Trojaner namens 'TR/Dldr.Java.Agent.AH.1'

#0
29.01.2010, 17:22
...neu hier

Beiträge: 5
#1 Hi Leutz, gestern hat sich an dem Rechner meiner Mutter eine AntiVir Virus Meldung geöffnet, und als Aktion wurde dieser in Quarantäne gesetzt.

Trojaner namens 'TR/Dldr.Java.Agent.AH.1'

Die Datei wurde im Verzeichnis: 'C:\Dokumente und Einstellungen\Simone\Lokale Einstellungen\Temp\jar_cache5394637274119279491.tmp' gefunden.

Ich habe schon Malwarebytes und Antivir Komplett Scanns durchlaufen lassen, in einem anderen Thread bei euch im Forum hatte jemand einen ähnlichen Trojaner, und ihm wurde gesagt das es sehr gefährlich mit Onlinebanking und so sei. Meine Mutter benutzt viel Online Banking, was kann ich machen? DerTrojaner ist wie gesagt in Quarantäne. Ich habe auch schon einige Scan`s im Abgesicherten Modus durchgeführt, ich hoffe ihr könnt mir helfen.

-Die Temporäre Dateien habe ich schon beseitigt.

-Malwarebyte Scan:

Zitat

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3657
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.01.2010 14:22:02
mbam-log-2010-01-29 (14-22-02).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 123778
Laufzeit: 3 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
-Gmer hatte nichts gefunden

-HiJackthis

Zitat

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 14:10:11, on 29.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\GMX\LiveUpdate\m2LUTray.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Brother\ControlCenter3\brccMCtl.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://go.gmx.net/suchbox/gmxsuche?su=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: GMX Browser Configuration by mquadr.at - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN
O4 - HKLM\..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe /autorun
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [GMX Update] C:\Programme\GMX\LiveUpdate\m2LUTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: phase6_18_erinnerung.lnk = C:\Programme\phase6\phase6_18\WinStart\WinStart.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6105 bytes
Danke schon ma an jeden der sich das ma anschaut
Seitenanfang Seitenende
29.01.2010, 23:10
Moderator

Beiträge: 5694
#2

Zitat

Gmer hatte nichts gefunden
Aber ein Log erstellt ;) Bitte poste dieses hier.

Zitat

in einem anderen Thread bei euch im Forum hatte jemand einen ähnlichen Trojaner, und ihm wurde gesagt das es sehr gefährlich mit Onlinebanking
Weisst Du noch wo? Es gibt ZIG verschiedene Trojaner. Also dieser scheint mir nicht gerade sehr gefährlich. Aber schauen wir mal was wir finden.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.
Seitenanfang Seitenende
30.01.2010, 12:47
...neu hier

Themenstarter

Beiträge: 5
#3 Der Thread den ich gesehen haben mit dem ähnlichenTorjanerwar im Avira Forum:http://forum.avira.com/wbb/index.php?page=Thread&threadID=104169

Code

OTL logfile created on: 30.01.2010 12:36:32 - Run 1
OTL by OldTimer - Version 3.1.27.0     Folder = C:\Dokumente und Einstellungen\Simone\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1.023,00 Mb Total Physical Memory | 625,00 Mb Available Physical Memory | 61,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,30 Gb Total Space | 12,50 Gb Free Space | 33,51% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive Z: | 931,51 Gb Total Space | 118,57 Gb Free Space | 12,73% Space Free | Partition Type: NTFS

Computer Name: MAMA
Current User Name: Simone
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Dokumente und Einstellungen\Simone\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\GMX\LiveUpdate\m2LUTray.exe ()
PRC - C:\Programme\Java\jre6\bin\jqs.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Adobe\Reader 9.0\Reader\reader_sl.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Brother\ControlCenter3\BrccMCtl.exe (Brother Industries, Ltd.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.)
PRC - C:\Programme\Brother\Brmfcmon\BrMfcMon.exe (Brother Industries, Ltd.)
PRC - C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
PRC - C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe ()
PRC - C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.exe (Conexant Systems, Inc.)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Dokumente und Einstellungen\Simone\Desktop\OTL.exe (OldTimer Tools)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre6\bin\jqs.exe (Sun Microsystems, Inc.)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Microsoft Office Groove Audit Service) -- C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe (Microsoft Corporation)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (MDC8021X) AEGIS Protocol (IEEE 802.1x) -- C:\WINDOWS\system32\drivers\mdc8021x.sys (Meetinghouse Data Communications)
DRV - (PxHelp20) -- C:\WINDOWS\System32\Drivers\PxHelp20.sys (Sonic Solutions)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (Secdrv) -- C:\WINDOWS\system32\drivers\secdrv.sys (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.)
DRV - (SE4501D) -- C:\WINDOWS\system32\drivers\SE4501D.sys (Siemens AG)
DRV - (BrScnUsb) -- C:\WINDOWS\system32\drivers\BrScnUsb.sys (Brother Industries Ltd.)
DRV - (cmuda) -- C:\WINDOWS\system32\drivers\cmuda.sys (C-Media Inc)
DRV - (viamraid) -- C:\WINDOWS\system32\drivers\viamraid.sys (VIA Technologies inc,.ltd)
DRV - (Ptilink) -- C:\WINDOWS\system32\drivers\ptilink.sys (Parallel Technologies, Inc.)
DRV - (FETNDIS) -- C:\WINDOWS\system32\drivers\fetnd5.sys (VIA Technologies, Inc.              )


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.gmx.net/home
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://go.gmx.net/tab2 [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = www.gmx.nethttp://go.gmx.net/tab2 [binary data]
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://go.gmx.net/home
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..browser.search.selectedEngine: "Wikipedia (de)"
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.01.07 07:16:39 | 00,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.01.07 07:16:39 | 00,000,000 | ---D | M]

[2009.11.19 20:41:56 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\Mozilla\Extensions
[2009.11.19 20:41:56 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\Mozilla\Firefox\Profiles\gu1o55pm.default\extensions
[2009.11.19 20:40:48 | 00,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2009.11.03 03:14:39 | 00,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2009.11.03 03:14:39 | 00,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2009.11.03 03:14:39 | 00,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2009.11.03 03:14:39 | 00,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2009.11.03 03:14:39 | 00,000,801 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2001.08.18 13:00:00 | 00,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O2 - BHO: (GMX Browser Configuration by mquadr.at) - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll (mquadr.at softwareengineering und consulting gmbh)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BrMfcWnd] C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [Cmaudio]  File not found
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [GMX Update] C:\Programme\GMX\LiveUpdate\m2LUTray.exe ()
O4 - HKLM..\Run: [GrooveMonitor] C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [PRISMSVR.EXE] C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE (Conexant Systems, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\phase6_18_erinnerung.lnk = C:\Programme\phase6\phase6_18\WinStart\WinStart.exe (phase6)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O15 - HKLM\..Trusted Domains: 1 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Simone\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Simone\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.10.04 16:17:10 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.01.30 12:35:36 | 00,548,864 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Simone\Desktop\OTL.exe
[2010.01.29 13:41:19 | 00,472,064 | ---- | C] ( ) -- C:\Dokumente und Einstellungen\Simone\Desktop\RootRepeal.exe
[2010.01.29 13:37:19 | 00,000,000 | ---D | C] -- C:\Programme\TrendMicro
[2010.01.28 20:26:46 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft
[2010.01.28 14:46:24 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Simone\Anwendungsdaten\Malwarebytes
[2010.01.28 14:46:20 | 00,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.28 14:46:18 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.01.28 14:46:17 | 00,019,160 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.01.28 14:46:17 | 00,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.01.12 15:55:03 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Simone\Desktop\Open source Zelda v.0.1
[2010.01.03 20:52:48 | 00,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Simone\Desktop\Nicht verwendete Desktopverknüpfungen
[2009.10.04 16:20:32 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.10.04 16:20:24 | 00,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2009.10.04 16:17:07 | 00,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Microsoft
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.01.30 12:35:40 | 00,548,864 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Simone\Desktop\OTL.exe
[2010.01.30 12:34:50 | 00,732,408 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.01.30 12:34:50 | 00,320,104 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.01.30 12:34:50 | 00,314,508 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.01.30 12:34:50 | 00,049,166 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.01.30 12:34:50 | 00,040,836 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.01.30 12:27:32 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.01.30 12:27:31 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.01.30 12:27:30 | 10,730,08640 | -HS- | M] () -- C:\hiberfil.sys
[2010.01.30 12:25:38 | 00,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Simone\ntuser.ini
[2010.01.30 12:25:37 | 03,407,872 | -H-- | M] () -- C:\Dokumente und Einstellungen\Simone\NTUSER.DAT
[2010.01.30 12:14:52 | 06,393,108 | -H-- | M] () -- C:\Dokumente und Einstellungen\Simone\Lokale Einstellungen\Anwendungsdaten\IconCache.db
[2010.01.29 14:45:39 | 00,264,616 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.01.29 14:10:08 | 00,002,427 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\HiJackThis.lnk
[2010.01.29 13:34:30 | 01,401,344 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\HijackThis.msi
[2010.01.29 13:34:15 | 00,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\hvy4t73q.exe
[2010.01.28 15:38:53 | 00,041,443 | ---- | M] () -- C:\ads_err.dbf
[2010.01.27 12:24:50 | 00,412,506 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Briefkopf Böhm3.JPG
[2010.01.27 12:21:49 | 00,201,062 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Briefkopf Böhm2.JPG
[2010.01.27 12:19:53 | 00,180,110 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Briefkopf Böhm1.JPG
[2010.01.26 15:12:52 | 00,026,112 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.01.24 10:45:38 | 07,503,204 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\WoPeshwaHamara.mp3
[2010.01.24 10:45:02 | 05,741,385 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\wohpeshwahumaarajisssehainoorsaara2.mp3
[2010.01.24 10:41:48 | 02,343,970 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\wo_peshwa_hamara.mp3
[2010.01.24 10:40:36 | 06,615,834 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\wohpeshwahumaarajisssehainoorsaara4.mp3
[2010.01.24 10:39:17 | 01,079,700 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\WoPeshwaHamara_2.mp3
[2010.01.22 18:28:22 | 00,030,645 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Khadija_15_10_08_001.jpg
[2010.01.19 16:51:07 | 00,056,320 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Verlosung+58.doc
[2010.01.19 16:46:44 | 00,065,024 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Verlosung+58.wps
[2010.01.19 13:41:38 | 00,035,328 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Organisieren von Veranstaltungen.doc
[2010.01.16 12:13:40 | 00,308,889 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Faschingskostüme.JPG
[2010.01.14 17:05:20 | 00,015,391 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Briefanfänge.docx
[2010.01.14 15:11:50 | 00,089,088 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Anwesenheistliste des tablighmeeting.doc
[2010.01.14 15:09:19 | 00,035,840 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Wie schreibe ich einen Leserbrief.doc
[2010.01.14 09:16:58 | 01,850,880 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Ramadan 1.ppt
[2010.01.14 00:19:58 | 00,011,673 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Post von Sana.docx
[2010.01.10 23:00:05 | 10,000,0000 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc406.part2.rar
[2010.01.10 22:56:40 | 10,000,0000 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc406.part4.rar
[2010.01.10 22:55:29 | 10,000,0000 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc406.part3.rar
[2010.01.10 22:52:18 | 19,183,460 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc406.part5.rar
[2010.01.10 22:51:15 | 10,000,0000 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc405.part4.rar
[2010.01.10 22:45:37 | 10,000,0000 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc405.part2.rar
[2010.01.10 22:45:27 | 10,000,0000 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc405.part3.rar
[2010.01.10 22:45:06 | 10,000,0000 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc405.part1.rar
[2010.01.10 22:42:00 | 19,259,236 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc405.part5.rar
[2010.01.09 10:29:01 | 00,067,072 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Halqa Fragereport Dezember 09.doc
[2010.01.07 16:07:14 | 00,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.01.07 16:07:04 | 00,019,160 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.01.04 08:36:17 | 00,143,373 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\job_detail_pdf.pdf
[2010.01.02 13:56:11 | 01,127,700 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\KhudaKayPakLoogoonKo_3.mp3
[2010.01.02 13:41:30 | 06,123,649 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\kabhinusratnahimiltidarremaulahsegandhoko1.mp3
[2009.12.31 23:08:20 | 00,029,184 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\1.Arbeitsanleitung für Erstellen von PPT in Shoba Tabligh.doc
[2009.12.31 22:21:37 | 00,085,795 | ---- | M] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Islam und IntegrationJanuar2009.pdf
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.01.29 14:05:02 | 10,730,08640 | -HS- | C] () -- C:\hiberfil.sys
[2010.01.29 13:37:19 | 00,002,427 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\HiJackThis.lnk
[2010.01.29 13:34:25 | 01,401,344 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\HijackThis.msi
[2010.01.29 13:34:14 | 00,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\hvy4t73q.exe
[2010.01.27 12:24:49 | 00,412,506 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Briefkopf Böhm3.JPG
[2010.01.27 12:21:49 | 00,201,062 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Briefkopf Böhm2.JPG
[2010.01.27 12:19:53 | 00,180,110 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Briefkopf Böhm1.JPG
[2010.01.24 10:44:46 | 07,503,204 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\WoPeshwaHamara.mp3
[2010.01.24 10:44:22 | 05,741,385 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\wohpeshwahumaarajisssehainoorsaara2.mp3
[2010.01.24 10:41:33 | 02,343,970 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\wo_peshwa_hamara.mp3
[2010.01.24 10:39:48 | 06,615,834 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\wohpeshwahumaarajisssehainoorsaara4.mp3
[2010.01.24 10:39:12 | 01,079,700 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\WoPeshwaHamara_2.mp3
[2010.01.22 18:28:22 | 00,030,645 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Khadija_15_10_08_001.jpg
[2010.01.19 16:51:07 | 00,056,320 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Verlosung+58.doc
[2010.01.19 16:46:44 | 00,065,024 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Verlosung+58.wps
[2010.01.19 13:41:38 | 00,035,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Organisieren von Veranstaltungen.doc
[2010.01.16 12:13:39 | 00,308,889 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Faschingskostüme.JPG
[2010.01.14 15:11:50 | 00,089,088 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Anwesenheistliste des tablighmeeting.doc
[2010.01.14 15:09:18 | 00,035,840 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Wie schreibe ich einen Leserbrief.doc
[2010.01.14 09:16:57 | 01,850,880 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Ramadan 1.ppt
[2010.01.14 09:01:45 | 00,015,391 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Briefanfänge.docx
[2010.01.10 22:50:58 | 19,183,460 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc406.part5.rar
[2010.01.10 22:50:55 | 10,000,0000 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc406.part2.rar
[2010.01.10 22:50:52 | 10,000,0000 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc406.part4.rar
[2010.01.10 22:50:47 | 10,000,0000 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc406.part3.rar
[2010.01.10 22:39:28 | 19,259,236 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc405.part5.rar
[2010.01.10 22:39:23 | 10,000,0000 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc405.part4.rar
[2010.01.10 22:39:18 | 10,000,0000 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc405.part3.rar
[2010.01.10 22:39:13 | 10,000,0000 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc405.part2.rar
[2010.01.10 22:38:51 | 10,000,0000 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\nc405.part1.rar
[2010.01.09 10:29:01 | 00,067,072 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Halqa Fragereport Dezember 09.doc
[2010.01.02 13:56:11 | 01,127,700 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\KhudaKayPakLoogoonKo_3.mp3
[2010.01.02 13:40:48 | 06,123,649 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\kabhinusratnahimiltidarremaulahsegandhoko1.mp3
[2009.12.31 22:21:37 | 00,085,795 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Desktop\Islam und IntegrationJanuar2009.pdf
[2009.10.12 15:43:24 | 00,026,112 | ---- | C] () -- C:\Dokumente und Einstellungen\Simone\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.10.04 18:14:02 | 00,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009.10.04 18:14:02 | 00,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2009.10.04 17:58:44 | 00,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI
[2009.10.04 17:58:44 | 00,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI
[2009.10.04 17:58:43 | 00,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2009.10.04 17:58:43 | 00,000,000 | ---- | C] () -- C:\WINDOWS\Wininit.ini
[2009.10.04 17:58:42 | 00,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll
[2009.10.04 17:09:09 | 00,178,176 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2009.10.04 17:09:09 | 00,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini
[2009.10.04 17:09:08 | 00,881,664 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009.10.04 17:09:08 | 00,205,824 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009.10.04 17:09:07 | 00,085,504 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2009.10.04 17:09:07 | 00,000,547 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll.manifest
< End of report >


-Gmermacht irgentwie Probleme, der Scan hat sehr lange gedauert, und beim abspeichern der Log, ist die explorer Exe abgeschmiert. Ich probiersgleich nochma.
Seitenanfang Seitenende
30.01.2010, 19:53
Moderator

Beiträge: 5694
#4 Und GMER Erfolg?

Kommen dann aktuell noch Meldungen?
Seitenanfang Seitenende
31.01.2010, 13:55
...neu hier

Themenstarter

Beiträge: 5
#5

Code

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-30 22:53:20
Windows 5.1.2600 Service Pack 3
Running: hvy4t73q.exe; Driver: C:\DOKUME~1\Simone\LOKALE~1\Temp\pxtdypow.sys


---- System - GMER 1.0.15 ----

SSDT  F7F0594E  ZwCreateKey
SSDT  F7F05944  ZwCreateThread
SSDT  F7F05953  ZwDeleteKey
SSDT  F7F0595D  ZwDeleteValueKey
SSDT  F7F05962  ZwLoadKey
SSDT  F7F05930  ZwOpenProcess
SSDT  F7F05935  ZwOpenThread
SSDT  F7F0596C  ZwReplaceKey
SSDT  F7F05967  ZwRestoreKey
SSDT  F7F05958  ZwSetValueKey
SSDT  F7F0593F  ZwTerminateProcess

---- EOF - GMER 1.0.15 ----

Das ist das einzige was in der .log stand, schaut nich nach dem richtigen aus, oder mach ich was Falsch?
Seitenanfang Seitenende
31.01.2010, 20:18
Moderator

Beiträge: 5694
#6 Ja aber dort beim AviraForum geht es um ein Rootkit. Das sieht hier nicht nach Rootkitinfektion aus in erster Linie.


Was sind dies für Dateien:

Zitat

C:\Dokumente und Einstellungen\Simone\Desktop\nc406.part2.rar
C:\Dokumente und Einstellungen\Simone\Desktop\nc406.part2.rar
C:\Dokumente und Einstellungen\Simone\Desktop\nc406.part4.rar
C:\Dokumente und Einstellungen\Simone\Desktop\nc406.part3.rar
C:\Dokumente und Einstellungen\Simone\Desktop\nc405.part5.rar
Zudem diverse Lieddateien auf dem Desktop:

Zitat

C:\Dokumente und Einstellungen\Simone\Desktop\WoPeshwaHamara.mp3
C:\Dokumente und Einstellungen\Simone\Desktop\wohpeshwahumaarajisssehainoorsaara2.mp3
C:\Dokumente und Einstellungen\Simone\Desktop\wo_peshwa_hamara.mp3
C:\Dokumente und Einstellungen\Simone\Desktop\wohpeshwahumaarajisssehainoorsaara4.mp3
C:\Dokumente und Einstellungen\Simone\Desktop\WoPeshwaHamara_2.mp3
Lass diese bitte alle einmal prüfen bei VirusTotal.
Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen.

Wenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.




Mach bitte noch folgende Onlinescans: FSecure, Bitdefender, ESET
http://forum.hijackthis.de/allgemeines/25893-kostenlose-online-scanner.html
Seitenanfang Seitenende
01.02.2010, 21:53
...neu hier

Themenstarter

Beiträge: 5
#7 Die Onlinescans: FSecure, Bitdefender, ESET habe ich durchgeführt. Die von Ihnen genannten Dateien, nc406.rar ... sind Teile eines Spieles, und c.a 95MB groß und zu groß für Virus Total. Die Analyse der Musik Dateien hatnicht ergeben, immer 0/41 (0%). Meine Frage währe, was kann der Trojaner in der Quarantäne noch ausrichten? bekomm ich ihn weg,? lässt sich ein Format C: umgehen?^^
Seitenanfang Seitenende
02.02.2010, 12:37
Moderator

Beiträge: 5694
#8 Du kannst den Inhalt der Quarantäne löschen.
Bestehen noch Probleme?
Seitenanfang Seitenende
02.02.2010, 18:19
...neu hier

Themenstarter

Beiträge: 5
#9 Wenn ich den Trojaner aus der Quarantäne nehme ist der den auch weg? Oder wird der nur aus der Liste gelöscht? Ansonsten vielen Dank, Swisstreasure!
Seitenanfang Seitenende
02.02.2010, 20:31
Moderator

Beiträge: 5694
#10 Lösche einfach die Quarantäne.

Avira starten --> Verwaltung --> Quarantäne --> Alles auswählen --> auf den Papierkorb klicken.


Nun mach noch die Onlinescans.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: