Virus gefunden, breitet sich aus

#0
02.07.2010, 12:39
Member

Beiträge: 28
#1 Zunächst muss ich mich ja entschuldigen, dass ich hier so schnell wieder einen Thread starte, aber die gute Nachricht ist diesmal, dass die Bekannte, um deren PC es geht, diesen direkt hier gelassen hat, so dass ich alle Tipps in Ruhe abarbeiten kann. Ich werde nun die einzelnen Punkte aus den Richtlinien für neue Postings abarbeiten und hier dann immer hinein editieren, bis ich fertig bin.


1.) Bisher habe ich den PC nur kurz angeguckt, es handelt sich um einen PC mit Windows XP SP 3 Home, auf dem neben Antivir noch eine Software Firewall installiert ist, da der PC wohl direkt per DSL-Modem mit dem Internet verbunden ist. Die Bekannte berichtete, dass sich Antivir seit einiger Zeit nicht mehr updaten ließe und dass sie sich den Virus wohl bei der Installation von Skype eingefangen habe. Antivir bringt demnach Meldungen über den Virenbefall, kann aber nichts löschen und ein USB-Stick, der an den Rechner angeschlossen und daraufhin an einem anderen PC benutzt wurde, ließ den zweiten Rechner auch Virenalarm auslösen.

Was es für ein Virus ist, weiß ich noch nicht. Ich habe bisher nur ein Image mit Acronis von der ganzen Systemplatte erstellt. Ich fang dann mal an, die weiteren Punkte abzuarbeiten!

2.) Temporäre Dateien und Systemwiederherstellung bereinigt.

3.) Scan mit aktuellem Malwarebytes durchgeführt. 150 Infizierte Objekte gefunden und entfernt, er benötigte für manche einen Reboot. Logfile nach der Bereinigung ist im Datei Anhang.

Zwischenfrage: Wieso findet er eigentlich etwas in "C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Temp\" wenn ich voher doch temporäre Ordner über die Datenträgerbereinigung gelöscht haben wollte?

Dieser Beitrag wurde am 02.07.2010 um 13:51 Uhr von armertropf editiert.
Seitenanfang Seitenende
02.07.2010, 14:44
Member

Themenstarter

Beiträge: 28
#2 4.) Gmer Log erstellt nach Scan, befindet sich im Dateianhang.

5.) HijackThis Scan durchgeführt und Log erstellt:

Zitat

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:46:18, on 02.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe
C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Beate\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Smart Start UP] C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe /Automation
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\system32\mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Cyber-shot Viewer-Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8431 bytes
6.) Uninstall Liste HiJackThis

Zitat

Adobe Acrobat 5.0
Adobe Flash Player ActiveX
Adobe Help Center 2.1
Adobe Photoshop Elements 5.0
Adobe Reader 8.1.3
AntiVir/XP
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
ATI HydraVision
AVM FRITZ!DSL
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
DVD Solution
Enable S3 for USB Device
FRITZ!Box
Google Earth
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Google Update Helper
Hauppauge German Help Files and Resources
Hauppauge WinTV Infrared Remote
Hauppauge WinTV Radio
Hauppauge WinTV Scheduler
Hauppauge WinTV Soft PVR
Hauppauge WinTV Source Selector
Hauppauge WinTV2000
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows XP (KB952287)
HP Extended Capabilities 4.7
HP Image Zone 4.7
HP PSC & OfficeJet 4.7
HP Software Update
InterActual Player
Java(TM) 6 Update 3
LiveReg (Symantec Corporation)
LiveUpdate 1.80 (Symantec Corporation)
Malwarebytes' Anti-Malware
Marvell Miniport Driver
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Microsoft Windows-Journal-Viewer
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
Multimedia Launcher
Nero OEM
PCFriendly
PowerDVD
PowerProducer
Presto! Mr. Photo 4
QuickTime
Realtek AC'97 Audio
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 10 (KB911565)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Sicherheitsupdate für Windows XP (KB961501)
Sicherheitsupdate für Windows XP (KB968537)
Sicherheitsupdate für Windows XP (KB969898)
Sicherheitsupdate für Windows XP (KB970238)
Smart Start UP
Sony Picture Utility
Sony USB Driver
T-Online 5.0
T-Online Copas
T-Online Direktanwahl
T-Online Fotoservice
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
VTPlus32 für WinTV (German)
Windows Communication Foundation
Windows Imaging Component
Windows Media Connect
Windows Media Connect
Windows Media Format Runtime
Windows Media Player 10
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation
Windows Workflow Foundation DE Language Pack
Windows XP Service Pack 3
WinRAR
WinZip
XML Paper Specification Shared Components Language Pack 1.0
ZoneAlarm
So, ich wäre dann damit durch. Außer Updates für alle möglichen Programme und Windows einzuspielen und diesen Updateüberprüfer von Secunia (oder wie er heißt), sowie neuen Virenschutz und Firewall zu installieren, fiele mir nichts mehr ein. Wäre daher super, wenn ihr mir helfen könntet! ;)

Anhang: gmer.txt
Dieser Beitrag wurde am 02.07.2010 um 14:52 Uhr von armertropf editiert.
Seitenanfang Seitenende
02.07.2010, 15:32
Member

Beiträge: 21
#3 möchte nicht gern dazwischen gehen,aber

@armertropf

zur Information:

wenn der Fall hier mit dem Virus erledigt sein sollte,

darf ich Dich bitte darauf aufmerksam machen, den IE updaten auf den IE 8 .

Zitat

MSIE: Internet Explorer v7.00
(auch wenn Du mit einem anderem Browser surfst, Du holst Dir ja mit dem IE diese Windows-updates.;) )

zudem diese Java updaten , wir haben schon das update 20! denn der hier ist sehr veraltert:

C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab

deinstalliere bitte dann das Java und downloade es Dir von hier :

https://cds.sun.com/is-bin/INTERSHOP.enfinity/WFS/CDS-CDS_Developer-Site/en_US/-/USD/ViewProductDetail-Start?ProductRef=jre-6u20-oth-JPR@CDS-CDS_Developer

Toolbars wie Google auch deinstallieren.

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/

die Einträge

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

kannst Du unter den Diensten beenden!

lasse die bitte weg.

Das war meine Wenigkeit dazu.;)
Seitenanfang Seitenende
02.07.2010, 15:35
Member

Themenstarter

Beiträge: 28
#4 Hallo grünspatz!

Danke für deine Tipps! Es ist nicht mein PC, mein eigener ist recht aktuell gepatcht. Die von Dir gemachten Anmerkungen werde ich auf jeden Fall auch umsetzen. Warte nur noch auf Anweisungen, was ich noch machen muss, um die Viren auch wirklich loszuwerden.

Achso, wäre es sinnvoll der Besitzerin unter XP nur Benutzerrechte zuzuweisen oder gibt es dann zu viele Probleme mit Programmen/Installationen, die fehlende Rechte beklagen? Ich hab selbst auch immer als Admin gearbeitet und jetzt unter Win 7 diese Benutzerkontensteuerung, wo das ja besser geregelt ist. Daher weiß ich nicht, wie es in der Praxis ist unter Win XP als Benutzer zu arbeiten.
Seitenanfang Seitenende
02.07.2010, 15:51
Member

Beiträge: 21
#5 Hallo armertropf

ist oki,

was mir jetzt aufgefallen ist, dieses Avira, kann es sein, daß da noch eine alte Avira Installation drauf ist?

ich gebe Dir mal den link zur aktuellsten Version (10-er)

http://www.free-av.de/de/download/download_servers.php

das wäre die (deutsche Version) Free

Md5: 436ad8bb691999b50b0bfb54c24b84b7 mit den 47,76 mb !

alles Gute ;)
Seitenanfang Seitenende
02.07.2010, 15:55
Member

Themenstarter

Beiträge: 28
#6

Zitat

grünspatz postete
Hallo armertropf

ist oki,

was mir jetzt aufgefallen ist, dieses Avira, kann es sein, daß da noch eine alte Avira Installation drauf ist?

ich gebe Dir mal den link zur aktuellsten Version (10-er)

http://www.free-av.de/de/download/download_servers.php

das wäre die (deutsche Version) Free

Md5: 436ad8bb691999b50b0bfb54c24b84b7 mit den 47,76 mb !

alles Gute ;)
Jop, ist ne völlig veraltete drauf und die Firewall ebenso, das hatte ich schon vor das beides zu aktualisieren. Firewall weiß ich aber noch gar nicht so genau, was ich da nehmen soll. Ich hab selbst sowas nicht, bzw. eben nur die Windows Firewall, bin aber auch hinter einem Router und sie verbindet sich offenbar direkt.
Seitenanfang Seitenende
02.07.2010, 22:41
Member

Themenstarter

Beiträge: 28
#7 Ich bräuchte schon noch Hilfe, ich glaub das ging jetzt etwas unter wegen der Ratschläge von grünspatz. Hab inzwischen alle Windows Updates inkl. IE 8 installiert. Java, Flash, Adobe Reader geupdatet, Secunia PSI installiert und scannen lassen. Microsoft Security Essentials installiert und scannen lassen (wieder 3 Funde).

Das alte Antivir und Zonealarm hab ich deinstalliert, auch das alte Java.
Seitenanfang Seitenende
03.07.2010, 11:05
Moderator

Beiträge: 5694
#8 Schritt 1

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.

Schritt 2

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.
Seitenanfang Seitenende
03.07.2010, 13:06
Member

Themenstarter

Beiträge: 28
#9 @Swisstreasure: Bin so froh, dass du da bist!

Den Rootkitscan mit GMER hab ich schon gemacht, das Log befindet sich im Anhang meines zweiten Postings. Ich kann es aber auch erneut machen, wenn was nicht richtig war.

Ich mach zunächst mal den Systemscan mit OTL und editiere das Ergebnis dann hier rein.

Ein Problem ist, dass der Rechner, wenn ich den Echtzeitscanner von Microsoft Security Essentials laufen lasse, in dem Prozess "MsMpEng.exe" oft 100% CPU-Last verursacht, was das arbeiten sehr erschwert.

Und beim Neustarten muss ich immer zwei Fehler schließen. Einmal ServerWnd und einmal WindowsFormParking, beides irgendwie hängende im Hintergrund laufende Applikationen. Ich habe nachgelesen, dass es mit veralteteter T-Online Software bzw. mit veralteter HP-Software/Treibern zusammenhängen soll.

Schritt 1

Code

OTL logfile created on: 03.07.2010 13:12:21 - Run 1
OTL by OldTimer - Version 3.2.7.0     Folder = C:\Dokumente und Einstellungen\Beate\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

511,00 Mb Total Physical Memory | 216,00 Mb Available Physical Memory | 42,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 66,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 21,91 Gb Free Space | 29,40% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 7,58 Gb Total Space | 5,31 Gb Free Space | 70,04% Space Free | Partition Type: FAT32
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: PC01
Current User Name: Beate
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Processes (SafeList) ==========[/color]

PRC - C:\Dokumente und Einstellungen\Beate\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Microsoft Security Essentials\msseces.exe (Microsoft Corporation)
PRC - C:\Programme\Secunia\PSI\psi.exe (Secunia)
PRC - c:\Programme\Microsoft Security Essentials\MsMpEng.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe (NewSoft Technology Corporation)
PRC - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
PRC - C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe (Adobe Systems Incorporated)
PRC - C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin)
PRC - C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin)
PRC - C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe (Sony Corporation)
PRC - C:\Programme\WinTV\Ir.exe (Hauppauge Computer Works)
PRC - C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
PRC - C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe (Marmiko IT-Solutions GmbH)
PRC - C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)


[color=#E56717]========== Modules (SafeList) ==========[/color]

MOD - C:\Dokumente und Einstellungen\Beate\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)


[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - (MsMpSvc) -- c:\Programme\Microsoft Security Essentials\MsMpEng.exe (Microsoft Corporation)
SRV - (AdobeActiveFileMonitor5.0) -- C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe ()
SRV - (AVM IGD CTRL Service) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin)
SRV - (de_serv) -- C:\Programme\Gemeinsame Dateien\AVM\De_serv.exe (AVM Berlin)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - (PSI) -- C:\WINDOWS\system32\drivers\psi_mf.sys (Secunia)
DRV - (MpFilter) -- C:\WINDOWS\system32\drivers\MpFilter.sys (Microsoft Corporation)
DRV - (gameenum) -- C:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (AVMUNET) -- C:\WINDOWS\system32\drivers\avmunet.sys (AVM GmbH)
DRV - (hcw88rc5) -- C:\WINDOWS\system32\drivers\HCW88rc5.sys (Hauppauge Computer Works, Inc.)
DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)
DRV - (ALCXWDM) Service for Realtek AC97 Audio (WDM) -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS (Realtek Semiconductor Corp.)
DRV - (ALCXSENS) -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS (Sensaura)
DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yukonwxp.sys (Marvell Semiconductor Inc.)
DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.)
DRV - (HSF_DP) -- C:\WINDOWS\system32\drivers\HSF_DP.sys (Conexant Systems)
DRV - (winachsf) -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys (Conexant Systems)
DRV - (HSFHWBS2) -- C:\WINDOWS\system32\drivers\HSFHWBS2.sys (Conexant Systems)
DRV - (MODEMCSA) -- C:\WINDOWS\system32\drivers\MODEMCSA.sys (Microsoft Corporation)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = fritz.box



O1 HOSTS File: ([2010.07.02 19:43:02 | 000,000,874 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Photo Downloader] C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [MSSE] c:\Programme\Microsoft Security Essentials\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [RemoteControl] C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)
O4 - HKLM..\Run: [Smart Start UP] C:\Programme\NewSoft\Smart Start UP\PnPDetect.exe (NewSoft Technology Corporation)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe (Marmiko IT-Solutions GmbH)
O4 - HKCU..\Run: [PowerBar]  File not found
O4 - HKLM..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe (Hauppauge Computer Works)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\Beate\Startmenü\Programme\Autostart\Cyber-shot Viewer-Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe (Sony Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Beate\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\Beate\Startmenü\Programme\Autostart\Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe (Secunia)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Local intranet)
O15 - HKCU\..Trusted Ranges: Range1 (•  in Local intranet)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1278104228890 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll ()
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.12.15 15:21:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{207da08d-7256-11df-9759-000fea30de59}\Shell\AutoRun\command - "" = E:\yqq8eqil.exe -- File not found
O33 - MountPoints2\{207da08d-7256-11df-9759-000fea30de59}\Shell\open\Command - "" = E:\yqq8eqil.exe -- File not found
O33 - MountPoints2\{2eff3762-4171-11de-96a9-000fea30de59}\Shell\AutoRun\command - "" = E:\upx.bat -- File not found
O33 - MountPoints2\{2eff3762-4171-11de-96a9-000fea30de59}\Shell\open\Command - "" = E:\upx.bat -- File not found
O33 - MountPoints2\{307e3c9c-de30-11db-950f-000fea30de59}\Shell - "" = AutoRun
O33 - MountPoints2\{307e3c9c-de30-11db-950f-000fea30de59}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{307e3c9c-de30-11db-950f-000fea30de59}\Shell\AutoRun\command - "" = E:\preinst.exe -- File not found
O33 - MountPoints2\{47af9652-f068-11dd-966b-000fea30de59}\Shell\AutoRun\command - "" = E:\a2h2.com -- File not found
O33 - MountPoints2\{47af9652-f068-11dd-966b-000fea30de59}\Shell\open\Command - "" = E:\a2h2.com -- File not found
O33 - MountPoints2\{62c57b86-c22f-11dd-963d-000fea30de59}\Shell\AutoRun\command - "" = E:\09lf.exe -- File not found
O33 - MountPoints2\{62c57b86-c22f-11dd-963d-000fea30de59}\Shell\open\Command - "" = E:\09lf.exe -- File not found
O33 - MountPoints2\{fefebd34-8173-11dd-9622-000fea30de59}\Shell\AutoRun\command - "" = E:\rpw.exe -- File not found
O33 - MountPoints2\{fefebd34-8173-11dd-9622-000fea30de59}\Shell\open\Command - "" = E:\rpw.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010.07.03 13:10:55 | 000,574,464 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Beate\Desktop\OTL.exe
[2010.07.03 12:16:52 | 033,850,672 | ---- | C] (Apple Inc.) -- C:\Dokumente und Einstellungen\Beate\Desktop\QuickTimeInstaller.exe
[2010.07.03 12:15:42 | 000,000,000 | ---D | C] -- C:\e2028d57c117c1249c9b29
[2010.07.03 12:09:13 | 000,231,888 | ---- | C] (Adobe Systems, Inc.) -- C:\Dokumente und Einstellungen\Beate\Desktop\uninstall_flash_player.exe
[2010.07.03 09:17:43 | 000,274,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll
[2010.07.03 09:17:43 | 000,017,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\mucltui.dll.mui
[2010.07.03 00:27:58 | 005,929,368 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Beate\Desktop\office2003-KB969603-FullFile-ENU.exe
[2010.07.02 23:36:28 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft CAPICOM 2.1.0.2
[2010.07.02 22:32:37 | 000,000,000 | ---D | C] -- C:\Programme\Secunia
[2010.07.02 22:32:13 | 000,734,168 | ---- | C] (Secunia) -- C:\Dokumente und Einstellungen\Beate\Desktop\PSISetup.exe
[2010.07.02 21:33:40 | 009,293,120 | ---- | C] (Mozilla) -- C:\Dokumente und Einstellungen\Beate\Desktop\Thunderbird Setup 3.1.exe
[2010.07.02 21:27:40 | 000,411,368 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.07.02 21:27:40 | 000,153,376 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.07.02 21:27:40 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.07.02 21:27:40 | 000,073,728 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.07.02 21:27:39 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.07.02 21:26:49 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2010.07.02 20:22:20 | 000,221,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MpSigStub.exe
[2010.07.02 20:20:03 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Security Essentials
[2010.07.02 20:17:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2010.07.02 20:17:10 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2010.07.02 19:58:21 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Beate\PrivacIE
[2010.07.02 19:58:19 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Beate\IECompatCache
[2010.07.02 19:56:57 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Beate\IETldCache
[2010.07.02 19:51:12 | 000,743,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iedvtool.dll
[2010.07.02 19:51:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\ie8updates
[2010.07.02 19:47:57 | 000,000,000 | -H-D | C] -- C:\WINDOWS\ie8
[2010.07.02 19:38:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Anwendungsdaten\PCHealth
[2010.07.02 19:16:56 | 000,285,696 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\dllcache\atmfd.dll
[2010.07.02 19:13:59 | 000,100,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\6to4svc.dll
[2010.07.02 19:12:07 | 000,465,920 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\smtpsvc.dll
[2010.07.02 19:08:17 | 000,177,664 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wintrust.dll
[2010.07.02 19:07:16 | 003,558,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\moviemk.exe
[2010.07.02 19:06:16 | 000,017,920 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msyuv.dll
[2010.07.02 19:04:22 | 000,033,280 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\csrsrv.dll
[2010.07.02 19:03:28 | 000,474,624 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shlwapi.dll
[2010.07.02 19:02:30 | 000,119,808 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\t2embed.dll
[2010.07.02 19:02:30 | 000,081,920 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\fontsub.dll
[2010.07.02 19:01:37 | 000,150,528 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\rastls.dll
[2010.07.02 19:01:37 | 000,079,872 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\raschap.dll
[2010.07.02 18:59:37 | 001,441,792 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\query.dll
[2010.07.02 18:58:47 | 000,058,880 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msasn1.dll
[2010.07.02 18:53:04 | 000,078,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\telnet.exe
[2010.07.02 18:52:15 | 000,132,096 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wkssvc.dll
[2010.07.02 18:50:39 | 000,058,880 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\atl.dll
[2010.07.02 18:46:45 | 000,104,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\win32spl.dll
[2010.07.02 18:46:45 | 000,074,752 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msw3prt.dll
[2010.07.02 18:45:30 | 000,000,000 | ---D | C] -- C:\Programme\Windows Media Connect 2
[2010.07.02 18:44:46 | 000,613,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wmpmde.dll
[2010.07.02 18:44:46 | 000,130,048 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wmpps.dll
[2010.07.02 18:44:41 | 000,295,936 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wmpeffects.dll
[2010.07.02 18:43:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\umdf
[2010.07.02 18:42:59 | 000,017,408 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wpdshextautoplay.exe
[2010.07.02 18:42:58 | 000,671,232 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\umdf\wpdmtpdr.dll
[2010.07.02 18:42:57 | 001,574,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMVENCOD.dll
[2010.07.02 18:42:57 | 001,382,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMVSDECD.dll
[2010.07.02 18:42:57 | 000,767,488 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMVSENCD.dll
[2010.07.02 18:42:57 | 000,656,896 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMVXENCD.dll
[2010.07.02 18:42:56 | 001,543,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\WMVDECOD.dll
[2010.07.02 18:42:51 | 000,535,040 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wmdrmsdk.dll
[2010.07.02 18:42:49 | 000,284,160 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\PortableDeviceApi.dll
[2010.07.02 18:42:49 | 000,199,168 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\PortableDeviceWMDRM.dll
[2010.07.02 18:42:49 | 000,166,912 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\PortableDeviceTypes.dll
[2010.07.02 18:42:49 | 000,132,096 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\PortableDeviceWiaCompat.dll
[2010.07.02 18:42:49 | 000,101,888 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\PortableDeviceClassExtension.dll
[2010.07.02 18:42:48 | 000,317,440 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MP4SDECD.dll
[2010.07.02 18:42:48 | 000,259,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MPG4DECD.dll
[2010.07.02 18:42:48 | 000,259,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MP43DECD.dll
[2010.07.02 18:42:48 | 000,249,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drmupgds.exe
[2010.07.02 18:42:48 | 000,212,992 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MFPLAT.dll
[2010.07.02 18:42:48 | 000,043,008 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\wpdshextres.dll
[2010.07.02 18:31:41 | 000,000,000 | ---D | C] -- C:\8f773817ae6e08ed81374d7fec019e32
[2010.07.02 14:45:16 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Beate\Desktop\HJT.exe
[2010.07.02 13:13:29 | 000,471,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aclayers.dll
[2010.07.02 13:09:28 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe
[2010.07.02 13:09:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.07.02 13:04:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2010.07.02 13:01:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Beate\Anwendungsdaten\Malwarebytes
[2010.07.02 13:01:46 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.07.02 13:01:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.07.01 18:53:28 | 000,012,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mouhid.sys
[2010.07.01 18:53:22 | 000,010,368 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\hidusb.sys
[2010.06.07 19:00:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Beate\Eigene Dateien\English
[2004.12.15 16:09:44 | 000,135,168 | R--- | C] ( ) -- C:\WINDOWS\System32\ATIDEMGR.dll
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2010.07.03 13:11:45 | 000,000,400 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2010.07.03 13:11:02 | 000,574,464 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Beate\Desktop\OTL.exe
[2010.07.03 13:08:37 | 000,019,240 | ---- | M] () -- C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
[2010.07.03 13:07:39 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.07.03 13:06:28 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010.07.03 13:06:24 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.07.03 13:06:23 | 536,403,968 | -HS- | M] () -- C:\hiberfil.sys
[2010.07.03 13:06:23 | 000,118,952 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.07.03 13:05:03 | 003,932,160 | -H-- | M] () -- C:\Dokumente und Einstellungen\Beate\NTUSER.DAT
[2010.07.03 13:05:03 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\Beate\ntuser.ini
[2010.07.03 12:17:02 | 033,850,672 | ---- | M] (Apple Inc.) -- C:\Dokumente und Einstellungen\Beate\Desktop\QuickTimeInstaller.exe
[2010.07.03 12:09:14 | 000,231,888 | ---- | M] (Adobe Systems, Inc.) -- C:\Dokumente und Einstellungen\Beate\Desktop\uninstall_flash_player.exe
[2010.07.03 00:30:26 | 005,929,368 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Beate\Desktop\office2003-KB969603-FullFile-ENU.exe
[2010.07.03 00:26:42 | 000,441,124 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.07.03 00:26:41 | 000,458,822 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.07.03 00:26:41 | 000,084,326 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.07.03 00:26:41 | 000,071,060 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.07.03 00:26:40 | 001,070,080 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010.07.02 23:48:26 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2010.07.02 22:32:55 | 000,000,706 | ---- | M] () -- C:\Dokumente und Einstellungen\Beate\Startmenü\Programme\Autostart\Secunia PSI.lnk
[2010.07.02 22:32:23 | 000,734,168 | ---- | M] (Secunia) -- C:\Dokumente und Einstellungen\Beate\Desktop\PSISetup.exe
[2010.07.02 21:33:38 | 009,293,120 | ---- | M] (Mozilla) -- C:\Dokumente und Einstellungen\Beate\Desktop\Thunderbird Setup 3.1.exe
[2010.07.02 21:26:53 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\deployJava1.dll
[2010.07.02 21:26:53 | 000,153,376 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe
[2010.07.02 21:26:53 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe
[2010.07.02 21:26:53 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe
[2010.07.02 21:26:53 | 000,073,728 | ---- | M] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javacpl.cpl
[2010.07.02 21:02:21 | 000,001,715 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2010.07.02 20:20:04 | 000,000,804 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft Security Essentials.lnk
[2010.07.02 19:43:02 | 000,000,874 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2010.07.02 18:45:54 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2010.07.02 18:45:53 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2010.07.02 18:45:47 | 000,000,944 | ---- | M] () -- C:\WINDOWS\win.ini
[2010.07.02 14:45:17 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Beate\Desktop\HJT.exe
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2010.07.02 22:32:55 | 000,000,706 | ---- | C] () -- C:\Dokumente und Einstellungen\Beate\Startmenü\Programme\Autostart\Secunia PSI.lnk
[2010.07.02 20:25:41 | 000,000,400 | -H-- | C] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2010.07.02 20:20:04 | 000,000,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft Security Essentials.lnk
[2010.07.02 20:05:55 | 000,001,715 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2009.04.11 08:26:17 | 000,000,118 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2007.02.04 18:08:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\pcf.INI
[2007.01.30 07:03:40 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2007.01.07 19:56:04 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.12.12 18:24:42 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\DivXWMPExtType.dll
[2006.11.19 14:57:35 | 000,003,654 | ---- | C] () -- C:\WINDOWS\System32\drivers\Sonyhcp.dll
[2006.05.13 14:01:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\pcfriend.INI
[2005.07.16 20:43:57 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2005.01.17 16:08:46 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\HCWxds.dll
[2004.12.26 21:46:24 | 000,000,211 | ---- | C] () -- C:\WINDOWS\uno.ini
[2004.12.26 21:46:18 | 000,287,744 | ---- | C] () -- C:\WINDOWS\uno364mi.dll
[2004.12.26 21:46:18 | 000,109,568 | ---- | C] () -- C:\WINDOWS\vos364mi.dll
[2004.12.26 21:46:18 | 000,091,648 | ---- | C] () -- C:\WINDOWS\osl364mi.dll
[2004.12.26 19:30:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2004.12.22 23:34:34 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2004.12.15 16:20:06 | 000,026,832 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2004.12.15 16:20:01 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\dmcrypto.dll
[2004.12.15 16:17:34 | 000,001,840 | ---- | C] () -- C:\WINDOWS\HCWPNP.INI
[2004.12.15 16:17:25 | 000,001,946 | ---- | C] () -- C:\WINDOWS\vtplus32.ini
[2004.12.15 15:51:36 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2004.08.03 15:35:14 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll
[1998.10.11 00:07:38 | 000,088,576 | ---- | C] () -- C:\WINDOWS\System32\Iticheck.dll
< End of report >

Code

OTL Extras logfile created on: 03.07.2010 13:12:21 - Run 1
OTL by OldTimer - Version 3.2.7.0     Folder = C:\Dokumente und Einstellungen\Beate\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

511,00 Mb Total Physical Memory | 216,00 Mb Available Physical Memory | 42,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 66,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 21,91 Gb Free Space | 29,40% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 7,58 Gb Total Space | 5,31 Gb Free Space | 70,04% Space Free | Partition Type: FAT32
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: PC01
Current User Name: Beate
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]


[color=#E56717]========== File Associations ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

[color=#E56717]========== Shell Spawning ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\OFFICE11\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008

[color=#E56717]========== Authorized Applications List ==========[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\FRITZ!DSL\IGDCTRL.EXE" = C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe -- (AVM Berlin)


[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0B69DA57-BC7D-461D-B7D6-2AA9F08869CD}" = QuickTime
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{0DC86BEC-5CE3-413A-BB61-C40A3D186B24}" = Scan
"{14BEB6DF-A499-4A38-8E06-E173BCD5C087}" = ScannerCopy
"{17293791-C82E-476C-9997-9A0FF234A19B}" = HP Product Assistant
"{181821B7-82AA-44DA-9DAF-EF254CCB670A}" = Fax
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1AD5F465-8282-4DAD-B957-E09C0B783D18}" = InstantShare
"{1B680FBA-E317-4E93-AF43-3B59798A4BE0}" = Copy
"{1E04F83B-2AB9-4301-9EF7-E86307F79C72}" = Google Earth
"{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = Multimedia Launcher
"{20FBC0A0-3160-4F14-83ED-3A74BB6B8C31}" = TrayApp
"{25569723-DC5A-4467-A639-79535BF01B71}" = Adobe Help Center 2.1
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 20
"{272EC8BA-5A08-4ea1-A189-684466A06B02}" = cp_dwShrek2Albums1
"{2C9241DC-E141-4BB9-99F2-0BC54D81862F}" = Smart Start UP
"{2E8428AD-6CD2-4031-916A-3CF9BBF2DEC9}" = Unload
"{342C7C88-D335-4bc2-8CF1-281857629CE2}" = HP PSC & OfficeJet 4.7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3762DB2D-71BD-421F-9E55-C74DA7DF4D07}" = CueTour
"{391E18CE-7D3B-45E9-A8F0-34E77F14F47A}" = ProductContext
"{3947442A-1409-45fc-A885-FB1CF937675D}" = 1400
"{3EA9D975-BFDC-4E8E-B88B-0446FBC8CA66}" = ATI HydraVision
"{43DCF766-6838-4F9A-8C91-D92DA586DFA7}" = Microsoft Windows-Journal-Viewer
"{442BE28B-782B-4DC0-B490-E70A403B1C69}" = Readme
"{498A4E3D-562E-4129-8722-6DCAB12384AE}" = Windows Communication Foundation Language Pack - DEU
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5C29CB8B-AC1E-4114-8D68-9CD080140D4A}" = Sony USB Driver
"{5E8D588F-307C-4250-B622-26969027319A}" = PanoStandAlone
"{644D04A2-C682-4FD5-977D-03B804C4B9C5}" = CreativeProjects
"{646A65DD-23FC-418E-B9F0-E0500FB42CB1}" = PhotoGallery
"{64FC0C98-B035-4530-B15D-3D30610B6DF1}" = HP Software Update
"{655CB07D-C944-40BE-B93F-55957CAC7625}" = AiO_Scan
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{68963635-14A4-48D9-B431-DF3A74D1AAE1}" = Destinations
"{700A6597-3CE6-49C1-AA75-846B24CDA66D}" = BufferChm
"{7228FD8C-3B9E-4204-AE36-8A466107685B}" = Windows Workflow Foundation DE Language Pack
"{724517BD-1DE1-4986-BFCA-C1DFD379E3BC}" = cp_dwShrek2Cards1
"{76EA55BD-535F-4AB4-AD80-A8CA331F4E6F}" = Windows Messenger 5.1
"{7AD25C9F-9957-4D1C-95EF-9BCD09F6D31B}" = HPSystemDiagnostics
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{8283FCCD-AC71-4DC1-A81E-4F244FBBE11D}" = T-Online 5.0
"{84CDF5A8-1D57-4B69-BAB6-1F11D8923375}" = SkinsHP1
"{84ED5482-CFB0-4DD9-BF18-489FFDACD18A}" = Microsoft Antimalware Service DE-DE Language Pack
"{85CFD253-38AE-4DB1-ACB7-F0F4C791990D}" = AiOSoftware
"{8777AC6D-89F9-4793-8266-DE406F343E89}" = QFolder
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{8BC3B99B-A6BE-4A0B-8535-B1B94BA4B1B1}" = DocProc
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{A07BAED2-DA9A-436A-83F1-80BA23FA9E4B}" = 1400_Help
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A5B9D22C-755A-4AC6-9904-875E80838BB6}" = CP_AtenaShokunin1Config
"{A7B609FB-83D8-4FC3-8477-1BC65ECFE85B}" = Adobe Photoshop Elements 5.0
"{AC76BA86-7AD7-1031-7B44-A93000000001}" = Adobe Reader 9.3.3 - Deutsch
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{B911B811-BA3E-46D4-90F8-6F3338359651}" = Director
"{B97CF5C3-0487-11D8-A36E-0050BAE317E1}" = DVD Solution
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BD29EBAC-AD7D-4b27-B727-4CC6AC52D36B}" = MarketResearch
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C950420B-4182-49EA-850A-A6A2ABF06C6B}" = Marvell Miniport Driver
"{CAF7A270-55D5-455F-B0D1-6C51EADC1C3A}" = Presto! Mr. Photo 4
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CDFCF124-115F-4976-8BF4-08C89187A146}" = WebReg
"{CE0C8CC5-E396-442B-A50E-D1D374A9E820}" = DocumentViewer
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D5068583-D569-468B-9755-5FBF5848F46F}" = Sony Picture Utility
"{DE66E6E1-BFBC-4586-A03C-686598F4CA3C}" = 1400Trb
"{E62A1F01-07B7-4541-A835-EE5B0BF064C2}" = Microsoft Antimalware
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EF98A02A-1748-4762-9B7D-5ED1600520D5}" = Microsoft Security Essentials
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{F6869CD2-3DB4-476D-A4C7-B3AE7C3ACF7B}" = Windows Media Connect
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FC22D020-3005-4715-8DF9-F3EDE81DEB3D}" = CreativeProjectsTemplates
"{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}" = HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Photoshop Elements 5" = Adobe Photoshop Elements 5.0
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"AVMFBox" = FRITZ!Box
"DivX Content Uploader" = DivX Content Uploader
"Enable S3 for USB Device" = Enable S3 for USB Device
"FRITZ!DSL" = AVM FRITZ!DSL
"Hauppauge German Help Files and Resources" = Hauppauge German Help Files and Resources
"Hauppauge WinTV Infrared Remote" = Hauppauge WinTV Infrared Remote
"Hauppauge WinTV Radio" = Hauppauge WinTV Radio
"Hauppauge WinTV Scheduler" = Hauppauge WinTV Scheduler
"Hauppauge WinTV Soft PVR" = Hauppauge WinTV Soft PVR
"Hauppauge WinTV Source Selector" = Hauppauge WinTV Source Selector
"Hauppauge WinTV2000" = Hauppauge WinTV2000
"HP Photo & Imaging" = HP Image Zone 4.7
"HPExtendedCapabilities" = HP Extended Capabilities 4.7
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{0B69DA57-BC7D-461D-B7D6-2AA9F08869CD}" = QuickTime
"InterActual Player" = InterActual Player
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft Security Essentials" = Microsoft Security Essentials
"Nero - Burning Rom!UninstallKey" = Nero OEM
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"PCFriendly" = PCFriendly
"Secunia PSI" = Secunia PSI
"T-Online Copas" = T-Online Copas
"T-Online Direktanwahl" = T-Online Direktanwahl
"T-Online Fotoservice" = T-Online Fotoservice
"VTPlus32 für WinTV (German)" = VTPlus32 für WinTV (German)
"WIC" = Windows Imaging Component
"Windows Media Connect" = Windows Media Connect
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

[color=#E56717]========== HKEY_CURRENT_USER Uninstall List ==========[/color]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"adde9a7ab843099f" = ringfoto Fotobuch

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ Application Events ]
Error - 02.07.2010 14:13:47 | Computer Name = PC01 | Source = MSSecurityEssentials | ID = 5000
Description =

Error - 02.07.2010 14:14:06 | Computer Name = PC01 | Source = MSSecurityEssentials | ID = 5000
Description =

Error - 02.07.2010 14:17:00 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
bevor Sie mit dieser Installation fortfahren können.

Error - 02.07.2010 14:17:01 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
bevor Sie mit dieser Installation fortfahren können.

Error - 02.07.2010 14:17:02 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
bevor Sie mit dieser Installation fortfahren können.

Error - 02.07.2010 14:17:02 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
bevor Sie mit dieser Installation fortfahren können.

Error - 02.07.2010 14:17:02 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
bevor Sie mit dieser Installation fortfahren können.

Error - 02.07.2010 14:17:02 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
bevor Sie mit dieser Installation fortfahren können.

Error - 02.07.2010 14:17:03 | Computer Name = PC01 | Source = MsiInstaller | ID = 11500
Description = Produkt: Java(TM) 6 Update 20 -- Fehler 1500. Im Augenblick wird eine
weitere Installation ausgeführt. Sie müssen erst die zweite Installation abschließen,
bevor Sie mit dieser Installation fortfahren können.

Error - 02.07.2010 18:27:29 | Computer Name = PC01 | Source = MPSampleSubmission | ID = 5000
Description = EventType mptelemetry, P1 microsoft antimalware (bcf43643-a118-4432-aede-d861fcbcfcde),
P2 2.1.6805.0, P3 timeout, P4 1.1.5902.0, P5 local, P6 unspecified, P7 unspecified,
P8 NIL, P9 NIL, P10 NIL.

[ System Events ]
Error - 02.07.2010 14:11:21 | Computer Name = PC01 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.07.2010 14:11:21 | Computer Name = PC01 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.07.2010 14:11:21 | Computer Name = PC01 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.07.2010 14:11:21 | Computer Name = PC01 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.07.2010 14:11:22 | Computer Name = PC01 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.07.2010 14:11:22 | Computer Name = PC01 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Anwendungsverwaltung" wurde mit folgendem Fehler beendet:
   %%126

Error - 02.07.2010 14:17:31 | Computer Name = PC01 | Source = Windows Update Agent | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
Fehler 0x800706be fehlgeschlagen: Update für die Microsoft .NET Framework 3.5 Service
Pack 1- und .NET Framework 3.5-Produktfamilie für die .NET-Versionen 2.0 bis 3.5
(KB951847) x86

Error - 02.07.2010 18:15:46 | Computer Name = PC01 | Source = Windows Update Agent | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
Fehler 0x80070643 fehlgeschlagen: Microsoft .NET Framework2.0 Service Pack2-Update
für Windows Server2003 und WindowsXP x86 (KB976576)

Error - 02.07.2010 21:02:02 | Computer Name = PC01 | Source = Windows Update Agent | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
Fehler 0x80070643 fehlgeschlagen: Microsoft .NET Framework2.0 Service Pack2-Update
für Windows Server2003 und WindowsXP x86 (KB976576)

Error - 03.07.2010 03:33:33 | Computer Name = PC01 | Source = Windows Update Agent | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
Fehler 0x80070643 fehlgeschlagen: Microsoft .NET Framework2.0 Service Pack2-Update
für Windows Server2003 und WindowsXP x86 (KB976576)


< End of report >
Dieser Beitrag wurde am 03.07.2010 um 13:21 Uhr von armertropf editiert.
Seitenanfang Seitenende
03.07.2010, 20:12
Moderator

Beiträge: 5694
#10 Werde heute Abend posten wie es weiter geht
Seitenanfang Seitenende
03.07.2010, 21:33
Member

Themenstarter

Beiträge: 28
#11

Zitat

Swisstreasure postete
Werde heute Abend posten wie es weiter geht
Das ist super, vielen, vielen Dank schon mal, bin so froh über deine kompetente Hilfe.
Seitenanfang Seitenende
04.07.2010, 00:57
Moderator

Beiträge: 5694
#12 Du hast Dir übere infizierte externe Medien (USB-Stick, -Festplatte..) etwas eingefangen. Und zwar über E:\ Was hast Du dort angeschlossen in letzter Zeit?

Schritt 1

Desinfizierung/Absicherung externer Medien

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

• Trenne den Rechner physikalisch vom Netz.
• Deaktiviere den Hintergrundwächter deines AVP.
• Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
• Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
• Wenn der Scan zuende ist, kannst du das Programm schließen.
• Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, so dass dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Schritt 2

Datei-Überprüfung

Folgende Datei/en (siehe Codebox) bei VirusTotal online überprüfen lassen. Dafür musst Du jede Datei einzeln über den Button "Durchsuchen" und "Senden der Datei" nach VirusTotal hochladen und prüfen lassen. Wenn VirusTotal die Datei empfangen hat, wird sie diese mit mehreren Anti-Virus-Scannern prüfen und die Ergebnisse anzeigen. Sollte VirusTotal melden, dass die Datei bereits überpüft wurde, lasse sie trotzdem über den Button "Analysiere die Datei" erneut prüfen.

Wenn das Ergebnis vorliegt, den kleinen Button "Filter" links oberhalb der Ergebnisse drücken, dann das Ergebnis (egal wie es aussieht und dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren) hier posten. Solltest Du die Datei/en nicht finden oder hochladen können, dann teile uns das ebenfalls mit. Solltest Du die Datei/en nicht finden, überprüfe, ob folgende Einstellungen richtig gesetzt sind.

Zitat

C:\WINDOWS\System32\drmupgds.exe
C:\WINDOWS\System32\wpdshextautoplay.exe
Schritt 3

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKCU..\Run: [PowerBar]  File not found
O4 - HKLM..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe File not found
O33 - MountPoints2\{207da08d-7256-11df-9759-000fea30de59}\Shell\AutoRun\command - "" = E:\yqq8eqil.exe -- File not found
O33 - MountPoints2\{207da08d-7256-11df-9759-000fea30de59}\Shell\open\Command - "" = E:\yqq8eqil.exe -- File not found
O33 - MountPoints2\{2eff3762-4171-11de-96a9-000fea30de59}\Shell\AutoRun\command - "" = E:\upx.bat -- File not found
O33 - MountPoints2\{2eff3762-4171-11de-96a9-000fea30de59}\Shell\open\Command - "" = E:\upx.bat -- File not found
O33 - MountPoints2\{307e3c9c-de30-11db-950f-000fea30de59}\Shell - "" = AutoRun
O33 - MountPoints2\{307e3c9c-de30-11db-950f-000fea30de59}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{307e3c9c-de30-11db-950f-000fea30de59}\Shell\AutoRun\command - "" = E:\preinst.exe -- File not found
O33 - MountPoints2\{47af9652-f068-11dd-966b-000fea30de59}\Shell\AutoRun\command - "" = E:\a2h2.com -- File not found
O33 - MountPoints2\{47af9652-f068-11dd-966b-000fea30de59}\Shell\open\Command - "" = E:\a2h2.com -- File not found
O33 - MountPoints2\{62c57b86-c22f-11dd-963d-000fea30de59}\Shell\AutoRun\command - "" = E:\09lf.exe -- File not found
O33 - MountPoints2\{62c57b86-c22f-11dd-963d-000fea30de59}\Shell\open\Command - "" = E:\09lf.exe -- File not found
O33 - MountPoints2\{fefebd34-8173-11dd-9622-000fea30de59}\Shell\AutoRun\command - "" = E:\rpw.exe -- File not found
O33 - MountPoints2\{fefebd34-8173-11dd-9622-000fea30de59}\Shell\open\Command - "" = E:\rpw.exe -- File not found
:Commands
[purity]
[emptytemp]
• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• Klick auf .
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument.
Kopiere nun den Inhalt hier in Code-Tags in Deinen Thread

Schritt 4

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

• Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
• Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code

:filefind
mblxx

:regfind
mblxx
• Klicke nun auf den Button Look, um den Scan zu starten.
• Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
• Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.


Schritt 5

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT

.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

Schritt 6

Erneuter Systemscan mit OTL

• Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles in Code-Tags hier in den Thread.
Seitenanfang Seitenende
04.07.2010, 14:40
Member

Themenstarter

Beiträge: 28
#13 Nachdem ich heute Vormittag eine ausgedehnte Radtour gemacht habe, wollte ich mich eben dem Problem mit dem PC wieder widmen, aber beim Abziehen des Lan-Kabels ging im selben Augenblick die Maus nicht mehr. Auch nach 2-3x Neustarten und Testen an verschiedenen USB-Ports fror der Mauszeiger immer kurz nach der Anmeldung ein. Dann ging die Maus mal wieder längere Zeit und ich hatte das Programm aber irgendwie noch nicht heruntergeladen, hab das Lan-Kabel wieder rein und sofort stand der Mauszeiger wieder.

Die Tastatur geht allerdings. Man, der PC kostet mir echt den letzten Nerv. Falls es dann irgendwann klappt, hab ich noch ne Frage zu dem Flash Disinfecor: Soll ich wirklich erst den infizierten Stick rein tun und dann das Programm starten oder umgekehrt?
Seitenanfang Seitenende
04.07.2010, 17:27
Moderator

Beiträge: 5694
#14 Zuerst alles anstecken. Einfach nichts vom Stick ausführen. Also beim einstecken und gleichzeitig die Shift-Taste gedrückt halten.
Seitenanfang Seitenende
04.07.2010, 23:21
Member

Themenstarter

Beiträge: 28
#15 Schritt 1

Desinfizierung/Absicherung externer Medien

Durchgeführt. Kam nur ne Meldung mit "Ok" und dann hab ich den Rechner neu gestartet. Muss ich mit dem Stick denn noch was machen? Oder ist der nun virenfrei?

Schritt 2

Virustotal (Datei1):

Code

Datei drmupgds.exe empfangen 2010.07.04 21:21:46 (UTC)Antivirus Version letzte aktualisierung Ergebnis 
a-squared 5.0.0.31 2010.07.04 -
AhnLab-V3 2010.07.03.00 2010.07.03 -
AntiVir 8.2.4.2 2010.07.02 -
Antiy-AVL 2.0.3.7 2010.07.02 -
Authentium 5.2.0.5 2010.07.04 -
Avast 4.8.1351.0 2010.07.04 -
Avast5 5.0.332.0 2010.07.04 -
AVG 9.0.0.836 2010.07.04 -
BitDefender 7.2 2010.07.04 -
CAT-QuickHeal 11.00 2010.06.30 -
ClamAV 0.96.0.3-git 2010.07.04 -
Comodo 5318 2010.07.04 -
DrWeb 5.0.2.03300 2010.07.04 -
eSafe 7.0.17.0 2010.07.04 -
eTrust-Vet 36.1.7684 2010.07.03 -
F-Prot 4.6.1.107 2010.07.04 -
F-Secure 9.0.15370.0 2010.07.04 -
Fortinet 4.1.133.0 2010.07.04 -
GData 21 2010.07.04 -
Ikarus T3.1.1.84.0 2010.07.04 -
Jiangmin 13.0.900 2010.07.03 -
Kaspersky 7.0.0.125 2010.07.04 -
McAfee 5.400.0.1158 2010.07.04 -
McAfee-GW-Edition 2010.1 2010.07.04 -
Microsoft 1.5902 2010.07.03 -
NOD32 5251 2010.07.04 -
Norman 6.05.10 2010.07.04 -
nProtect 2010-07-04.02 2010.07.04 -
Panda 10.0.2.7 2010.07.04 -
PCTools 7.0.3.5 2010.07.02 -
Prevx 3.0 2010.07.04 -
Rising 22.54.04.04 2010.07.02 -
Sophos 4.54.0 2010.07.04 -
Sunbelt 6543 2010.07.04 -
Symantec 20101.1.0.89 2010.07.04 -
TheHacker 6.5.2.1.307 2010.07.04 -
TrendMicro 9.120.0.1004 2010.07.04 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.04 -
VBA32 3.12.12.5 2010.07.02 -
ViRobot 2010.7.3.3920 2010.07.04 -
VirusBuster 5.0.27.0 2010.07.04 -

weitere Informationen
File size: 249856 bytes
MD5...: abf0fadf619630041732d1ea5656ee45
SHA1..: 6df247bb79de445e108feb4ccb297862bc583f3d
SHA256: 12542ea9aed11535a62152dda00253bb7e27e55f5017231999896c9cb66a4004
ssdeep: 6144:VQsNt740ZEx75kgQykACzUWUPhjyBVkZHoL:CxNkgQykACzBU5jyqHoL<BR>
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x15a29<BR>timedatestamp.....: 0x4536f86c (Thu Oct 19 04:00:44 2006)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x37867 0x37a00 6.04 3a25b67c24efef3947c8311ee389c842<BR>.data 0x39000 0x39e5 0x3a00 5.85 b4f2a7af572296894957b7e6fbadf9c3<BR>.rsrc 0x3d000 0x3e8 0x400 3.38 f457e805c51ca6ca3a47545caa853c29<BR>.reloc 0x3e000 0x1230 0x1400 6.30 e3ff5a307cc87b731b58e2f07a06f241<BR><BR>( 10 imports ) <BR>&gt; ADVAPI32.dll: RegCloseKey, RegSetValueExW, RegOpenKeyExW, RegQueryValueExA, ConvertStringSecurityDescriptorToSecurityDescriptorW, SetFileSecurityW, RegQueryValueExW, OpenProcessToken, OpenThreadToken, DestroyPrivateObjectSecurity, GetSecurityDescriptorSacl, SetNamedSecurityInfoW, GetNamedSecurityInfoW, CreatePrivateObjectSecurityEx, GetSecurityDescriptorDacl, RegDeleteValueW, RegOpenKeyExA, RegCreateKeyExW<BR>&gt; KERNEL32.dll: ExpandEnvironmentStringsW, GetWindowsDirectoryW, GetSystemDirectoryW, LoadLibraryW, FreeLibrary, GetCurrentThread, GetDateFormatA, GetTimeFormatA, InterlockedDecrement, InterlockedIncrement, FlushFileBuffers, GetFileSize, SetEndOfFile, UnlockFileEx, LockFileEx, SetFilePointer, WriteFile, ReadFile, GetSystemTime, SystemTimeToFileTime, CopyFileW, CreateFileW, GetFileAttributesW, SetFileAttributesW, LocalFree, FindClose, RemoveDirectoryW, FindNextFileW, FindFirstFileW, CreateDirectoryW, LoadLibraryExW, UnmapViewOfFile, LocalAlloc, MapViewOfFile, GetTickCount, LoadLibraryA, GetProcAddress, GetModuleHandleW, CloseHandle, SetLastError, VirtualProtect, GetVersion, InitializeCriticalSectionAndSpinCount, VirtualFree, VirtualAlloc, ExitProcess, DeleteFileW, HeapAlloc, GetProcessHeap, HeapFree, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetLastError, GetVersionExA, GetVersionExW, InterlockedExchange, Sleep, InterlockedCompareExchange, OutputDebugStringA, GetModuleHandleA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, CreateFileMappingW<BR>&gt; msvcrt.dll: fprintf, fflush, fclose, fread, _wfopen, _errno, _purecall, iswctype, _onexit, _lock, __dllonexit, _unlock, _controlfp, memmove, memcpy, memset, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, __initenv, exit, _XcptFilter, _exit, _cexit, __getmainargs<BR>&gt; ole32.dll: StringFromIID, CoInitialize, CoCreateInstance, StgOpenStorage, StgOpenStorageEx, PropVariantClear, CoTaskMemFree, CoUninitialize<BR>&gt; OLEAUT32.dll: -, -, -, -, -, -<BR>&gt; ntdll.dll: wcsrchr, _wcsnicmp, _ltow, _vsnprintf, towlower, atol, _vsnwprintf, wcsncmp, RtlUnwind, _chkstk, _wcsicmp<BR>&gt; MFPlat.DLL: MFHeapAlloc, MFHeapFree<BR>&gt; RPCRT4.dll: UuidCreate<BR>&gt; VERSION.dll: GetFileVersionInfoW, VerQueryValueW, GetFileVersionInfoSizeW<BR>&gt; MSCAT32.dll: CryptCATAdminEnumCatalogFromHash, CryptCATAdminReleaseContext, CryptCATCatalogInfoFromContext, CryptCATAdminAcquireContext<BR><BR>( 0 exports ) <BR>
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)<BR>Win32 Executable Generic (14.7%)<BR>Win32 Dynamic Link Library (generic) (13.1%)<BR>Generic Win/DOS Executable (3.4%)<BR>DOS Executable Generic (3.4%)
sigcheck:<BR>publisher....: Microsoft Corporation<BR>copyright....: (c) Microsoft Corporation. All rights reserved.<BR>product......: Microsoft_ Windows_ Operating System<BR>description..: DRM Migrate EXE<BR>original name: drmupgds.exe<BR>internal name: drmupgds.exe<BR>file version.: 11.0.5721.5145 (WMP_11.061018-2006)<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>
Virustotal (Datei2):

Code

Datei wpdshextautoplay.exe empfangen 2010.07.04 21:26:28 (UTC)Antivirus Version letzte aktualisierung Ergebnis 
a-squared 5.0.0.31 2010.07.04 -
AhnLab-V3 2010.07.03.00 2010.07.03 -
AntiVir 8.2.4.2 2010.07.02 -
Antiy-AVL 2.0.3.7 2010.07.02 -
Authentium 5.2.0.5 2010.07.04 -
Avast 4.8.1351.0 2010.07.04 -
Avast5 5.0.332.0 2010.07.04 -
AVG 9.0.0.836 2010.07.04 -
BitDefender 7.2 2010.07.04 -
CAT-QuickHeal 11.00 2010.06.30 -
ClamAV 0.96.0.3-git 2010.07.04 -
Comodo 5318 2010.07.04 -
DrWeb 5.0.2.03300 2010.07.04 -
eSafe 7.0.17.0 2010.07.04 -
eTrust-Vet 36.1.7684 2010.07.03 -
F-Prot 4.6.1.107 2010.07.04 -
F-Secure 9.0.15370.0 2010.07.04 -
Fortinet 4.1.133.0 2010.07.04 -
GData 21 2010.07.04 -
Ikarus T3.1.1.84.0 2010.07.04 -
Jiangmin 13.0.900 2010.07.03 -
Kaspersky 7.0.0.125 2010.07.04 -
McAfee 5.400.0.1158 2010.07.04 -
McAfee-GW-Edition 2010.1 2010.07.04 -
Microsoft 1.5902 2010.07.03 -
NOD32 5251 2010.07.04 -
Norman 6.05.10 2010.07.04 -
nProtect 2010-07-04.02 2010.07.04 -
Panda 10.0.2.7 2010.07.04 -
PCTools 7.0.3.5 2010.07.02 -
Prevx 3.0 2010.07.04 -
Rising 22.54.04.04 2010.07.02 -
Sophos 4.54.0 2010.07.04 -
Sunbelt 6543 2010.07.04 -
Symantec 20101.1.0.89 2010.07.04 -
TheHacker 6.5.2.1.307 2010.07.04 -
TrendMicro 9.120.0.1004 2010.07.04 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.04 -
VBA32 3.12.12.5 2010.07.02 -
ViRobot 2010.7.3.3920 2010.07.04 -
VirusBuster 5.0.27.0 2010.07.04 -

weitere Informationen
File size: 17408 bytes
MD5...: f585fd5a80adca994b7edf274c39c931
SHA1..: 75df11ab55ba21728976b50667f3d6a158c0d352
SHA256: b6bf5de75a34ba871a748686837852e07ecc61eb64199005c5693e388f6d388e
ssdeep: 384:p2248JhlpWnqKgoPNYP6GBhqN6bzWzHWC:rDlQqKgSyjo6bc<BR>
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x2e90<BR>timedatestamp.....: 0x4536f84d (Thu Oct 19 04:00:13 2006)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x2d12 0x2e00 6.23 a81ae11d4893be6150ecce71e6e07cce<BR>.data 0x4000 0x690 0x400 5.79 96565fbb8030f03a8dea2ced36bc069a<BR>.rsrc 0x5000 0x750 0x800 4.24 c4da03fdf4c4812562064d5ccaa988f5<BR>.reloc 0x6000 0x528 0x600 3.43 bd8e96ed5c2c2e1aad6db00457e9b0e4<BR><BR>( 7 imports ) <BR>&gt; ADVAPI32.dll: TraceMessage<BR>&gt; KERNEL32.dll: InterlockedDecrement, InterlockedIncrement, CloseHandle, UnmapViewOfFile, MapViewOfFile, CreateFileMappingW, GetVersion, GetLastError, SetEvent, CompareStringW, WaitForSingleObject, CreateEventW, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, RtlUnwind, GetStartupInfoA, InterlockedCompareExchange, Sleep, InterlockedExchange, SetUnhandledExceptionFilter<BR>&gt; USER32.dll: SendMessageW, FindWindowW<BR>&gt; msvcrt.dll: exit, _acmdln, _initterm, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, _ismbblead, _XcptFilter, _exit, _cexit, __getmainargs, memset, _vsnwprintf, __3@YAXPAX@Z, wcstok, __2@YAPAXI@Z<BR>&gt; SHLWAPI.dll: StrRStrIW<BR>&gt; ole32.dll: CoUninitialize, CLSIDFromString, CoRegisterClassObject, CreateBindCtx, CoRevokeClassObject, CoInitializeEx<BR>&gt; SHELL32.dll: ShellExecuteExW, -, SHParseDisplayName<BR><BR>( 0 exports ) <BR>
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
trid..: Win64 Executable Generic (80.9%)<BR>Win32 Executable Generic (8.0%)<BR>Win32 Dynamic Link Library (generic) (7.1%)<BR>Generic Win/DOS Executable (1.8%)<BR>DOS Executable Generic (1.8%)
sigcheck:<BR>publisher....: Microsoft Corporation<BR>copyright....: (c) Microsoft Corporation. All rights reserved.<BR>product......: Microsoft_ Windows_ Operating System<BR>description..: Windows Portable Device Shell Extension Autoplay Handler<BR>original name: WPDShextAutoplay.exe<BR>internal name: <BR>file version.: 5.2.5721.5145 (WMP_11.061018-2006)<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>
Dieser Beitrag wurde am 04.07.2010 um 23:29 Uhr von armertropf editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: