Trojan.Banker in Registry Key

#0
21.06.2010, 17:22
...neu hier

Beiträge: 8
#1 Hallo Leute, ich mache gerade ein Fachpraktikum und habe mir wohl beim sörfen son Trojan eingefangen ?
Gefunden hat ihn dieses malearebytes. Den Tipp hat mir ein Freund am Telefon noch gegeben...

Hier mal die Logdatei:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4220

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

21.06.2010 17:11:44
mbam-log-2010-06-21 (17-11-44).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 78814
Laufzeit: 10 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> No action

taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Bitte sagt mir, wie ich das wieder weg bekomme!



Danke vielmals vorweg
Combo
Seitenanfang Seitenende
21.06.2010, 17:48
...neu hier

Themenstarter

Beiträge: 8
#2 Komischerweise wurden die zwei Sachen im normalen Windiws Modus gefunden.
Also nicht im abgesicherten Modus. kann mir jemand sagen , wieso das so ist?
Enntfernt malewarebytes das denn zuverlässig?
Gut - Geduld jetzt ;.)
Ich mach jetzt erst mal Schluss und sage danke an alle, die was dazu sagen werden.
grüßle
combo
Seitenanfang Seitenende
21.06.2010, 20:53
Moderator

Beiträge: 5694
#3 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:

Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Schritt 2

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.
Seitenanfang Seitenende
22.06.2010, 11:23
...neu hier

Themenstarter

Beiträge: 8
#4 Hallo un danke sehr für diefreundliche begrüßung und für die Anleitung

Hier mal die Logs

Code

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-06-22 11:04:20
Windows 5.1.2600 Service Pack 2
Running: jb3xd541.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\pxtdapog.sys


---- System - GMER 1.0.15 ----

Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwCreateProcess [0xF7866610]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwCreateProcessEx [0xF7866624]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwOpenProcess [0xF78665D4]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwOpenThread [0xF78665E8]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwSetContextThread [0xF786664E]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwSetInformationProcess [0xF786663A]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  ZwTerminateProcess [0xF78665FC]
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  NtOpenProcess
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  NtOpenThread
Code            mfehidk.sys (McAfee Link Driver/McAfee, Inc.)  NtSetInformationProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                         mfehidk.sys (McAfee Link Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                       mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                      mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                      mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                    mfetdik.sys (Anti-Virus Mini-Firewall Driver/McAfee, Inc.)

---- EOF - GMER 1.0.15 ----

Seitenanfang Seitenende
22.06.2010, 11:33
...neu hier

Themenstarter

Beiträge: 8
#5 Das OTL hat mir genau EIN Logfile erstellt und ist beim Beenden irgendwie abgestürzt ..
Hier nun das File:

Code

OTL logfile created on: 22.06.2010 11:07:47 - Run 2
OTL by OldTimer - Version 3.2.6.1     Folder = D:\Download\
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 80,00% Memory free
3,00 Gb Paging File | 2,00 Gb Available in Paging File | 90,00% Paging File free
Paging file location(s): D:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 18,52 Gb Total Space | 3,64 Gb Free Space | 19,63% Space Free | Partition Type: NTFS
Drive D: | 18,52 Gb Total Space | 5,96 Gb Free Space | 32,20% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
Drive F: | 244,01 Mb Total Space | 219,46 Mb Free Space | 89,94% Space Free | Partition Type: FAT32
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: PC-013
Current User Name: Administrator
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - D:\Download\+ Hijackthis\OTL.exe (OldTimer Tools)
PRC - C:\Programme\McAfee\VirusScan Enterprise\shstat.exe (McAfee, Inc.)
PRC - C:\WINDOWS\system32\mfevtps.exe (McAfee, Inc.)
PRC - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe (McAfee, Inc.)
PRC - C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe (McAfee, Inc.)
PRC - C:\Programme\Network Associates\Common Framework\UdaterUI.exe (McAfee, Inc.)
PRC - C:\Programme\Network Associates\Common Framework\McTray.exe (McAfee, Inc.)
PRC - D:\Programme\Sony Ericsson\Mobile2\Sony Ericsson PC Suite\SupServ.exe ()
PRC - C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe (Logitech, Inc.)
PRC - C:\Programme\Adobe\Acrobat 7.0\Distillr\acrodist.exe (Adobe Systems Incorporated.)
PRC - C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe (Adobe Systems Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
PRC - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - D:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe (Sony Ericsson Mobile Communications AB)
PRC - C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe (Popwire AB)
PRC - C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe (Teleca Software Solutions)
PRC - C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
PRC - C:\Programme\Ahead\InCD\InCDsrv.exe (Nero AG)
PRC - C:\Programme\RealVNC\VNC4\winvnc4.exe (RealVNC Ltd.)
PRC - C:\Programme\Analog Devices\SoundMAX\SMTray.exe (Analog Devices, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
PRC - C:\WINDOWS\system32\SlpV24s.exe ( )
PRC - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - D:\Download\+ Hijackthis\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.3053_x-ww_b80fa8ca\msvcr80.dll (Microsoft Corporation)
MOD - C:\Programme\Logitech\SetPoint\lgscroll.dll (Logitech, Inc.)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\comctl32.dll (Microsoft Corporation)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (McShield) -- C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe (McAfee, Inc.)
SRV - (mfevtp) -- C:\WINDOWS\system32\mfevtps.exe (McAfee, Inc.)
SRV - (McTaskManager) -- C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe (McAfee, Inc.)
SRV - (McAfeeEngineService) -- C:\Programme\McAfee\VirusScan Enterprise\EngineServer.exe (McAfee, Inc.)
SRV - (McAfeeFramework) -- C:\Programme\Network Associates\Common Framework\FrameworkService.exe (McAfee, Inc.)
SRV - (OMSI download service) -- D:\Programme\Sony Ericsson\Mobile2\Sony Ericsson PC Suite\SupServ.exe ()
SRV - (LBTServ) -- C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (AcrSch2Svc) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (Acronis)
SRV - (rpcapd) Remote Packet Capture Protocol v.0 (experimental) -- C:\Programme\WinPcap\rpcapd.exe (CACE Technologies)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (InCDsrv) -- C:\Programme\Ahead\InCD\InCDsrv.exe (Nero AG)
SRV - (WinVNC4) -- C:\Programme\RealVNC\VNC4\WinVNC4.exe (RealVNC Ltd.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
SRV - (SoundMAX Agent Service (default)) -- C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (mfehidk) -- C:\WINDOWS\system32\drivers\mfehidk.sys (McAfee, Inc.)
DRV - (mfeavfk) -- C:\WINDOWS\system32\drivers\mfeavfk.sys (McAfee, Inc.)
DRV - (mfeapfk) -- C:\WINDOWS\system32\drivers\mfeapfk.sys (McAfee, Inc.)
DRV - (mferkdet) -- C:\WINDOWS\system32\drivers\mferkdet.sys (McAfee, Inc.)
DRV - (mfetdik) -- C:\WINDOWS\system32\drivers\mfetdik.sys (McAfee, Inc.)
DRV - (mfebopk) -- C:\WINDOWS\system32\drivers\mfebopk.sys (McAfee, Inc.)
DRV - (LUsbFilt) -- C:\WINDOWS\system32\drivers\LUsbFilt.sys (Logitech, Inc.)
DRV - (LMouKE) -- C:\WINDOWS\system32\drivers\LMouKE.Sys (Logitech, Inc.)
DRV - (LMouFilt) -- C:\WINDOWS\system32\drivers\LMouFilt.Sys (Logitech, Inc.)
DRV - (LHidFilt) -- C:\WINDOWS\system32\drivers\LHidFilt.Sys (Logitech, Inc.)
DRV - (L8042mou) -- C:\WINDOWS\system32\drivers\L8042mou.Sys (Logitech, Inc.)
DRV - (L8042Kbd) -- C:\WINDOWS\system32\drivers\L8042Kbd.sys (Logitech, Inc.)
DRV - (seehcri) -- C:\WINDOWS\system32\drivers\seehcri.sys (Sony Ericsson Mobile Communications)
DRV - (NPF) -- C:\WINDOWS\system32\drivers\npf.sys (CACE Technologies)
DRV - (s116unic) Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (WDM) -- C:\WINDOWS\system32\drivers\s116unic.sys (MCCI Corporation)
DRV - (s116obex) -- C:\WINDOWS\system32\drivers\s116obex.sys (MCCI Corporation)
DRV - (s116nd5) Sony Ericsson Device 116 USB Ethernet Emulation SEMC116 (NDIS) -- C:\WINDOWS\system32\drivers\s116nd5.sys (MCCI Corporation)
DRV - (s116mgmt) Sony Ericsson Device 116  USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\s116mgmt.sys (MCCI Corporation)
DRV - (s116mdm) -- C:\WINDOWS\system32\drivers\s116mdm.sys (MCCI Corporation)
DRV - (s116mdfl) -- C:\WINDOWS\system32\drivers\s116mdfl.sys (MCCI Corporation)
DRV - (s116bus) Sony Ericsson Device 116 driver (WDM) -- C:\WINDOWS\system32\drivers\s116bus.sys (MCCI Corporation)
DRV - (se27unic) Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM) -- C:\WINDOWS\system32\drivers\se27unic.sys (MCCI)
DRV - (SE27obex) -- C:\WINDOWS\system32\drivers\SE27obex.sys (MCCI)
DRV - (se27nd5) Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS) -- C:\WINDOWS\system32\drivers\se27nd5.sys (MCCI)
DRV - (SE27mgmt) Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM) -- C:\WINDOWS\system32\drivers\SE27mgmt.sys (MCCI)
DRV - (SE27mdm) -- C:\WINDOWS\system32\drivers\SE27mdm.sys (MCCI)
DRV - (SE27mdfl) -- C:\WINDOWS\system32\drivers\SE27mdfl.sys (MCCI)
DRV - (SE27bus) Sony Ericsson Device 039 Driver driver (WDM) -- C:\WINDOWS\system32\drivers\SE27bus.sys (MCCI)
DRV - (InCDfs) -- C:\WINDOWS\system32\drivers\InCDfs.sys (Nero AG)
DRV - (InCDPass) -- C:\WINDOWS\system32\drivers\InCDpass.sys (Nero AG)
DRV - (incdrm) -- C:\WINDOWS\system32\drivers\InCDrm.sys (Nero AG)
DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)
DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation)
DRV - (iAimFP4) -- C:\WINDOWS\system32\drivers\wVchNTxx.sys (Intel(R) Corporation)
DRV - (iAimFP3) -- C:\WINDOWS\system32\drivers\wSiINTxx.sys (Intel(R) Corporation)
DRV - (iAimTV5) -- C:\WINDOWS\system32\drivers\wATV10nt.sys (Intel(R) Corporation)
DRV - (iAimTV4) -- C:\WINDOWS\system32\drivers\wCh7xxNT.sys (Intel(R) Corporation)
DRV - (iAimTV6) -- C:\WINDOWS\system32\drivers\wATV06nt.sys (Intel(R) Corporation)
DRV - (iAimTV3) -- C:\WINDOWS\system32\drivers\wATV04nt.sys (Intel(R) Corporation)
DRV - (iAimTV1) -- C:\WINDOWS\system32\drivers\wATV02NT.sys (Intel(R) Corporation)
DRV - (iAimTV0) -- C:\WINDOWS\system32\drivers\wATV01nt.sys (Intel(R) Corporation)
DRV - (iAimFP7) -- C:\WINDOWS\system32\drivers\wADV09NT.sys (Intel(R) Corporation)
DRV - (iAimFP5) -- C:\WINDOWS\system32\drivers\wADV07nt.sys (Intel(R) Corporation)
DRV - (iAimFP6) -- C:\WINDOWS\system32\drivers\wADV08NT.sys (Intel(R) Corporation)
DRV - (i81x) -- C:\WINDOWS\system32\drivers\i81xnt5.sys (Intel(R) Corporation)
DRV - (iAimFP0) -- C:\WINDOWS\system32\drivers\wADV01nt.sys (Intel(R) Corporation)
DRV - (iAimFP1) -- C:\WINDOWS\system32\drivers\wADV02NT.sys (Intel(R) Corporation)
DRV - (iAimFP2) -- C:\WINDOWS\system32\drivers\wADV05NT.sys (Intel(R) Corporation)
DRV - (cpqdfw) -- C:\WINDOWS\system32\drivers\Cpqdfw.sys ()
DRV - (Blfp) -- C:\WINDOWS\system32\drivers\baspxp32.sys (Broadcom Corporation)
DRV - (adpu320) -- C:\WINDOWS\system32\DRIVERS\adpu320.sys (Adaptec, Inc.)
DRV - (Symmpi) -- C:\WINDOWS\system32\DRIVERS\symmpi.sys (LSI Logic)
DRV - (sym_u3) -- C:\WINDOWS\system32\DRIVERS\sym_u3.sys (LSI Logic)
DRV - (sym_hi) -- C:\WINDOWS\system32\DRIVERS\sym_hi.sys (LSI Logic)
DRV - (symc8xx) -- C:\WINDOWS\system32\DRIVERS\symc8xx.sys (LSI Logic)
DRV - (symc810) -- C:\WINDOWS\system32\DRIVERS\symc810.sys (Symbios Logic Inc.)
DRV - (ac97intc) Intel(r) 82801 Audiotreiber-Installationsdienst (WDM) -- C:\WINDOWS\system32\drivers\ac97intc.sys (Intel Corporation)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 172.16.0.1:3128

[color=#E56717]========== FireFox ==========[/color]

FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.06.22 10:24:55 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.05.10 10:37:32 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.6\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2007.08.02 09:34:49 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 2.0.0.6\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2009.10.08 17:12:54 | 000,000,000 | ---D | M]

[2010.06.22 10:30:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2010.06.22 10:30:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\mxvb3fw3.default\extensions
[2010.06.22 10:30:33 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\mxvb3fw3.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.06.22 10:30:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\mxvb3fw3.default\extensions\staged-xpis
[2010.06.21 09:01:32 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.03.25 20:07:00 | 000,023,864 | ---- | M] (McAfee, Inc.) -- C:\Programme\Mozilla Firefox\components\Scriptff.dll
[2010.04.01 18:54:38 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.04.01 18:54:38 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.04.01 18:54:38 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.04.01 18:54:38 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.04.01 18:54:38 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2004.08.04 04:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\scriptsn.dll (McAfee, Inc.)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 7.0] C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Nero AG)
O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech, Inc.)
O4 - HKLM..\Run: [McAfeeUpdaterUI] C:\Programme\Network Associates\Common Framework\udaterui.exe (McAfee, Inc.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [ShStatEXE] C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE (McAfee, Inc.)
O4 - HKLM..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [Sony Ericsson PC Suite] D:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe (Sony Ericsson Mobile Communications AB)
O4 - HKLM..\Run: [SpybotSnD] C:\Programme\Spybot - Search & Destroy\SpybotSD.exe (Safer Networking Limited)
O4 - HKLM..\Run: [Tweak UI 1.33 deutsch] C:\WINDOWS\System32\TWEAKUI.CPL (Brummelchen@gmx.at)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-BA7E-100000000002}\SC_Acrobat.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Communication Assistant.lnk = C:\Programme\Panasonic\Communication Assistant\Communication Assistant.exe (Panasonic System Networks Co., Ltd.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FTP Utility.lnk = C:\Programme\KONICA MINOLTA\FTP Utility\KMFtp.exe (KONICA MINOLTA BUSINESS TECHNOLOGIES, INC.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1263984961536 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} http://support.f-secure.com/ols/fscax.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CCA0B877-CB5E-4ADC-AD30-457C379512DD} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.201.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = energiestiftung.de
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O20 - Winlogon\Notify\LBTWlgn: DllName - c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll - c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.06.22 10:24:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2010.06.22 10:07:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Logitech
[2010.06.22 10:06:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Panasonic
[2010.06.22 10:05:02 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache
[2010.06.15 13:48:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5004
[2010.06.14 16:47:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\UAs
[2010.06.14 16:09:16 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5003
[2010.06.14 16:09:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\cock
[2010.06.09 10:14:56 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[2010.06.09 10:13:31 | 000,065,536 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\asycfilt.dll
[2010.06.09 10:12:47 | 000,285,696 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\dllcache\atmfd.dll
[2006.03.10 14:10:14 | 000,073,728 | ---- | C] ( ) -- C:\WINDOWS\System32\SlpV24.dll
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.06.22 11:01:50 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.06.22 11:01:45 | 000,002,319 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
[2010.06.22 11:00:11 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.06.22 10:59:58 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.06.22 10:59:54 | 2138,574,848 | -HS- | M] () -- C:\hiberfil.sys
[2010.06.22 10:45:37 | 001,310,720 | -H-- | M] () -- C:\Dokumente und Einstellungen\Administrator\ntuser.dat
[2010.06.22 08:52:53 | 000,000,088 | -H-- | M] () -- C:\WINDOWS\$MWinSet$
[2010.06.22 08:52:51 | 000,000,070 | -H-- | M] () -- C:\WINDOWS\$MWinsetup$
[2010.06.21 18:13:01 | 000,006,387 | ---- | M] () -- C:\WINDOWS\wincmd.ini
[2010.06.18 10:14:02 | 000,000,202 | ---- | M] () -- C:\WINDOWS\System32\urhtps.dat
[2010.06.16 16:54:48 | 000,005,533 | ---- | M] () -- C:\WINDOWS\assist.err
[2010.06.11 13:57:15 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2010.06.09 10:41:09 | 000,266,208 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.06.09 10:27:20 | 001,032,702 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.06.09 10:27:20 | 000,462,322 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.06.09 10:27:20 | 000,444,028 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.06.09 10:27:20 | 000,085,344 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.06.09 10:27:20 | 000,071,904 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.06.04 09:19:16 | 000,000,917 | ---- | M] () -- C:\WINDOWS\wcx_ftp.ini
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.06.21 16:19:54 | 2138,574,848 | -HS- | C] () -- C:\hiberfil.sys
[2010.06.15 09:15:16 | 000,000,202 | ---- | C] () -- C:\WINDOWS\System32\urhtps.dat
[2009.07.14 17:05:01 | 000,000,280 | ---- | C] () -- C:\WINDOWS\System32\epoPGPsdk.dll.sig
[2008.08.19 19:10:59 | 000,000,043 | ---- | C] () -- C:\WINDOWS\gswin32.ini
[2007.11.06 22:19:28 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2007.05.16 14:27:43 | 000,079,360 | ---- | C] () -- C:\WINDOWS\System32\SvComSvc.dll
[2007.03.19 18:38:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\mngui.INI
[2006.10.13 15:26:42 | 000,000,250 | ---- | C] () -- C:\WINDOWS\poolmaster2006.ini
[2006.10.13 15:26:42 | 000,000,008 | -H-- | C] () -- C:\WINDOWS\map.sys
[2006.01.20 14:44:57 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2005.12.19 15:20:33 | 000,044,544 | ---- | C] () -- C:\WINDOWS\System32\Gif89.dll
[2005.12.16 17:06:05 | 000,373,248 | ---- | C] () -- C:\WINDOWS\EyeCand3.INI
[2005.12.16 16:24:46 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
[2005.12.16 16:24:34 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\LFKODAK.DLL
[2005.12.16 16:24:33 | 000,338,944 | ---- | C] () -- C:\WINDOWS\System32\lffpx7.dll
[2005.12.14 18:01:15 | 000,000,917 | ---- | C] () -- C:\WINDOWS\wcx_ftp.ini
[2005.12.14 14:46:12 | 000,006,387 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2005.10.20 09:52:49 | 000,000,320 | ---- | C] () -- C:\WINDOWS\CPQERR.INI
[2005.10.19 15:58:53 | 000,000,291 | ---- | C] () -- C:\WINDOWS\factory.ini
[2005.10.19 15:53:49 | 000,001,814 | ---- | C] () -- C:\WINDOWS\ACT_CFG.INI
[2005.10.19 15:53:41 | 000,019,845 | ---- | C] () -- C:\WINDOWS\System32\drivers\Cpqdfw.sys
[2005.10.19 15:53:41 | 000,002,796 | ---- | C] () -- C:\WINDOWS\Cpqdiag.ini
[2005.09.12 13:13:41 | 000,000,477 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.09.02 09:35:52 | 000,000,812 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2005.09.02 00:54:30 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005.09.02 00:48:46 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2005.09.02 00:48:46 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2005.09.02 00:48:46 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2005.09.02 00:48:46 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2005.09.02 00:48:46 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2005.09.02 00:48:46 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[2005.09.02 00:47:14 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\msssc.dll
[2004.08.20 14:03:58 | 000,068,096 | R--- | C] () -- C:\WINDOWS\System32\lfplt11n.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
< End of report >



Liegt das daran, dass es eine neuere Version ist?
Die ist auch in deutsch
Seitenanfang Seitenende
22.06.2010, 19:23
Moderator

Beiträge: 5694
#6 Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
[2010.06.18 10:14:02 | 000,000,202 | ---- | M] () -- C:\WINDOWS\System32\urhtps.dat
[2010.06.15 09:15:16 | 000,000,202 | ---- | C] () -- C:\WINDOWS\System32\urhtps.dat
:Commands
[purity]
[emptytemp]
• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf .
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread


Schritt 2

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:regfind
f22c37fd-2bcb-40b6-a12e-77dda1fbdd88
• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.
Seitenanfang Seitenende
23.06.2010, 09:53
...neu hier

Themenstarter

Beiträge: 8
#7 Schritt 1 ausgeführt.

Ein Neustart wurde verlangt. Hinterher war die OTL.exe gelöscht.

>> Kein Textfile vorgefunden. Auch nicht unter "dokumente und Einstellungen" des Administrators


Habe dann OTL erneut in
C:\programme\OTL
reinkopiert und erneut ausgeführt.

Ergebnis dann wieder wie oben .


Schritt 2 danach ausgeführt.

Ergebnis:

Code

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 09:43 on 23/06/2010 by Administrator (Administrator - Elevation successful)

========== regfind ==========

Searching for "f22c37fd-2bcb-40b6-a12e-77dda1fbdd88"
No data found.

-=End Of File=-

Kann ich noch was anderes zum scannen des Systems verwenden?

Danke sehr für deine Mühe

Gruß
Combo
Seitenanfang Seitenende
23.06.2010, 11:15
...neu hier

Themenstarter

Beiträge: 8
#8 Oh !!!
Habe mich mit meinem Benutzernamen im Netz angemeldet und noch mal
Malwarebytes' laufen lassen.

Ergbnis:

Code

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4228

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

23.06.2010 10:58:45
current_user_mbam-log-2010-06-23 (10-58-45).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 15674
Laufzeit: 5 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Seitenanfang Seitenende
23.06.2010, 16:34
Moderator

Beiträge: 5694
#9 Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.
BleepingComputer
ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte füge das C:\ComboFix.txt Log in deiner Antwort im Forum bei, so dass wir uns diese analysieren können.
Seitenanfang Seitenende
25.06.2010, 14:20
...neu hier

Themenstarter

Beiträge: 8
#10 Hallo, war auf Kurzurlaub. Danke sehr für den letzten Tipp. Habe das jetzt durchgeführt und füge das Log mal ein.

BITTE: sagt mir , falls Combofix noch was Gefährliches entdeckt / entfernt hat !

Hatte zuletzt mit MalwareBytes nochmals gefixt, den PC aber NICHT mehr mit dem "Standardbenutzer" (ICH) im Netz angemeldet. Das Profil vom "Standardbenutzer" dieses PC ist jetzt eliminiert

Seitdem hat Malwarebytes nichts verdächtiges mehr gefunden

Code

ComboFix 10-06-24.03 - Administrator 25.06.2010  13:36:59.1.2 - x86 MINIMAL
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.2039.1658 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: McAfee VirusScan Enterprise *On-access scanning enabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\hpe87.dll
c:\windows\Downloaded Program Files\Quarantine
c:\windows\regedit.com
c:\windows\system32\taskmgr.com
c:\windows\system32\UAs
c:\windows\system32\UAs\firefox.exe_UAs001.dat
c:\windows\system32\UAs\firefox.exe_UAs002.dat
c:\windows\system32\UAs\firefox.exe_UAs003.dat
c:\windows\system32\UAs\iexplore.exe_UAs001.dat
c:\windows\system32\UAs\iexplore.exe_UAs002.dat
c:\windows\system32\UAs\iexplore.exe_UAs003.dat
c:\windows\system32\UAs\OUTLOOK.EXE_UAs001.dat
D:\start.bat

.
(((((((((((((((((((((((   Dateien erstellt von 2010-05-25 bis 2010-06-25  ))))))))))))))))))))))))))))))
.

2010-06-25 06:38 . 2010-06-25 06:38    --------    d-sh--w-    c:\dokumente und einstellungen\prak2\IECompatCache
2010-06-25 06:36 . 2010-06-25 06:36    --------    d-----w-    c:\dokumente und einstellungen\prak2\Anwendungsdaten\Teleca
2010-06-25 06:34 . 2010-06-25 06:34    --------    d-----w-    c:\dokumente und einstellungen\prak2\Anwendungsdaten\Sony Ericsson
2010-06-23 15:37 . 2010-06-23 15:37    --------    d-----w-    c:\dokumente und einstellungen\prak2\DoctorWeb
2010-06-23 14:17 . 2010-06-23 14:17    --------    d-----w-    c:\dokumente und einstellungen\prak2\Lokale Einstellungen\Anwendungsdaten\Western Digital
2010-06-23 13:53 . 2010-06-23 13:53    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2010-06-23 13:06 . 2010-06-23 13:06    --------    d-----w-    c:\dokumente und einstellungen\prak2\Anwendungsdaten\Malwarebytes
2010-06-23 12:41 . 2010-06-23 12:41    --------    d-sh--w-    c:\dokumente und einstellungen\prak2\PrivacIE
2010-06-23 12:39 . 2010-06-23 12:39    --------    d-----w-    c:\dokumente und einstellungen\prak2\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-06-23 12:14 . 2010-06-25 06:47    --------    d-----w-    c:\dokumente und einstellungen\prak2\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-06-23 12:14 . 2010-06-23 12:14    --------    d-----w-    c:\dokumente und einstellungen\prak2\Anwendungsdaten\Logitech
2010-06-23 12:14 . 2010-06-23 12:14    --------    d-----w-    c:\dokumente und einstellungen\prak2\Anwendungsdaten\Panasonic
2010-06-23 12:14 . 2010-06-23 12:14    --------    d-----w-    c:\dokumente und einstellungen\prak2\Anwendungsdaten\Minolta
2010-06-23 12:14 . 2010-06-23 12:14    --------    d-sh--w-    c:\dokumente und einstellungen\prak2\IETldCache
2010-06-23 07:33 . 2010-06-23 07:34    --------    d-----w-    c:\programme\OTL
2010-06-22 12:17 . 2010-06-22 12:17    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GHISLER
2010-06-22 10:09 . 2010-06-22 10:09    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2010-06-22 08:24 . 2010-06-22 08:24    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla
2010-06-22 08:07 . 2010-06-22 08:07    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Logitech
2010-06-22 08:06 . 2010-06-22 08:06    --------    d-----w-    c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Panasonic
2010-06-22 08:05 . 2010-06-22 08:05    --------    d-sh--w-    c:\dokumente und einstellungen\Administrator\IETldCache
2010-06-18 11:54 . 2010-06-18 07:45    388096    ----a-r-    c:\dokumente und einstellungen\Hauschildt.EN01\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-06-18 10:08 . 2010-06-18 10:08    --------    d-----w-    c:\dokumente und einstellungen\Administrator.EN01\Anwendungsdaten\Malwarebytes
2010-06-18 09:13 . 2010-06-18 09:13    --------    d-----w-    c:\windows\system32\wbem\Repository
2010-06-16 13:17 . 2010-03-24 11:02    --------    d-----w-    c:\dokumente und einstellungen\dbtest3\IECompatCache
2010-06-16 13:17 . 2010-02-02 13:22    --------    d-----w-    c:\dokumente und einstellungen\dbtest3\IETldCache
2010-06-16 13:17 . 2010-03-24 11:00    --------    d-----w-    c:\dokumente und einstellungen\dbtest3\PrivacIE
2010-06-15 11:48 . 2010-06-15 11:48    --------    d-----w-    c:\windows\system32\5004
2010-06-15 07:15 . 2010-06-18 08:14    202    ----a-w-    c:\windows\system32\urhtps.dat
2010-06-14 14:09 . 2010-06-14 14:09    --------    d-----w-    c:\windows\system32\5003
2010-06-14 14:09 . 2010-06-16 13:07    --------    d-----w-    c:\windows\system32\cock
2010-06-09 08:32 . 2010-06-09 08:40    --------    d-----w-    c:\dokumente und einstellungen\Administrator.EN01\Anwendungsdaten\Notepad++
2010-06-09 08:14 . 2010-05-06 10:31    743424    ------w-    c:\windows\system32\dllcache\iedvtool.dll
2010-06-09 08:13 . 2010-03-05 14:54    65536    ------w-    c:\windows\system32\dllcache\asycfilt.dll
2010-06-09 08:12 . 2010-04-20 05:46    285696    ------w-    c:\windows\system32\dllcache\atmfd.dll
2010-06-09 08:10 . 2010-06-09 08:10    503808    ----a-w-    c:\dokumente und einstellungen\Administrator.EN01\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-4cc4b34c-n\msvcp71.dll
2010-06-09 08:10 . 2010-06-09 08:10    499712    ----a-w-    c:\dokumente und einstellungen\Administrator.EN01\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-4cc4b34c-n\jmc.dll
2010-06-09 08:10 . 2010-06-09 08:10    348160    ----a-w-    c:\dokumente und einstellungen\Administrator.EN01\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46\f84c6ae-4cc4b34c-n\msvcr71.dll
2010-06-09 08:05 . 2010-06-09 08:05    --------    d-----w-    c:\dokumente und einstellungen\Administrator.EN01\Anwendungsdaten\Panasonic

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-25 10:50 . 2006-01-27 15:42    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-06-23 12:14 . 2010-06-23 12:13    69440    ----a-w-    c:\dokumente und einstellungen\prak2\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-23 07:36 . 2005-09-12 08:42    69440    ----a-w-    c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-06-14 14:09 . 2010-06-14 14:09    112    ----a-w-    c:\windows\system32\srvblck2.tmp
2010-06-14 14:09 . 2010-06-14 14:09    0    ----a-w-    c:\windows\system32\Profiles.tmp
2010-06-14 14:09 . 2010-06-14 14:09    0    ----a-w-    c:\windows\system32\coqa6oly.default.tmp
2010-06-09 08:27 . 2004-08-09 06:05    85344    ----a-w-    c:\windows\system32\perfc007.dat
2010-06-09 08:27 . 2004-08-09 06:05    462322    ----a-w-    c:\windows\system32\perfh007.dat
2010-05-12 13:11 . 2008-11-06 15:25    --------    d-----w-    c:\programme\LingoPad
2010-05-12 13:06 . 2010-05-12 13:06    --------    d-----w-    c:\dokumente und einstellungen\Hauschildt.EN01\Anwendungsdaten\Panasonic
2010-05-12 13:06 . 2010-05-12 13:06    --------    d-----w-    c:\programme\Panasonic
2010-05-12 13:06 . 2010-05-12 13:06    --------    d-----w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Panasonic
2010-05-12 13:05 . 2010-05-12 13:06    241664    ----a-w-    c:\windows\system32\PCCSTPInstall.exe
2010-05-12 13:05 . 2010-05-12 13:06    458752    ----a-w-    c:\windows\system32\PCCSTUI.dll
2010-05-12 13:05 . 2010-05-12 13:06    69632    ----a-w-    c:\windows\system32\ST_Loggers.dll
2010-05-12 13:05 . 2010-05-12 13:06    25600    ----a-w-    c:\windows\system32\CACSTADecoder.dll
2010-05-12 12:38 . 2005-09-12 17:31    --------    d--h--w-    c:\programme\InstallShield Installation Information
2010-05-06 10:31 . 2004-08-04 02:00    916480    ----a-w-    c:\windows\system32\wininet.dll
2010-05-02 08:24 . 2004-08-04 02:00    1851008    ----a-w-    c:\windows\system32\win32k.sys
2010-04-29 13:39 . 2009-03-27 07:59    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2009-03-27 07:59    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-04-20 05:46 . 2004-08-04 02:00    285696    ----a-w-    c:\windows\system32\atmfd.dll
2010-04-12 15:44 . 2010-04-12 15:44    2585872    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Network Associates\Common Framework\Current\VIRUSCAN8700\Install\0000\WindowsInstaller-KB893803-v2-x86.exe
2010-04-12 15:44 . 2010-04-12 15:44    128512    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Network Associates\Common Framework\Current\VIRUSCAN8700\Install\0000\Uninstx64.exe
2010-04-12 15:44 . 2010-04-12 15:44    122880    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Network Associates\Common Framework\Current\VIRUSCAN8700\Install\0000\Uninst.exe
2010-04-12 15:44 . 2010-04-12 15:44    99648    ----a-w-    c:\dokumente und einstellungen\All Users\Anwendungsdaten\Network Associates\Common Framework\Current\VIRUSCAN8700\Install\0000\setupvse.exe
2010-03-25 18:07 . 2010-04-12 15:45    23864    ----a-w-    c:\programme\mozilla firefox\components\Scriptff.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-25 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-25 77824]
"Smapp"="c:\programme\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 143360]
"SetRefresh"="c:\programme\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-25 114688]
"McAfeeUpdaterUI"="c:\programme\Network Associates\Common Framework\udaterui.exe" [2009-09-22 136512]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2004-08-04 144384]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2005-07-25 1397760]
"Tweak UI 1.33 deutsch"="TWEAKUI.CPL" [2000-10-06 106544]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2006-09-24 282624]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2006-09-25 229952]
"Sony Ericsson PC Suite"="d:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"SpybotSnD"="c:\programme\Spybot - Search & Destroy\SpybotSD.exe" [2009-01-26 5365592]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-04-20 136472]
"hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-12-13 507904]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2010-03-25 124224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-BA7E-100000000002}\SC_Acrobat.exe [2006-6-19 25214]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-2-2 110592]
Communication Assistant.lnk - c:\programme\Panasonic\Communication Assistant\Communication Assistant.exe [2010-2-25 3436544]
FTP Utility.lnk - c:\programme\KONICA MINOLTA\FTP Utility\KMFtp.exe [2004-10-27 102400]
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-3-6 805392]
taskmgr.exe.lnk - c:\windows\system32\taskmgr.exe [2004-8-4 140800]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42    72208    ----a-w-    c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\McAfeeEngineService]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SpybotSnD"="c:\programme\Spybot - Search & Destroy\SpybotSD.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Network Associates\\Common Framework\\FrameworkService.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 McAfeeEngineService;McAfee Engine Service;c:\programme\McAfee\VirusScan Enterprise\EngineServer.exe [25.03.2010 20:07 22816]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [04.03.2010 11:03 27632]
S2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [12.04.2010 17:45 70728]
S2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [06.11.2007 22:22 34064]
S2 OMSI download service;Sony Ericsson OMSI download service;d:\programme\Sony Ericsson\Mobile2\Sony Ericsson PC Suite\SupServ.exe [04.03.2010 11:02 90112]
S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [12.04.2010 17:45 66600]
.
Inhalt des "geplante Tasks" Ordners

2006-10-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2006-09-19 15:36]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.hp.com/
uInternet Settings,ProxyServer = 172.16.0.1:3128
uInternet Settings,ProxyOverride = <local>
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\mxvb3fw3.default\
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-Cain & Abel v4.9.10 - f:\abel\CAIN\UNINSTAL.EXE
AddRemove-HijackThis - c:\hijackthis\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-25 13:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ؕ€|ÿÿÿÿ•€|ù•6~*]
"7040111900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(236)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2010-06-25  13:44:06
ComboFix-quarantined-files.txt  2010-06-25 11:44

Vor Suchlauf: 5.920.301.056 Bytes frei
Nach Suchlauf: 6.042.488.832 Bytes frei

- - End Of File - - 29A253FC02CF7FE99BA52EC355353782



ahhh: ich habe die als c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
ausgeführt. Ist das von Bedeutung?

greets
Combo
Seitenanfang Seitenende
25.06.2010, 15:12
Moderator

Beiträge: 5694
#11 Schritt 1

Combofix mit Skript laufen lassen

Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
Danach wieder anstellen nicht vergessen!

Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
Dies kann dazu führen, dass ComboFix sich aufhängt.


Anwendung

• Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:

Code

File::
c:\windows\system32\srvblck2.tmp
c:\windows\system32\Profiles.tmp
c:\windows\system32\coqa6oly.default.tmp
c:\windows\system32\urhtps.dat
• Speichere dies als CFScript.txt auf Deinem Desktop. Achte darauf, dass bei Dateityp "All types" aktiv ist.
.

.
• In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
• Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt.
Unbedingt warten, bis sich das Combofix-Fenster geschlossen hat und das Logfile im Editor erscheint.
Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Schritt 1

Eset Online Scanner (NOD32)
• Unterstützte Betriebssysteme: Microsoft Windows 98/ME/NT 4.0/2000/XP und Windows Vista
Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
• Voraussetzung: Internet Explorer (IE) 5.0 oder höher
• Haken bei "YES, I accept the Terms of Use" machen
• Start
• ActiveX-Steuerelement installieren
• Start
• Signaturen werden heruntergeladen
• Haken machen bei "Remove found threads"
• Haken machen bei "Remove found threads" und "Scan unwanted applications"
• Scan
• Scanende
• Browser schließen
• Explorer öffnen
• C:\Programme\EsetOnlineScanner\log.txt
• Log hier posten
• Deinstallation: Systemsteuerung => Software => Eset Online Scanner entfernen.


Schritt 3

Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.
Seitenanfang Seitenende
29.06.2010, 13:35
...neu hier

Themenstarter

Beiträge: 8
#12 Moin ,
erstmal wieder vielen herzlichen dank an dich, Swiss !!
Ich habe gestern nun endgültig einen Cut gemacht und den PC neu aufgesetzt.

Konkret: den MBR gefixt; Platte formatiert und Laufwerk C: aus einem Image (Acronis)
erstellt. Das Quellsystem war sauber (auch umgfassend gescannt). Damit habe ich jetzt ein sauberes
System. Dann noch eine neue Windows ID verpasst und meine offizielle Office Version durch Patchen in der Registry erneut eingetragen
Gleich danach alle neuen Windows Updates drauf, Virenscanner im Focus (ist aktuell) und das ganze ging doch recht schnell von statten!

Und ich werde da auch morgen ein neues Image von erstellen :-)


ABER ich habe dank eurem Forum auch vieles über Malware und Tools gelernt und das ist doch auch sehr wertvoll.

Wünsche allen hier stets ein nicht infiziertes System.
Also nochmals ein großes
DANKESCHÖN
Combo
Seitenanfang Seitenende
29.06.2010, 16:55
Moderator

Beiträge: 5694
#13 Hallo Comboline

Ein Neuaufsetzen ist sicher immer die sicherste Lösung aufgrund Deiner Infizierung sicher auch am besten. Danke Dir für die Rückmeldung.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: