post #8 noch ein paar Fragen, kannst du mir diese auch noch beantworten?

Kannst du mir das mit den Exe-Dateien auch mal erklären?
Das beunruigt mich jetzt ziemlich.

Danke für die Antworten bisher.

cosinus 23.07.2010 20:34
Zitat:
Der Patch des GiF-Makers kann eigentlich nichts damit zutun haben da ich diesen auf den neuen Win7 System gar nicht ausgeführt hatte und ich den nur auf ein anderes System, dass nicht infiziert war, ausgeführt habe.
Das wäre durchaus möglich, dennoch ist es allgemein hin bekannt, dass Warez, Crackz und Keygenz im Wesentlichen auch sazu dienen, Schadcode auf die "Kunden" PCs zu schleusen. Das ist dubiose/illegale Software, die man niemals ausführen sollte!

Zitat:
Der Arbeitskollege von meiner Mutter meinte auch dass man dieses Fakeprogramm nur durch ein Neuaufsetzen des System wieder wegbekommt. Ist das war?
Er hat durchaus recht mit der Aussage, denn ein völlig vertrauenswürdiges System hat man nach einer Bereinigung nicht, das hat man nur nach format c: plus Neuinstallation des OS

Zitat:
Kann es sein, dass das Programm schon länger auf meine Rechner war, ich aber nach nen paar Tagen erst ne Meldung von den Programm bekommen habe?
Welches Programm? Antimalwaredoctor? Und was genau bringt das, selbst wenn man es klären könnte? :confused:
Ich weiß nicht genau wie Antimalwaredoctor gestrickt ist, aber eigentlich soll das Tool möglichst schnell den potentiellen Kunden die Fakemeldungen zeigen.


Zitat:
Kann es sein dass ich den Virus auch bekommen habe weil die Windowsfirewall aus war? Ich habe nämlich, wie gesagt Kaspersky Inetsecurity und dort ist ja ne Firewall mit drinn.
Wieso installierst Du Dir Dir KIS und hast anschließend sogar noch Angst, dass die Windows-Firewall aus ist? Wenn Du da schon vorher Zweifel hast, warum benutzt Du das Tool?
Nicht dass KIS was für den Antimalware-Doctor könnte, den hast zweifelsfrei Du oder einer der Mitbenutzer installiert... :rolleyes:
Aber abgesehen davon solltest Du von sowas wie "Internet Security" lieber die Finger lassen => Editorial | c't

Zitat:
Kann der Virus eigentlich viel an meinen System geändert haben? Als die Nachricht von der Benutzerkontosteuerung kam habe ich schließlich nicht eingewilligt.
Du musst bei jedem Befall von einem Worst-Case ausgehen, d.h. es kann alles verändert worden sein und jedes Passwort ist bekannt. Dementsprechende Maßnahmen musst Du einleiten. Da dank des Cracks hier nicht mehr bereinigt wird...ach Du kennst die Antwort! :rolleyes:

AMDVictim 23.07.2010 21:00
Ich habe jetzt zur Übersicht, für dich, alles nummeriert aber auch weil es dann für mich selbst übersichtlicher ist. :)

Zitat:
Da Du eh formatieren willst, kann ich Dir aber Deine Fragen beantworten, nur bereinigt wird dieses System wie es so jetzt ist nicht mehr!
Was hast du damit gemeint?

1. Ich möchte nur mal wissen ob es theoretisch möglich ist dass sich der Antimalwaredoctor nur durch den Besuch auf einer Seite auf einen Rechner einnisten kann.

2. Was kann ich in Zukunft tun damit ich mir nicht schon wieder schlimme Viren einfangen kann?

3. Wenn ich ein Benutzerkonto einrichte auf den man keine Software installieren kann, kann man auf diesen Benutzerkonto noch schlimme Viren durch den Besuch von iwie Seiten bekommen?
Ich frage, da ich mir dachte dass man das Benutzerkonto mit weniger Rechten dann zum Surfen benutzen könnte ohne Angst zu haben dass ich meinen Rechner Viren infiziere.

4. Und wenn man solche Viren bekommt, bekommt man alle Viren wieder weg wenn man sein System zurücksetzt?

5. Wie kann ich mein System so einstellen dass es jeden Tag eine Systemsicherung erstellt?
Ich habe nämlich immer nur einen Wiederherstellungspunkt.
Bei Windows XP hatte ich für jeden Tag einen und konnte mein System auf den Stand des Vormonats zurücksetzen.

6. Wenn es so gemeint ist wie ichs verstanden habe und der Antimalware Doctor sich in andere EXE-Dateien einnistet, kann es das auch bei EXE-Dateien die in Winrararchiven verpackt sind? Können auch Iso-Dateien (Image-Dateien) von Malwaredoctor befallen werden?

7. Du meintest dass es keine selbstausführenden Dateien gibt.
Also müsste es doch auch keine Dateien die nur durch's Herunterladen den PC befallen können oder? Man muss doch erst eine Datei ausführen bevor sie den PC infiziert oder?

8. Wie funktionieren denn Viren die den PC nur durch den Besuch von Seite infizieren?

9. Was mich auch noch interessiert ist ob es Viren in Emails gibt die einen nur durchs öffnen infizieren. (also ohne den Anhang zu öffnen)
Da kann ich mir auch nicht erklären wie soetwas funktionieren soll.

10. Kann ich iwie die Datei ausfindig machen die meinen Rechner infiziert hat?

11.
Zitat:
Welches Programm? Antimalwaredoctor? Und was genau bringt das, selbst wenn man es klären könnte?
Ich weiß nicht genau wie Antimalwaredoctor gestrickt ist, aber eigentlich soll das Tool möglichst schnell den potentiellen Kunden die Fakemeldungen zeigen
Wenn ich das wüsste, dann wüsste ich dass der Virus auf jeden Fall nicht durch eine EXE-Datei auf meinen Rechner gelangt ist, da ich an diesen Tag nichts gedownloaded habe.
Ich dachte mir dass wenn der Virus sich erst später zeigt, dass er dann schlechter zurück zu verfolgen ist und man so nicht herausfinden kann woher man den Virus bekommen hat.

12. Was zeigen denn meine Logs?

13. Was kannst du mir für Tipps geben um mein System sicherer zu machen?

14. Ratest du mir von Inetsecurities nur ab weil ich unnötig mehr Geld ausgebe oder weil sie die Windowsfirewall stören und so den PC unsicherer machen.

15. Können sich Viren die man innerhalb einer Sandbox oder einen Virtuellen Computer bekommt ausbreiten wenn man das Inet nur lokal für die Sandbox einschaltet?
Dann könnte man solche nämlich immer zum Surfen auf unbekannten Seiten nutzen, wenn ich über Google irgendetwas suche.
Und nein, ich suche keine Warez über Google, das wäre mir zu gefährlich.

16. Sollte ich alle meine Passwörter ändern?

17. Wie kann ich Programme deinstallieren ohne die Uninstalls der Programme selbst benutzen zu müssen.
Wenn man dies unter Software machen will, dann erscheint ja immer das Uninstall von den Programm selbst.
Wenn man unter Software, Virensoftware entfernen will dann kann ich mir vorstellen dass es dort nicht möglich ist da dann wieder das Uninstall des Viruses erscheint.

Danke für die Antworten.

cosinus 23.07.2010 21:51
Zitat:
Was hast du damit gemeint?
Damit meinte ich, dass wir Dein System nicht mehr weiter bereinigen.

Zitat:
1. Ich möchte nur mal wissen ob es theoretisch möglich ist dass sich der Antimalwaredoctor nur durch den Besuch auf einer Seite auf einen Rechner einnisten kann.
ja das ist möglich wenn Du das gelesen hättest => Verbreitet wird Antimalware Doctor über 'dubiose Seiten', Cracks, KeyGen und Warez. Da müssen aber auch bestimmte Grundvoraussetzungen greifen, zB man surft mit Adminrechten und/oder verwundbarem Browser sowie Plugins (Flash, Java,...)

Zitat:
2. Was kann ich in Zukunft tun damit ich mir nicht schon wieder schlimme Viren einfangen kann?
Malte J. Wetz : De - Kompromittierung Unvermeidbar browse

Zitat:
3. (...)Ich frage, da ich mir dachte dass man das Benutzerkonto mit weniger Rechten dann zum Surfen benutzen könnte ohne Angst zu haben dass ich meinen Rechner Viren infiziere.
Das Risiko ist deswegen weitaus geringer, weil nicht gleich das ganze System infiziert wird und die meisten Schadfunktionen gleich ins Leere greifen!

Zitat:
4. Und wenn man solche Viren bekommt, bekommt man alle Viren wieder weg wenn man sein System zurücksetzt?
Wenn Du format c: meinst: ja!

Zitat:
5. Wie kann ich mein System so einstellen dass es jeden Tag eine Systemsicherung erstellt?
Du möchstest bitte Google bemühen oder eine Backupsoftware legal erwerben und die Anleitung lesen!

Zitat:
6. Wenn es so gemeint ist wie ichs verstanden habe und der Antimalware Doctor sich in andere EXE-Dateien einnistet, kann es das auch bei EXE-Dateien die in Winrararchiven verpackt sind? Können auch Iso-Dateien (Image-Dateien) von Malwaredoctor befallen werden?
Unwahrscheinlich aber nicht unmöglich. Natürlich können auch EXE Dateien in Archiven Schadcode enthalten...

Lies bitte erstmal o.g. Artikel bevor man hier wieder das Rad das 2. Mal erfindet.

AMDVictim 23.07.2010 22:05
Ich weiß, es sind viele Fragen, aber kannst du mir nach und nach noch meine restlichen Fragen aus Post #12 beantworten?

Bisher top, für die ganzen Anworten. Ich bedanke mich noch einmal. :daumenhoc

Zitat:
Unwahrscheinlich aber nicht unmöglich. Natürlich können auch EXE Dateien in Archiven Schadcode enthalten...
Ne, so habe ich das nicht gemeint.
Ich meinte ob der Antimalware Doctor EXE-Dateien befällt die vorher Schadcodefrei waren.
Ich frage wegen diesen Satz von dir:
Zitat:
Normalerweise ja. Du solltest nur keine ausführbaren Dateien, die vom infizierten System verarbeitet wurden, mehr verwenden, gleich löschen
Ich weiß nämlich nicht genau ob ich das richtig verstanden habe.
Soll ich jetzt alle meine EXE-Dateien auf meinen Rechner löschen, von denen ich weiß, dass sie bevor ich mein Rechner mit den Antimalware Doctor infiziert wurde Schadcodefrei waren?

Zitat:
Das Risiko ist deswegen weitaus geringer, weil nicht gleich das ganze System infiziert wird und die meisten Schadfunktionen gleich ins Leere greifen
Wenn man doch nichts mehr am System verändern kann, was kann denn dann noch ein Virus machen?

Noch eine Frage.
Kann mein MP3-Player von den Antimalware Doctor infiziert wurden sein als ich ihn eingesteckt habe als der Rechner mit den AMD infiziert war?
Ich habe nämlich alle Programm zur Desinfizierung des infizierten PC's auf einen anderen Rechner heruntergeladen und auf einen MP3-Player gezogen um über diesen dann die Dateien auf den infizierten Rechner zu kopieren.

cosinus 24.07.2010 00:27
Fortsetzung:

Zitat:
7. Du meintest dass es keine selbstausführenden Dateien gibt.
Also müsste es doch auch keine Dateien die nur durch's Herunterladen den PC befallen können oder? Man muss doch erst eine Datei ausführen bevor sie den PC infiziert oder?
Es gibt ja auch Sicherheitslücken in Software, die dazu führen, dass Schädlinge automatisch ausgeführt werden können.

Zitat:
8. Wie funktionieren denn Viren die den PC nur durch den Besuch von Seite infizieren?
Wie oben erwähnt nutzen sie Sicherheitlücken in veralteter Software. Das sind dann aber keine "Viren", sondern Exploits, die widerum verschiedene Sachen machen können, je nach Schweregrad der Lücke und anderen Umständen Ein Szenario: sie starten ein beliebiges Programm (Schadprogramm, mit vollen Rechten), dass zuvor extra heruntergeladen wurde.


Zitat:
9. Was mich auch noch interessiert ist ob es Viren in Emails gibt die einen nur durchs öffnen infizieren. (also ohne den Anhang zu öffnen)
Da kann ich mir auch nicht erklären wie soetwas funktionieren soll.
Ja gab es zumindest. Manche Mails hatten speziellen HTML-Code, der den IE "angriff" (d.h. Schwachstellen ausnutzte) und Mailprogramme wie Outlook Express nutzen zur Darstellung nunmal den IE.

Zitat:
10. Kann ich iwie die Datei ausfindig machen die meinen Rechner infiziert hat?
Nur mit aufwändigen Analysen ala Malwarebytes, manuelles Durchschauen von OTL/GMER/OSAM usw Logfiles. Ob Du es genau an einer Datei ausmachen kannst wage ich aber sehr stark zu bezweifeln - wenn die Infektion erstmal da ist wird so viel im System verändert und nachgeladen, dass Du garnicht genau eine Datei als Ursache benennen kannst (außer Deinen Crack vllt ;) )

Zitat:
Wenn ich das wüsste, dann wüsste ich dass der Virus auf jeden Fall nicht durch eine EXE-Datei auf meinen Rechner gelangt ist, da ich an diesen Tag nichts gedownloaded habe.
Ich dachte mir dass wenn der Virus sich erst später zeigt, dass er dann schlechter zurück zu verfolgen ist und man so nicht herausfinden kann woher man den Virus bekommen hat.
Du weißt doch schon längst was Du falsch gemacht hast! Den Crack ausgeführt!
Wenn Du Dir sicher bist, dass es nicht daher kommt, warum bist Du Dir da so sicher?
Wenn Du ständig mit adminrechten herumsurfst ist das schon ein nicht zu verantwortendes Risiko. Ist dann noch nicht die kritische Software wie Java, AdobeReader, Flashplayer und Browser nicht aktuell ist eine Infektion vorprogrammiert! Letztenendes kannst Du also garnicht genau sagen durch was genau die Infektion herkam, man kann aber einige mögliche und wahrscheinliche Ursachen nennen!

Zitat:
12. Was zeigen denn meine Logs?
Die analysier ich nicht mehr wg des Cracks! Du sollst formatieren! :kloppen:

Zitat:
13. Was kannst du mir für Tipps geben um mein System sicherer zu machen?
Lies den Link zum Artikel "Kompromittierung unvermeidbar?"

Zitat:
14. Ratest du mir von Inetsecurities nur ab weil ich unnötig mehr Geld ausgebe oder weil sie die Windowsfirewall stören und so den PC unsicherer machen.
Siehe c't Editorial "Die Vertrauensbrecher" (hab ich auch längst gepostet!)

Zitat:
15. Können sich Viren die man innerhalb einer Sandbox oder einen Virtuellen Computer bekommt ausbreiten wenn man das Inet nur lokal für die Sandbox einschaltet?
Dann könnte man solche nämlich immer zum Surfen auf unbekannten Seiten nutzen, wenn ich über Google irgendetwas suche.
Und nein, ich suche keine Warez über Google, das wäre mir zu gefährlich.
Über eine Sandbox bzw. VM ist es schon sehr sicher. Damit was durchsickert müsste ein Schädling aus der VM/Sandbox ausbrechen.
Das Einsetzen einer VM/Sandbox macht aber das grundsätzliche Einhalten der zB von Malte J. Wetz genannten Maßnahmen keinesfalls überflüssig, denn man muss sich konsequent an allen Maßnahmen gleichzeitig halten!

Zitat:
16 . Sollte ich alle meine Passwörter ändern?
Ja, ist keine Schlechte Idee, hab ich aber auch geschrieben. Du solltest mal auch das aufmerksamer lesen was ich geschrieben habe, dann müsste ich mich nicht so häufig wiederholen!

Zitat:
17. Wie kann ich Programme deinstallieren ohne die Uninstalls der Programme selbst benutzen zu müssen.
Wenn Du formatiert hast, sind so erstmal keine Programme mehr installiert :D


Zitat:
Ich meinte ob der Antimalware Doctor EXE-Dateien befällt die vorher Schadcodefrei waren.
Soll ich jetzt alle meine EXE-Dateien auf meinen Rechner löschen, von denen ich weiß, dass sie bevor ich mein Rechner mit den Antimalware Doctor infiziert wurde Schadcodefrei waren?
Von dem ist soweit nichts bekannt, dass er EXE Dateien befällt, aber Du solltest doch richtig formatieren?! Wenn ja, schmeißt man auch alle potentiell gefährlichen EXE weg oder liebst Du das Risiko?
Was sind denn das für unersetzbare EXE Dateien die Du da hast?

Zitat:
Wenn man doch nichts mehr am System verändern kann, was kann denn dann noch ein Virus machen?
Am System (Systemverzeichnisse (Windows-Ordner, bestimmte Registrybereiche etc) so erstmal garnichts, es sei denn er kann privilege escalation. Davon geh ich jetzt aber nicht von aus. Ansonsten kann ein Schädling prinzipiell auch das verändern, wo der Benutzer, der den Schädling ausführte, Schreibzugriff drauf hat.

Zitat:
Kann mein MP3-Player von den Antimalware Doctor infiziert wurden sein als ich ihn eingesteckt habe als der Rechner mit den AMD infiziert war?
Dazu müsste die Autorun-Funktion missbraucht werden. Schalt die automatische Wiedergabe auf allen Laufwerken ab und behandel alle infizierten USB-Sticks etc mit dem FlashDisinfector.

AFAIK befällt der Antimalwaredoctor aber keine externen Laufwerke.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:51 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19