Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Security Essentials 2010 lässt sich nicht entfernen, rkill funktioniert nicht (https://www.trojaner-board.de/91157-security-essentials-2010-laesst-entfernen-rkill-funktioniert.html)

m0nKeY 26.09.2010 14:18
Security Essentials 2010 lässt sich nicht entfernen, rkill funktioniert nicht
 
Hi,
erstmal wollte ich sagen, dass dieses Forum echt Klasse ist. Vor Allem weil hier so vielen Leuten so selbstlos geholfen wird.

Zu meinem Problem, ich habe hier den Rechner von einem Arbeitskollegen, der sich den Security Essentials 2010 Trojaner eingefangen hat. Hab auch schon ne Menge darüber im Netz und hier im Forum gelesen. Nur leider funktionieren die Anleitungen bei mir nicht da ich rkill nicht auf diesem Rechner ausführen kann. Das mag daran liegen das sich die Eingabeaufforderung, der Taskmanager und alle Browser sich nicht öffnen lassen.

Leider weiß ich nicht wie ich nun weiter vor gehen soll.

Grüße
m0nKeY

markusg 26.09.2010 14:21
kannst du im abgesicherten modus arbeiten?

m0nKeY 26.09.2010 14:34
Nein, also starten kann ich den schon, es besteht aber das selbe Problem. Weder rkill, noch die Eingabeaufforferung etc. lassen sich öffnen.

Mach jetzt gerade ein Scan mit der Avira Rescue CD, weil ich das in einem anderen Thread hier gelesen hab. Poste dann die log-Datei.

Gruß
m0nKeY

markusg 26.09.2010 14:53
nein, lieber hiermit weiter.
bitte lieber hiermit weiter:

download
http://filepony.de/download-otlpe/
• Wenn der Download fertig ist mache ein doppel Klick auf die Datei, was ISOBurner öffnet um es auf die CD zu brennen.
Active@ ISO Burner. Data CD DVD burning software. Write ISO image to CD,DVD,CD-RW,CDR,DVD-RW.
Starte dein System neu und boote von der CD die du gerade erstellt hast.
Wenn du nicht weist wie du deinen Computer dazu bringst von der CD zu booten,
dann folge diesen Schritten
How to Set BIOS to Boot from CDROM - www.hiren.info
• Dein System sollte jetzt einen REATOGO-X-PE Desktop anzeigen.
• Mache einen doppel Klick auf das OTLPE Icon.
• Wenn du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• entferne den haken bei "Automatically Load All Remaining Users" wenn er gesetzt ist.

• OTL sollte nun starten.
• Drücke Run Scan um den Scan zu starten.
• Wenn er fertig ist werden die Dateien in C:\otl.txt gesichert
• Kopiere diesen Ordner auf deinen USB-Stick wenn du keine Internetverbindung auf diesem System hast.
poste beide logs

m0nKeY 26.09.2010 15:53
Hi,
war schon zu spät, hatte einen Scan mit Avira schon fertig, hoffe das schadet nicht. Geholfen hat es jedenfalls nich. Hier der Log von Avira:

Code:
AntiVir / Linux Version 2.1.12-303
Copyright (c) 2008 by Avira GmbH.
All rights reserved.
VDF version: 7.10.12.29 created 24 Sep 2010
AntiVir license: 149995 for AntiVir Rescue System
checking the master boot record of drive 128
checking the master boot record of drive 129
error (2): cannot read record
checking the master boot record of drive 130
error (25): cannot read record
auto excluding /sys/ from scans (is a special fs)
auto excluding /proc from scans (is a special fs)
checking drive/path (list): /media/Devices/
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/download/svcnost.exe
 ALERT: [TR/Spy.70154.1] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/download/svcnost.exe <<< Is the Trojan horse TR/Spy.70154.1
 not removable
 file renamed.
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/download2/svcnost.exe
 ALERT: [TR/Spy.70154.1] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/download2/svcnost.exe <<< Is the Trojan horse TR/Spy.70154.1
 not removable
 file renamed.
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0
 ALERT: [JAVA/Agent.EX] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0 --> a0ee3d65141.class <<< Contains detection pattern of the Java virus JAVA/Agent.EX
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0
 ALERT: [JAVA/Agent.EY] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0 --> a4cb9b1a8a5.class <<< Contains detection pattern of the Java virus JAVA/Agent.EY
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0
 ALERT: [JAVA/Agent.EZ] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0 --> a66d578f084.class <<< Contains detection pattern of the Java virus JAVA/Agent.EZ
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0
 ALERT: [JAVA/Agent.FB] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0 --> aa79d1019d8.class <<< Contains detection pattern of the Java virus JAVA/Agent.FB
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0
 ALERT: [JAVA/Agent.FH] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0 --> ab16db71cdc.class <<< Contains detection pattern of the Java virus JAVA/Agent.FH
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0
 ALERT: [JAVA/Agent.FI] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0 --> ab5601d4848.class <<< Contains detection pattern of the Java virus JAVA/Agent.FI
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0
 ALERT: [JAVA/Agent.FJ] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0 --> ae28546890f.class <<< Contains detection pattern of the Java virus JAVA/Agent.FJ
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0
 ALERT: [JAVA/Agent.FK] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/1be8d139-35767ee0 --> af439f03798.class <<< Contains detection pattern of the Java virus JAVA/Agent.FK
 file renamed.
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807
 ALERT: [JAVA/Agent.EX] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807 --> a0ee3d65141.class <<< Contains detection pattern of the Java virus JAVA/Agent.EX
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807
 ALERT: [JAVA/Agent.EY] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807 --> a4cb9b1a8a5.class <<< Contains detection pattern of the Java virus JAVA/Agent.EY
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807
 ALERT: [JAVA/Agent.EZ] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807 --> a66d578f084.class <<< Contains detection pattern of the Java virus JAVA/Agent.EZ
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807
 ALERT: [JAVA/Agent.FB] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807 --> aa79d1019d8.class <<< Contains detection pattern of the Java virus JAVA/Agent.FB
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807
 ALERT: [JAVA/Agent.FH] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807 --> ab16db71cdc.class <<< Contains detection pattern of the Java virus JAVA/Agent.FH
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807
 ALERT: [JAVA/Agent.FI] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807 --> ab5601d4848.class <<< Contains detection pattern of the Java virus JAVA/Agent.FI
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807
 ALERT: [JAVA/Agent.FJ] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807 --> ae28546890f.class <<< Contains detection pattern of the Java virus JAVA/Agent.FJ
/media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807
 ALERT: [JAVA/Agent.FK] /media/Devices/hda1/Dokumente und Einstellungen/***/Anwendungsdaten/Sun/Java/Deployment/cache/6.0/57/5aa4def9-622f5807 --> af439f03798.class <<< Contains detection pattern of the Java virus JAVA/Agent.FK
 file renamed.
/media/Devices/hda1/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp/tmp01011101101010
 ALERT: [TR/Spy.70154.1] /media/Devices/hda1/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp/tmp01011101101010 <<< Is the Trojan horse TR/Spy.70154.1
 not removable
 file renamed.
/media/Devices/hda1/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp/plugtmp-60/plugin-6a4KpLSR8HxoZ6pL9IX9X2AcLsc9mbXi
 ALERT: [EXP/Pdfka.CM] /media/Devices/hda1/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp/plugtmp-60/plugin-6a4KpLSR8HxoZ6pL9IX9X2AcLsc9mbXi <<< Contains detection pattern of the exploits EXP/Pdfka.CM
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP197/A0018436.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP197/A0018436.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP198/A0018475.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP198/A0018475.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP198/A0018495.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP198/A0018495.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP198/A0018525.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP198/A0018525.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP199/A0018601.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP199/A0018601.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP199/A0018605.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP199/A0018605.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018615.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018615.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018619.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018619.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018631.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018631.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018637.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018637.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018643.dll
 ALERT: [TR/PSW.Papras.C] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018643.dll <<< Is the Trojan horse TR/PSW.Papras.C
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018645.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018645.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018650.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018650.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018655.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018655.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018661.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018661.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018666.sys
 ALERT: [RKIT/39690.A] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018666.sys <<< Contains detection pattern of the rootkit RKIT/39690.A
 not removable
 file renamed.
/media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018670.sys
 ALERT: [TR/Rootkit.Gen3] /media/Devices/hda1/System Volume Information/_restore{2C79B53A-45FC-4135-B02B-BD9E0741E806}/RP200/A0018670.sys <<< Is the Trojan horse TR/Rootkit.Gen3
 not removable
 file renamed.
/media/Devices/hda1/WINXP/system32/scarhare.dll
 ALERT: [TR/Crypt.XPACK.Gen3] /media/Devices/hda1/WINXP/system32/scarhare.dll <<< Is the Trojan horse TR/Crypt.XPACK.Gen3
 not removable
 file renamed.
------ scan results ------
  directories:    4966
 scanned files:  158437
        alerts:      38
    suspicious:        0
      repaired:        0
      deleted:        0
      renamed:      24
  quarantined:        0
    scan time: 00:21:17
--------------------------
Thank you for using AntiVir.
Anschließend habe ich aber dann mit der OTLPE Disk einen Scan durchgeführt. Etwas verwirred ist, dass du sagt, dass OTLPE mehrere Logs erstell. Bei mir war es nur einer:

OTL Logfile:
Code:
OTL logfile created on: 9/26/2010 6:40:13 PM - Run
OTLPE by OldTimer - Version 3.1.42.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
958.00 Mb Total Physical Memory | 759.00 Mb Available Physical Memory | 79.00% Memory free
858.00 Mb Paging File | 770.00 Mb Available in Paging File | 90.00% Paging File free
Paging file location(s): C:\pagefile.sys 1440 2880 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 74.53 Gb Total Space | 59.35 Gb Free Space | 79.63% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive X: | 434.99 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO
Current User Name: SYSTEM
Logged in as Administrator.
 
Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled] -- C:\WINXP\System32\hidserv.dll -- (HidServ)
SRV - [2010/05/14 05:00:26 | 000,249,136 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe -- (SeaPort)
SRV - [2009/08/05 17:48:42 | 000,704,864 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Windows Live\Family Safety\fsssvc.exe -- (fsssvc)
SRV - [2009/07/21 08:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009/05/13 10:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2008/10/19 09:30:02 | 000,222,456 | ---- | M] () [Auto] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | Boot] -- C:\WINXP\System32\drivers\unmp.sys -- (xvhoj)
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- C:\Dokumente und Einstellungen\***\Via4in1.sys -- (Via4in1)
DRV - File not found [Kernel | System] -- C:\WINXP\System32\DRIVERS\tcpip.sys -- (Tcpip)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - File not found [Kernel | Boot] -- C:\WINXP\System32\drivers\ubha.sys -- (ajrgiwdp)
DRV - [2010/09/24 12:19:34 | 000,069,120 | ---- | M] () [Kernel | Boot] -- C:\WINXP\system32\drivers\oopuhnpkpjv.sys -- (khqlmxop)
DRV - [2009/12/10 05:41:17 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINXP\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009/08/05 17:48:42 | 000,054,752 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINXP\system32\drivers\fssfltr_tdi.sys -- (fssfltr)
DRV - [2009/05/11 04:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINXP\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/03/30 04:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINXP\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009/02/13 06:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/04/13 17:15:14 | 000,060,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\USBAUDIO.sys -- (usbaudio) USB-Audiotreiber (WDM)
DRV - [2006/11/28 17:46:24 | 000,028,224 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\PDNMp50.sys -- (PDNMp50)
DRV - [2006/11/28 17:46:22 | 000,027,072 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\PDNSp50.sys -- (PDNSp50)
DRV - [2006/06/26 21:42:14 | 003,972,672 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\alcxwdm.sys -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2006/05/18 05:59:00 | 000,463,168 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\ar5211.sys -- (AR5211)
DRV - [2005/01/14 06:22:00 | 000,005,504 | R--- | M] (EnE Technology Inc.) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\EKBfltr.sys -- (EKBfltr)
DRV - [2005/01/11 02:25:00 | 000,923,826 | ---- | M] (Motorola Inc.) [Kernel | On_Demand] -- C:\WINXP\system32\drivers\smserial.sys -- (smserial)
DRV - [2003/07/01 17:42:00 | 000,027,904 | R--- | M] (VIA Technologies, Inc.) [Kernel | Boot] -- C:\WINXP\system32\drivers\VIAAGP1.SYS -- (viaagp1)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://alice.aol.de
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://alice.aol.de
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\Reza_Parsa_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKU\Reza_Parsa_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
IE - HKU\Reza_Parsa_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\Reza_Parsa_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\Reza_Parsa_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = BA C4 5A B0 38 74 CA 01  [binary data]
IE - HKU\Reza_Parsa_ON_C\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKU\Reza_Parsa_ON_C\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\Reza_Parsa_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
IE - HKU\Reza_Parsa_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010/09/17 05:39:16 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010/09/17 05:39:16 | 000,000,000 | ---D | M]
 
[2010/09/22 15:32:37 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010/01/06 14:15:20 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2010/02/23 17:12:14 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2009/11/02 22:14:39 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009/11/02 22:14:39 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009/11/02 22:14:39 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009/11/02 22:14:39 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009/11/02 22:14:39 | 000,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008/04/14 07:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Search Helper) - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll (Microsoft Corporation)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (Windows Live Toolbar Helper) - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (ICQToolBar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll (ICQ)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\Reza_Parsa_ON_C\..\Toolbar\WebBrowser: (&Windows Live Toolbar) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll (Microsoft Corporation)
O3 - HKU\Reza_Parsa_ON_C\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [download] C:\Dokumente und Einstellungen\***\Anwendungsdaten\download2\svcnost.exe File not found
O4 - HKLM..\Run: [SMSERIAL] C:\WINXP\sm56hlpr.exe (Motorola Inc.)
O4 - HKLM..\Run: [SoundMan] C:\WINXP\soundman.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [VTTimer] C:\WINXP\System32\VTTimer.exe (S3 Graphics, Inc.)
O4 - HKLM..\Run: [VTTrayp] C:\WINXP\System32\VTTrayp.exe (S3 Graphics Co., Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Reza_Parsa_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\***\Desktop\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\***\Desktop\ICQ6.5\ICQ.exe (ICQ, LLC.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Programme\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - HKU\Reza_Parsa_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\***\Anwendungsdaten\hotfix.exe) - C:\Dokumente und Einstellungen\***\Anwendungsdaten\hotfix.exe ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/12/03 12:14:59 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: compethc - (C:\WINXP\schtrate.dll) - C:\WINXP\schtrate.dll File not found
O36 - AppCertDlls: compsmgr - (C:\WINXP\system32\scarhare.dll) - C:\WINXP\System32\scarhare.dll File not found
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2010/09/24 12:54:51 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
[2010/09/24 12:54:51 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo
[2010/09/24 12:54:51 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü
[2010/09/24 12:54:51 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2010/09/24 12:54:51 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
[2010/09/24 12:54:51 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
[2010/09/24 12:54:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Desktop\Reza
[2010/09/24 12:54:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten
[2010/09/24 12:54:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop
[2010/09/24 11:06:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2010/09/24 10:06:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
[2010/09/24 10:06:04 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2010/09/24 10:06:00 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[2010/09/24 10:06:00 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010/09/24 09:25:22 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2010/09/24 09:25:22 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
[2010/09/24 09:25:22 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache
[2010/09/24 09:25:22 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies
[2010/09/24 09:25:22 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen
[2010/09/24 09:25:22 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
[2010/09/24 09:23:16 | 000,000,000 | ---D | C] -- C:\WINXP\pss
[2010/09/23 13:01:05 | 000,000,000 | ---D | C] -- C:\WINXP\CSC
[2010/09/22 15:26:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\download
[2010/09/22 15:26:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\download2
[2010/09/14 05:35:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2010/09/26 11:08:11 | 000,221,184 | -H-- | M] () -- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[2010/09/26 11:08:11 | 000,221,184 | -H-- | M] () -- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[2010/09/26 11:08:07 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2010/09/26 11:08:05 | 000,000,006 | -H-- | M] () -- C:\WINXP\tasks\SA.DAT
[2010/09/26 11:08:04 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2010/09/26 11:08:03 | 003,932,160 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2010/09/26 11:07:57 | 003,239,432 | -H-- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010/09/26 11:07:21 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[2010/09/26 11:04:46 | 000,001,084 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineCore.job
[2010/09/24 13:01:00 | 000,000,236 | ---- | M] () -- C:\WINXP\tasks\Scheduled Update for Ask Toolbar.job
[2010/09/24 12:19:34 | 000,069,120 | ---- | M] () -- C:\WINXP\System32\drivers\oopuhnpkpjv.sys
[2010/09/24 11:54:08 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini
[2010/09/24 11:54:07 | 000,524,288 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT
[2010/09/24 11:54:03 | 002,656,656 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010/09/23 14:17:02 | 000,001,088 | ---- | M] () -- C:\WINXP\tasks\GoogleUpdateTaskMachineUA.job
[2010/09/23 10:02:27 | 000,000,552 | -H-- | M] () -- C:\WINXP\tasks\Norton Security Scan for ***.job
[2010/09/23 08:59:10 | 000,651,264 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\hotfix.exe
[2010/09/23 08:56:44 | 000,051,712 | -H-- | M] () -- C:\WINXP\System32\scarhare.dll.XXX
[2010/09/14 15:21:23 | 000,012,071 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Ahmad.odt
[2010/09/14 15:21:09 | 000,054,206 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Ahmad 100 euro.pdf
[2010/09/12 11:27:19 | 000,366,040 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Image.jpg
[2010/09/07 13:33:50 | 004,118,675 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\MOV01330.MP4
[2010/09/07 13:32:22 | 000,436,768 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\die Antwort.MP4
[2010/09/07 13:31:04 | 002,937,742 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Die Bierfrage.MP4
[2010/09/06 04:54:02 | 000,914,966 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\DSC01326.JPG
[2010/09/03 14:49:16 | 001,768,647 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\MOV01316.MP4
[2010/09/03 14:48:20 | 000,435,758 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Foto0004.jpg
[2010/09/03 08:15:08 | 000,867,560 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\DSC01311.JPG
[2010/08/29 17:04:14 | 000,057,022 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\neu ahmad.pdf
[2010/08/29 13:11:31 | 000,047,195 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\finkabayano.jpg
[2010/08/28 11:29:32 | 000,586,729 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\DSC02932.JPG
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2010/09/24 09:25:25 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.ini
[2010/09/24 09:25:23 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
[2010/09/24 09:25:21 | 000,524,288 | -H-- | C] () -- C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT
[2010/09/23 08:58:16 | 000,651,264 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\hotfix.exe
[2010/09/23 08:56:44 | 000,051,712 | -H-- | C] () -- C:\WINXP\System32\scarhare.dll.XXX
[2010/09/16 15:20:32 | 000,069,120 | ---- | C] () -- C:\WINXP\System32\drivers\oopuhnpkpjv.sys
[2010/09/14 15:21:08 | 000,054,206 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Ahmad 100 euro.pdf
[2010/09/12 11:27:15 | 000,366,040 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Image.jpg
[2010/09/08 17:04:22 | 002,937,742 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Die Bierfrage.MP4
[2010/09/08 17:03:36 | 001,768,647 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\MOV01316.MP4
[2010/09/08 17:02:26 | 000,436,768 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\die Antwort.MP4
[2010/09/08 17:02:03 | 004,118,675 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\MOV01330.MP4
[2010/09/08 16:57:38 | 000,914,966 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\DSC01326.JPG
[2010/09/08 16:57:17 | 000,867,560 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\DSC01311.JPG
[2010/09/04 06:27:21 | 000,435,758 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\Foto0004.jpg
[2010/08/29 17:04:13 | 000,057,022 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\neu ahmad.pdf
[2010/08/29 13:11:29 | 000,047,195 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\finkabayano.jpg
[2010/08/28 11:29:23 | 000,586,729 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Eigene Dateien\DSC02932.JPG
[2009/12/03 19:24:38 | 000,112,640 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/12/03 14:26:59 | 000,000,111 | ---- | C] () -- C:\WINXP\telephon.ini
[2009/12/03 12:54:17 | 000,061,440 | ---- | C] () -- C:\WINXP\System32\vuins32.dll
[2009/12/03 12:45:24 | 000,065,536 | ---- | C] () -- C:\WINXP\sm56spn.dll
[2009/12/03 12:45:24 | 000,065,536 | ---- | C] () -- C:\WINXP\sm56itl.dll
[2009/12/03 12:45:24 | 000,049,152 | ---- | C] () -- C:\WINXP\sm56jpn.dll
[2009/12/03 12:45:23 | 000,065,536 | ---- | C] () -- C:\WINXP\sm56ger.dll
[2009/12/03 12:45:23 | 000,065,536 | ---- | C] () -- C:\WINXP\sm56fra.dll
[2009/12/03 12:45:23 | 000,065,536 | ---- | C] () -- C:\WINXP\sm56eng.dll
[2009/12/03 12:45:23 | 000,065,536 | ---- | C] () -- C:\WINXP\sm56brz.dll
[2009/12/03 12:45:23 | 000,045,056 | ---- | C] () -- C:\WINXP\sm56cht.dll
[2009/12/03 12:45:23 | 000,045,056 | ---- | C] () -- C:\WINXP\sm56chs.dll
[2009/12/03 12:44:08 | 000,143,360 | R--- | C] () -- C:\WINXP\System32\RtlCPAPI.dll
[2009/12/03 12:44:02 | 000,000,164 | R--- | C] () -- C:\WINXP\avrack.ini
[2009/12/03 12:21:56 | 000,421,888 | -H-- | C] () -- C:\Dokumente und Einstellungen\***\ntuser.dat.LOG
[2009/12/03 12:21:56 | 000,000,190 | -HS- | C] () -- C:\Dokumente und Einstellungen\***\ntuser.ini
[2009/12/03 12:21:55 | 003,932,160 | -H-- | C] () -- C:\Dokumente und Einstellungen\***\NTUSER.DAT
[2009/12/03 12:20:36 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\LocalService\ntuser.ini
[2009/12/03 12:20:35 | 000,221,184 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[2009/12/03 12:20:35 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[2009/12/03 12:20:01 | 000,000,020 | -HS- | C] () -- C:\Dokumente und Einstellungen\NetworkService\ntuser.ini
[2009/12/03 12:19:59 | 000,221,184 | -H-- | C] () -- C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[2009/12/03 12:19:59 | 000,008,192 | -H-- | C] () -- C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
 
========== LOP Check ==========
 
[2010/09/26 12:30:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\download
[2010/09/26 12:30:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\download2
[2010/01/06 14:00:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ICQ
[2009/12/03 14:55:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\MSNInstaller
[2009/12/03 13:25:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\OpenOffice.org
[2010/09/24 13:01:00 | 000,000,236 | ---- | M] () -- C:\WINXP\Tasks\Scheduled Update for Ask Toolbar.job
 
========== Purity Check ==========
 
 
< End of report >
--- --- ---
Grüße und Danke
m0nKeY

markusg 26.09.2010 16:20
auf deinem zeiten pc gehe auf start, programme zubehör editor, kopiere dort rein:

:OTL
O4 - HKLM..\Run: [download] C:\Dokumente und Einstellungen\***\Anwendungsdaten\download2\svcnost.exe File not found
O20 - HKU\Reza_Parsa_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\***\Anwendungsdaten\hotfix.exe) - C:\Dokumente und Einstellungen\***\Anwendungsdaten\hotfix.exe
()
O36 - AppCertDlls: compethc - (C:\WINXP\schtrate.dll) - C:\WINXP\schtrate.dll File not found
O36 - AppCertDlls: compsmgr - (C:\WINXP\system32\scarhare.dll) - C:\WINXP\System32\scarhare.dll File not found
:Files
C:\Dokumente und Einstellungen\***\Anwendungsdaten\hotfix.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits in meinem post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt auf deinem stick.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

m0nKeY 26.09.2010 16:41
Hi,
hier der das log File. Funktioniert auch Alles soweit wieder. Danke. Kann sein, dass ich es etwas eillig hatte und mehrmals auf den Fix Button gedrückt habe. Hier aber das angezeigte Log:

Code:
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\download not found.
Registry value HKEY_USERS\Reza_Parsa_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Reza Parsa\Anwendungsdaten\hotfix.exe deleted successfully.
File C:\Dokumente und Einstellungen\Reza Parsa\Anwendungsdaten\hotfix.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\AppCertDlls\\compethc:C:\WINXP\schtrate.dll deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\AppCertDlls\\compsmgr:C:\WINXP\system32\scarhare.dll deleted successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\Reza Parsa\Anwendungsdaten\hotfix.exe not found.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Reza Parsa
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 52417920 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 6400727 bytes
->Flash cache emptied: 85120 bytes
 
Total Flash Files Cleaned = 56.00 mb
 
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Reza Parsa
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 55913237 bytes
 
Total Files Cleaned = 53.00 mb
 
 
OTLPE by OldTimer - Version 3.1.42.0 log created on 09262010_193200
C:\Dokumente und Einstellungen\Reza Parsa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\2fe56cae-431b4573 deleted successfully.
C:\Dokumente und Einstellungen\Reza Parsa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\2fe56cae-431b4573.idx deleted successfully.
File delete failed. C:\Dokumente und Einstellungen\Reza Parsa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\759e98ee-74fa449c scheduled to be deleted on reboot.
File delete failed. C:\Dokumente und Einstellungen\Reza Parsa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\759e98ee-74fa449c.idx scheduled to be deleted on reboot.
File delete failed. C:\Dokumente und Einstellungen\Reza Parsa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-706642f6 scheduled to be deleted on reboot.
File delete failed. C:\Dokumente und Einstellungen\Reza Parsa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-706642f6.idx scheduled to be deleted on reboot.
->Java cache emptied: 1378376 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
Total Flash Files Cleaned = 55.00 mb
 
 
OTLPE by OldTimer - Version 3.1.42.0 log created on 09262010_193124

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Reza Parsa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\759e98ee-74fa449c not found!
File\Folder C:\Dokumente und Einstellungen\Reza Parsa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\759e98ee-74fa449c.idx not found!
File\Folder C:\Dokumente und Einstellungen\Reza Parsa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-706642f6 not found!
File\Folder C:\Dokumente und Einstellungen\Reza Parsa\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-706642f6.idx not found!

Registry entries deleted on Reboot...
Gruß
m0nKeY

markusg 26.09.2010 16:46
wunderbar.

rechtsklick avira schirm, guard deaktivieren, öffne arbeitsplatz, c: dort rechtsklick auf _OTL
und zu _OTL.zip oder rar hinzufügen, archiv geht an uns.
dateiupload:
http://www.trojaner-board.de/54791-a...ner-board.html
dann hiermit weiter:
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

m0nKeY 26.09.2010 17:27
Alles klar,
Datei ist hoch geladen und hier das log:

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26.09.2010 20:18:38
mbam-log-2010-09-26 (20-18-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 144049
Laufzeit: 29 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

markusg 26.09.2010 17:46
kannst du malwarebytes updaten und dann nen vollständigen scan machen?

m0nKeY 26.09.2010 18:20
Würde ich gerne. Nun da der Trojaner weg ist, geht auch Firefox wieder. Nur musste ich jetzt fest stellen das auch noch einige Probleme mit dem TCP/IP-Protokoll-Treibern von Windows vorliegt. Hab Sie jetzt deinstalliert, aber Sie installieren sihc nicht wie gehofft selbst wieder... :( Kann also noch etwas dauern.

markusg 26.09.2010 18:37
ok meld dich wenn du sie wieder instaliert hast


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27