Home » Spyware & Browser Hijacker Support Forum » TR/Agent.564800 u.v.m. mit Antivir free gefunden » Themenansicht

TR/Agent.564800 u.v.m. mit Antivir free gefunden
#0
12.10.2010, 19:55
news.reh
...neu hier

Beiträge: 6
#1 Schritt 1

- am 09.10. unzählig Warnungen TR und Viren von AVir free und Zonealarm. Die Meldungen habe ich nicht mehr alle im Kopf.
- Popup von "Microsoft Security ...." Systembefall mit TR mit Vorschlag für AV-Programme aus dem Netz. Das habe ich aber nicht gemacht, weil es alles irgendwie komisch war.
- Wenn ich ins Netz wollte Popup mit Meldung Browser veralten und Aktualisierungsbutton. War auch irgend wie komisch und nicht durchgeführt da Firefox immer aktuell ist.
- Ich bin erst wieder ins Netz gekommen als ich diese ganzen Popups mit revo uninst. im Jagdmodus beendet habe.
- Kaum im Netz sollte ich eine Datei runterladen. Hab ich natürlich auch nicht gemacht.
- AVir aktualisiert Komplettscan und Entfernungsversuch mit Ergebnis 0
- seltsame Einträge in Reg wilde Buchstabenaneinanderreihung
- asquared und spybot hab ich auch drüber gejagt aber die haben nur Kleinigkeiten gefunden.

- 11.10 TR/Agent.564800 gegoogelt dieses Forum entdeckt gelesen und malwarebytes geholt und durchlaufen lassen. log von 19.38; 19.43; 21.06 keine Meldung mehr.

Code


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4795

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

11.10.2010 19:38:19
mbam-log-2010-10-11 (19-38-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 178164
Laufzeit: 23 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mtesusobogis (Trojan.Hiloti) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\kbtsxdbt.dll (Trojan.Hiloti) -> No action taken.
C:\Dokumente und Einstellungen\Weber\Desktop\Everest Poker.exe (PUP.Casino) -> No action taken.
C:\RECYCLER\S-1-5-21-4053816907-732246416-4158065322-1005\Dc35.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\msrun.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\asdsada.bat (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\444.bat (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\avdrn.dat (Malware.Trace) -> No action taken.


Code


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4795

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

11.10.2010 19:43:51
mbam-log-2010-10-11 (19-43-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 178164
Laufzeit: 23 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mtesusobogis (Trojan.Hiloti) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\kbtsxdbt.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Weber\Desktop\Everest Poker.exe (PUP.Casino) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-4053816907-732246416-4158065322-1005\Dc35.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msrun.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\asdsada.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\444.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.


Code


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4795

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

11.10.2010 21:06:33
mbam-log-2010-10-11 (21-06-33).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 177967
Laufzeit: 23 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


- Die Buchstabensuppe in der Reg ist weg.
- Aber AVir tanzt immernoch Samba wenn ich den Rechner starte.

Code




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 11. Oktober 2010  21:11

Es wird nach 2919464 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : NICOLE

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  23.04.2010 15:02:21
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  23.04.2010 15:02:21
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 11:57:43
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 11:57:44
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 09:22:44
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 13:57:25
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 13:53:07
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 07:42:45
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 19:33:58
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 07:27:01
VBASE008.VDF   : 7.10.11.133  3454464 Bytes  13.09.2010 17:53:12
VBASE009.VDF   : 7.10.11.134     2048 Bytes  13.09.2010 17:53:12
VBASE010.VDF   : 7.10.11.135     2048 Bytes  13.09.2010 17:53:12
VBASE011.VDF   : 7.10.11.136     2048 Bytes  13.09.2010 17:53:12
VBASE012.VDF   : 7.10.11.137     2048 Bytes  13.09.2010 17:53:12
VBASE013.VDF   : 7.10.11.165   172032 Bytes  15.09.2010 17:53:13
VBASE014.VDF   : 7.10.11.202   144384 Bytes  18.09.2010 17:53:14
VBASE015.VDF   : 7.10.11.231   129024 Bytes  21.09.2010 17:53:15
VBASE016.VDF   : 7.10.12.4     126464 Bytes  23.09.2010 17:53:16
VBASE017.VDF   : 7.10.12.38    146944 Bytes  27.09.2010 17:53:16
VBASE018.VDF   : 7.10.12.64    133120 Bytes  29.09.2010 17:53:17
VBASE019.VDF   : 7.10.12.99    134144 Bytes  01.10.2010 17:53:18
VBASE020.VDF   : 7.10.12.122   131584 Bytes  05.10.2010 09:16:11
VBASE021.VDF   : 7.10.12.148   119296 Bytes  07.10.2010 09:16:12
VBASE022.VDF   : 7.10.12.175   142848 Bytes  11.10.2010 17:00:30
VBASE023.VDF   : 7.10.12.176     2048 Bytes  11.10.2010 17:00:30
VBASE024.VDF   : 7.10.12.177     2048 Bytes  11.10.2010 17:00:30
VBASE025.VDF   : 7.10.12.178     2048 Bytes  11.10.2010 17:00:30
VBASE026.VDF   : 7.10.12.179     2048 Bytes  11.10.2010 17:00:30
VBASE027.VDF   : 7.10.12.180     2048 Bytes  11.10.2010 17:00:30
VBASE028.VDF   : 7.10.12.181     2048 Bytes  11.10.2010 17:00:30
VBASE029.VDF   : 7.10.12.182     2048 Bytes  11.10.2010 17:00:30
VBASE030.VDF   : 7.10.12.183     2048 Bytes  11.10.2010 17:00:31
VBASE031.VDF   : 7.10.12.184     2048 Bytes  11.10.2010 17:00:31
Engineversion  : 8.2.4.78  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  30.07.2010 07:27:37
AESCRIPT.DLL   : 8.1.3.45     1368443 Bytes  04.10.2010 17:53:36
AESCN.DLL      : 8.1.6.1       127347 Bytes  23.05.2010 09:03:01
AESBX.DLL      : 8.1.3.1       254324 Bytes  23.04.2010 15:02:20
AERDL.DLL      : 8.1.9.2       635252 Bytes  04.10.2010 17:53:33
AEPACK.DLL     : 8.2.3.11      471416 Bytes  11.10.2010 17:00:59
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  30.07.2010 07:27:28
AEHEUR.DLL     : 8.1.2.33     2949496 Bytes  11.10.2010 17:00:55
AEHELP.DLL     : 8.1.14.0      246134 Bytes  11.10.2010 17:00:34
AEGEN.DLL      : 8.1.3.23      401779 Bytes  04.10.2010 17:53:23
AEEMU.DLL      : 8.1.2.0       393588 Bytes  23.04.2010 15:02:20
AECORE.DLL     : 8.1.17.0      196982 Bytes  04.10.2010 17:53:21
AEBB.DLL       : 8.1.1.0        53618 Bytes  23.04.2010 15:02:20
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  23.04.2010 15:02:21
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  23.04.2010 15:02:21
AVARKT.DLL     : 10.0.0.14     227176 Bytes  23.04.2010 15:02:20
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  23.04.2010 15:02:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Montag, 11. Oktober 2010  21:11

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\type
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\start
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\errorcontrol
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\group
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\group
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\riiqe\type
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\riiqe\start
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\riiqe\errorcontrol
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxcecoms.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryManager.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'EDSAgent.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsUsbExService.Exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '126' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\WINDOWS\explorer.exe>
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Prozess 'explorer.exe' wurde beendet
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f45e25d.qua' verschoben!
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\WINDOWS\system32\winlogon.exe>
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
    [HINWEIS]   Prozess 'winlogon.exe' wurde beendet
    [WARNUNG]   Bei diesem Prozess handelt es sich um einen Systemprozess. Die zugehörige Datei wird hicht gelöscht.
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\WINDOWS\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8

Die Registry wurde durchsucht ( '386' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20101011-211140-CF397E8D\ARK34.tmp
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001051.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001052.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001062.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001063.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001068.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001069.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001070.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001071.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
C:\WINDOWS\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\WINDOWS\OLD37.tmp
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\WINDOWS\LastGood\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\WINDOWS\system32\winlogon.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
C:\WINDOWS\system32\dllcache\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\WINDOWS\system32\drivers\riiqe.sys
    [FUND]      Ist das Trojanische Pferd TR/Agent.564800
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\riiqe.sys
    [FUND]      Ist das Trojanische Pferd TR/Agent.564800
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0d25b64c.qua' verschoben!
C:\WINDOWS\system32\dllcache\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6b2df224.qua' verschoben!
C:\WINDOWS\system32\winlogon.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51b0e6d2.qua' verschoben!
C:\WINDOWS\LastGood\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1d0ac14d.qua' verschoben!
C:\WINDOWS\OLD37.tmp
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '60c68149.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001071.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d88a9e8.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001070.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '54e09272.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001069.exe
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '38bcbe42.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001068.dll
    [FUND]      Ist das Trojanische Pferd TR/Trash.Gen
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490587d7.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001063.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '471fb710.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001062.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0236ce52.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001052.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0b3dcaf8.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001051.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '537cd391.qua' verschoben!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVSCAN-20101011-211140-CF397E8D\ARK34.tmp
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '416bc6d9.qua' verschoben!
C:\WINDOWS\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '23b8e641.qua' verschoben!


Ende des Suchlaufs: Montag, 11. Oktober 2010  21:56
Benötigte Zeit: 43:30 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   3570 Verzeichnisse wurden überprüft
 364997 Dateien wurden geprüft
     18 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     16 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 364979 Dateien ohne Befall
   8814 Archive wurden durchsucht
      1 Warnungen
     14 Hinweise
 241007 Objekte wurden beim Rootkitscan durchsucht
      8 Versteckte Objekte wurden gefunden


Code




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 12. Oktober 2010  15:58

Es wird nach 2919464 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : NICOLE

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  23.04.2010 15:02:21
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  23.04.2010 15:02:21
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 11:57:43
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 11:57:44
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 09:22:44
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 13:57:25
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 13:53:07
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 07:42:45
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 19:33:58
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 07:27:01
VBASE008.VDF   : 7.10.11.133  3454464 Bytes  13.09.2010 17:53:12
VBASE009.VDF   : 7.10.11.134     2048 Bytes  13.09.2010 17:53:12
VBASE010.VDF   : 7.10.11.135     2048 Bytes  13.09.2010 17:53:12
VBASE011.VDF   : 7.10.11.136     2048 Bytes  13.09.2010 17:53:12
VBASE012.VDF   : 7.10.11.137     2048 Bytes  13.09.2010 17:53:12
VBASE013.VDF   : 7.10.11.165   172032 Bytes  15.09.2010 17:53:13
VBASE014.VDF   : 7.10.11.202   144384 Bytes  18.09.2010 17:53:14
VBASE015.VDF   : 7.10.11.231   129024 Bytes  21.09.2010 17:53:15
VBASE016.VDF   : 7.10.12.4     126464 Bytes  23.09.2010 17:53:16
VBASE017.VDF   : 7.10.12.38    146944 Bytes  27.09.2010 17:53:16
VBASE018.VDF   : 7.10.12.64    133120 Bytes  29.09.2010 17:53:17
VBASE019.VDF   : 7.10.12.99    134144 Bytes  01.10.2010 17:53:18
VBASE020.VDF   : 7.10.12.122   131584 Bytes  05.10.2010 09:16:11
VBASE021.VDF   : 7.10.12.148   119296 Bytes  07.10.2010 09:16:12
VBASE022.VDF   : 7.10.12.175   142848 Bytes  11.10.2010 17:00:30
VBASE023.VDF   : 7.10.12.176     2048 Bytes  11.10.2010 17:00:30
VBASE024.VDF   : 7.10.12.177     2048 Bytes  11.10.2010 17:00:30
VBASE025.VDF   : 7.10.12.178     2048 Bytes  11.10.2010 17:00:30
VBASE026.VDF   : 7.10.12.179     2048 Bytes  11.10.2010 17:00:30
VBASE027.VDF   : 7.10.12.180     2048 Bytes  11.10.2010 17:00:30
VBASE028.VDF   : 7.10.12.181     2048 Bytes  11.10.2010 17:00:30
VBASE029.VDF   : 7.10.12.182     2048 Bytes  11.10.2010 17:00:30
VBASE030.VDF   : 7.10.12.183     2048 Bytes  11.10.2010 17:00:31
VBASE031.VDF   : 7.10.12.184     2048 Bytes  11.10.2010 17:00:31
Engineversion  : 8.2.4.78  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  30.07.2010 07:27:37
AESCRIPT.DLL   : 8.1.3.45     1368443 Bytes  04.10.2010 17:53:36
AESCN.DLL      : 8.1.6.1       127347 Bytes  23.05.2010 09:03:01
AESBX.DLL      : 8.1.3.1       254324 Bytes  23.04.2010 15:02:20
AERDL.DLL      : 8.1.9.2       635252 Bytes  04.10.2010 17:53:33
AEPACK.DLL     : 8.2.3.11      471416 Bytes  11.10.2010 17:00:59
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  30.07.2010 07:27:28
AEHEUR.DLL     : 8.1.2.33     2949496 Bytes  11.10.2010 17:00:55
AEHELP.DLL     : 8.1.14.0      246134 Bytes  11.10.2010 17:00:34
AEGEN.DLL      : 8.1.3.23      401779 Bytes  04.10.2010 17:53:23
AEEMU.DLL      : 8.1.2.0       393588 Bytes  23.04.2010 15:02:20
AECORE.DLL     : 8.1.17.0      196982 Bytes  04.10.2010 17:53:21
AEBB.DLL       : 8.1.1.0        53618 Bytes  23.04.2010 15:02:20
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  23.04.2010 15:02:21
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  23.04.2010 15:02:21
AVARKT.DLL     : 10.0.0.14     227176 Bytes  23.04.2010 15:02:20
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  23.04.2010 15:02:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 12. Oktober 2010  15:58

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\type
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
    [WARNUNG]   Eine Exception wurde abgefangen!
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\start
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
    [WARNUNG]   Eine Exception wurde abgefangen!
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\errorcontrol
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
    [WARNUNG]   Eine Exception wurde abgefangen!
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\group
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
    [WARNUNG]   Eine Exception wurde abgefangen!
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\group
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\riiqe\type
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
    [WARNUNG]   Eine Exception wurde abgefangen!
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\riiqe\start
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
    [WARNUNG]   Eine Exception wurde abgefangen!
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\riiqe\errorcontrol
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
    [WARNUNG]   Die Datei konnte nicht ins Quarantäneverzeichnis kopiert werden.
    [WARNUNG]   Eine Exception wurde abgefangen!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxcecoms.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryManager.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'EDSAgent.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLUBackgroundService.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsUsbExService.Exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'IswSvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '95' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\WINDOWS\explorer.exe>
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Prozess 'explorer.exe' wurde beendet
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 47d5dcb3.qua erstellt ( QUARANTÄNE )
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '166' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
  Modul ist infiziert -> <C:\WINDOWS\system32\winlogon.exe>
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
    [HINWEIS]   Prozess 'winlogon.exe' wurde beendet
    [WARNUNG]   Bei diesem Prozess handelt es sich um einen Systemprozess. Die zugehörige Datei wird hicht gelöscht.
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\WINDOWS\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8

Die Registry wurde durchsucht ( '385' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001181.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001182.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\WINDOWS\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\WINDOWS\system32\winlogon.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
C:\WINDOWS\system32\dllcache\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\WINDOWS\system32\dllcache\winlogon.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
C:\WINDOWS\system32\drivers\riiqe.sys
    [FUND]      Ist das Trojanische Pferd TR/Agent.564800
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\riiqe.sys
    [FUND]      Ist das Trojanische Pferd TR/Agent.564800
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f7b039d.qua' verschoben!
C:\WINDOWS\system32\dllcache\winlogon.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0d1b52c4.qua' verschoben!
C:\WINDOWS\system32\dllcache\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6b2a1d31.qua' verschoben!
C:\WINDOWS\system32\winlogon.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51b309e1.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001182.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1ccd2fe4.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP5\A0001181.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '60d56fb4.qua' verschoben!
C:\WINDOWS\explorer.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55277103.qua' verschoben!
    [HINWEIS]   Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell> wurde erfolgreich entfernt.


Ende des Suchlaufs: Dienstag, 12. Oktober 2010  17:46
Benötigte Zeit:  1:37:25 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   3315 Verzeichnisse wurden überprüft
 364415 Dateien wurden geprüft
     10 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      8 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 364405 Dateien ohne Befall
   8808 Archive wurden durchsucht
      8 Warnungen
      7 Hinweise
 233894 Objekte wurden beim Rootkitscan durchsucht
      8 Versteckte Objekte wurden gefunden


Schritt 2:

OTL

Code


OTL logfile created on: 12.10.2010 19:19:53 - Run 1
OTL by OldTimer - Version 3.2.15.1     Folder = C:\Dokumente und Einstellungen\Weber\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.014,00 Mb Total Physical Memory | 576,00 Mb Available Physical Memory | 57,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 70,04 Gb Total Space | 55,06 Gb Free Space | 78,61% Space Free | Partition Type: NTFS
Drive D: | 73,00 Gb Total Space | 67,37 Gb Free Space | 92,29% Space Free | Partition Type: NTFS
 
Computer Name: NICOLE | User Name: Weber | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Dokumente und Einstellungen\Weber\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe (Check Point Software Technologies)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\WINDOWS\system32\FsUsbExService.Exe (Teruten)
PRC - C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe ()
PRC - C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe (SAMSUNG Electronics)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\igfxext.exe (Intel Corporation)
PRC - C:\Programme\Samsung\Samsung EDS\EDSAgent.exe (Samsung Electronics,.LTD)
PRC - C:\WINDOWS\system32\lxcecoms.exe (Lexmark International, Inc.)
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - C:\Dokumente und Einstellungen\Weber\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\system32\ftpreg.dll ()
MOD - C:\Programme\CheckPoint\ZAForceField\Plugins\ISWSHEX.dll (Check Point Software Technologies)
MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcp80.dll (Microsoft Corporation)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll (Microsoft Corporation)
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (HidServ) -- C:\WINDOWS\System32\hidserv.dll File not found
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (vsmon) -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
SRV - (IswSvc) -- C:\Programme\CheckPoint\ZAForceField\IswSvc.exe (Check Point Software Technologies)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (FsUsbExService) -- C:\WINDOWS\system32\FsUsbExService.Exe (Teruten)
SRV - (Samsung Update Plus) -- C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe ()
SRV - (p2pgasvc) -- C:\WINDOWS\system32\p2pgasvc.dll (Microsoft Corporation)
SRV - (Iprip) -- C:\WINDOWS\system32\iprip.dll (Microsoft Corporation)
SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia.)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (lxce_device) -- C:\WINDOWS\System32\lxcecoms.exe (Lexmark International, Inc.)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (ndisrd) -- C:\WINDOWS\system32\drivers\ndisrd.sys (NT Kernel Resources)
DRV - (ISWKL) -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys (Check Point Software Technologies)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Check Point Software Technologies LTD)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (Tcpip6) -- C:\WINDOWS\system32\drivers\tcpip6.sys (Microsoft Corporation)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (FsUsbExDisk) -- C:\WINDOWS\system32\FsUsbExDisk.Sys ()
DRV - (ss_bmdm) -- C:\WINDOWS\system32\drivers\ss_bmdm.sys (MCCI Corporation)
DRV - (ss_bbus) SAMSUNG USB Mobile Device (WDM) -- C:\WINDOWS\system32\drivers\ss_bbus.sys (MCCI)
DRV - (ss_bmdfl) SAMSUNG USB Mobile Modem (Filter) -- C:\WINDOWS\system32\drivers\ss_bmdfl.sys (MCCI Corporation)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (yukonwxp) -- C:\WINDOWS\system32\drivers\yk51x86.sys (Marvell)
DRV - (AR5416) -- C:\WINDOWS\system32\drivers\athw.sys (Atheros Communications, Inc.)
DRV - (VMC326) -- C:\WINDOWS\system32\drivers\VMC326.sys (Vimicro Corporation)
DRV - (SynTP) -- C:\WINDOWS\system32\drivers\SynTP.sys (Synaptics, Inc.)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (BTKRNL) -- C:\WINDOWS\system32\drivers\btkrnl.sys (Broadcom Corporation.)
DRV - (BTWDNDIS) -- C:\WINDOWS\system32\drivers\btwdndis.sys (Broadcom Corporation.)
DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.)
DRV - (BTDriver) -- C:\WINDOWS\system32\drivers\btport.sys (Broadcom Corporation.)
DRV - (btaudio) -- C:\WINDOWS\system32\drivers\btaudio.sys (Broadcom Corporation.)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (ialm) -- C:\WINDOWS\system32\drivers\igxpmp32.sys (Intel Corporation)
DRV - (DNSeFilter) -- C:\WINDOWS\system32\drivers\SamsungEDS.SYS (Samsung Electronics,.LTD)
DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia)
DRV - (SUEPD) -- C:\WINDOWS\system32\drivers\SUE_PD.sys (Samsung)
DRV - (DOSMEMIO) -- C:\WINDOWS\system32\MEMIO.SYS ()
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ig/redirectdomain?brand=SMSN&bmod=SMSN
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKCU\..\URLSearchHook: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZone.dll (Conduit Ltd.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {4B536F96-7C63-49AD-9FC6-628D833C7954}:1.9.1
 
FF - HKLM\software\mozilla\Firefox\extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Programme\CheckPoint\ZAForceField\TrustChecker [2010.08.27 09:43:19 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Firefox\extensions\\{4B536F96-7C63-49AD-9FC6-628D833C7954}: C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\{4B536F96-7C63-49AD-9FC6-628D833C7954} [2010.10.09 15:06:13 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.08.07 23:28:56 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.8\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.08.07 23:28:56 | 000,000,000 | ---D | M]
 
[2009.05.22 09:21:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\Mozilla\Extensions
[2010.08.27 09:34:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\Mozilla\Firefox\Profiles\o8gqbtvb.default\extensions
[2010.10.09 20:34:48 | 000,000,000 | ---D | M] -- C:\Programme\Mozilla Firefox\extensions
[2010.08.07 23:28:50 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.08.07 23:28:50 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.08.07 23:28:51 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.08.07 23:28:51 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.08.07 23:28:51 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZone.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKLM\..\Toolbar: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZone.dll (Conduit Ltd.)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe ()
O4 - HKLM..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe (SAMSUNG Electronics)
O4 - HKLM..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe (Samsung Electronics,.LTD)
O4 - HKLM..\Run: [ISW] C:\Programme\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)
O4 - HKLM..\Run: [LXCECATS] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.DLL ()
O4 - HKLM..\Run: [MagicKeyboard] C:\Programme\Samsung\MagicKBD\PreMKbd.exe ()
O4 - HKLM..\Run: [ZoneAlarm Client] D:\Tools\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.02.12 13:57:44 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O36 - AppCertDlls: dmadtray - (C:\WINDOWS\system32\ftpreg.dll) - C:\WINDOWS\system32\ftpreg.dll ()
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2010.10.12 19:17:29 | 000,576,000 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Weber\Desktop\OTL.exe
[2010.10.11 22:24:33 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Weber\Recent
[2010.10.11 18:58:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\Malwarebytes
[2010.10.11 18:57:34 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2010.10.11 18:57:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2010.10.11 18:57:28 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2010.10.11 18:57:28 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2010.10.11 18:55:13 | 006,153,352 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Weber\Desktop\mbam-setup-1.46.exe
[2010.10.10 15:32:03 | 000,019,456 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\simptcp.dll
[2010.10.10 15:32:03 | 000,019,456 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\simptcp.dll
[2010.10.10 15:32:02 | 000,036,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\iprip.dll
[2010.10.10 15:32:02 | 000,036,864 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iprip.dll
[2010.10.09 21:09:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2010.10.09 19:54:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\VSRevoGroup
[2010.10.09 15:06:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\{4B536F96-7C63-49AD-9FC6-628D833C7954}
[2010.10.09 12:15:15 | 000,020,480 | ---- | C] (NT Kernel Resources) -- C:\WINDOWS\System32\drivers\ndisrd.sys
[2010.10.09 12:15:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\8FE30BE411BDFDCBF33228F6DFC8FAD9
[2010.10.09 12:14:47 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Dokumente\Server
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2010.10.12 19:22:27 | 000,564,800 | ---- | M] () -- C:\WINDOWS\System32\drivers\riiqe.sys
[2010.10.12 19:14:48 | 000,293,376 | ---- | M] () -- C:\Dokumente und Einstellungen\Weber\Desktop\z6yh29v2.exe
[2010.10.12 19:08:12 | 000,576,000 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Weber\Desktop\OTL.exe
[2010.10.12 17:50:34 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010.10.12 17:50:32 | 1063,702,528 | -HS- | M] () -- C:\hiberfil.sys
[2010.10.11 20:32:07 | 000,000,962 | ---- | M] () -- C:\WINDOWS\wininit.ini
[2010.10.11 19:57:43 | 000,000,000 | -H-- | M] () -- C:\Dokumente und Einstellungen\Weber\Eigene Dateien\Default.rdp
[2010.10.11 18:57:36 | 000,000,676 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.11 18:19:41 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Pbaziriyij.bin
[2010.10.11 17:50:08 | 006,153,352 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Weber\Desktop\mbam-setup-1.46.exe
[2010.10.11 17:34:58 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2010.10.10 15:32:19 | 000,319,724 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2010.10.10 15:32:19 | 000,313,280 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010.10.10 15:32:19 | 000,049,784 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2010.10.10 15:32:19 | 000,041,346 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010.10.10 15:31:48 | 000,000,057 | ---- | M] () -- C:\WINDOWS\System32\mapisvc.inf
[2010.10.10 10:07:49 | 000,000,749 | ---- | M] () -- C:\Dokumente und Einstellungen\Weber\Desktop\Spybot - Search & Destroy (2).lnk
[2010.10.09 15:06:15 | 000,000,120 | ---- | M] () -- C:\WINDOWS\Cfehakobilobak.dat
[2010.10.09 12:15:23 | 000,050,688 | -H-- | M] () -- C:\WINDOWS\System32\ftpreg.dll
[2010.10.09 12:15:15 | 000,020,480 | ---- | M] (NT Kernel Resources) -- C:\WINDOWS\System32\drivers\ndisrd.sys
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2010.10.12 19:17:29 | 000,293,376 | ---- | C] () -- C:\Dokumente und Einstellungen\Weber\Desktop\z6yh29v2.exe
[2010.10.11 20:31:56 | 000,000,962 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2010.10.11 19:57:43 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\Weber\Eigene Dateien\Default.rdp
[2010.10.11 18:57:36 | 000,000,676 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.10.10 15:54:36 | 1063,702,528 | -HS- | C] () -- C:\hiberfil.sys
[2010.10.10 10:07:49 | 000,000,749 | ---- | C] () -- C:\Dokumente und Einstellungen\Weber\Desktop\Spybot - Search & Destroy (2).lnk
[2010.10.09 15:06:15 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Cfehakobilobak.dat
[2010.10.09 15:06:15 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Pbaziriyij.bin
[2010.10.09 12:15:41 | 000,564,800 | ---- | C] () -- C:\WINDOWS\System32\drivers\riiqe.sys
[2010.10.09 12:15:23 | 000,050,688 | -H-- | C] () -- C:\WINDOWS\System32\ftpreg.dll
[2010.01.24 19:45:23 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2009.12.23 21:04:51 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll
[2009.12.23 21:04:51 | 000,036,608 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys
[2009.12.23 21:04:33 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\$_hpcst$.hpc
[2009.06.06 17:56:31 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\lxcevs.dll
[2009.06.06 17:56:27 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\lxcejswr.dll
[2009.06.06 17:56:27 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\lxceinsr.dll
[2009.06.06 17:56:26 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\lxcecur.dll
[2009.05.20 22:50:11 | 000,013,824 | ---- | C] () -- C:\Dokumente und Einstellungen\Weber\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.05.20 19:50:18 | 000,001,520 | ---- | C] () -- C:\WINDOWS\System32\Weber_KBD.ini
[2009.03.24 11:42:10 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2009.02.12 21:35:38 | 000,000,416 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2009.02.12 21:35:27 | 000,197,632 | ---- | C] () -- C:\WINDOWS\okisuwaqiqamalan.dll
[2009.02.12 14:10:08 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\MagicKBD.INI
[2009.02.12 14:10:08 | 000,001,520 | ---- | C] () -- C:\WINDOWS\System32\Besitzer_KBD.ini
[2009.02.12 14:10:05 | 000,003,425 | ---- | C] () -- C:\WINDOWS\System32\KBDR.INI
[2009.02.12 14:10:05 | 000,002,741 | ---- | C] () -- C:\WINDOWS\System32\KBDD.INI
[2009.02.12 14:10:05 | 000,002,699 | ---- | C] () -- C:\WINDOWS\System32\KBDO.INI
[2009.02.12 14:10:05 | 000,002,699 | ---- | C] () -- C:\WINDOWS\System32\KBDC.INI
[2009.02.12 14:10:05 | 000,002,606 | ---- | C] () -- C:\WINDOWS\System32\KBDB.INI
[2009.02.12 14:10:05 | 000,002,236 | ---- | C] () -- C:\WINDOWS\System32\KBDQ.INI
[2009.02.12 14:10:05 | 000,001,956 | ---- | C] () -- C:\WINDOWS\System32\KBDE.INI
[2009.02.12 14:10:05 | 000,001,885 | ---- | C] () -- C:\WINDOWS\System32\KBDP.INI
[2009.02.12 14:10:05 | 000,001,857 | ---- | C] () -- C:\WINDOWS\System32\KBDUU.INI
[2009.02.12 14:10:05 | 000,001,835 | ---- | C] () -- C:\WINDOWS\System32\KBDG.INI
[2009.02.12 14:10:05 | 000,001,835 | ---- | C] () -- C:\WINDOWS\System32\KBDA.INI
[2009.02.12 14:10:05 | 000,001,834 | ---- | C] () -- C:\WINDOWS\System32\KBDU.INI
[2009.02.12 14:10:05 | 000,001,819 | ---- | C] () -- C:\WINDOWS\System32\KBDN.INI
[2009.02.12 14:10:05 | 000,001,699 | ---- | C] () -- C:\WINDOWS\System32\KBDT.INI
[2009.02.12 14:10:05 | 000,001,697 | ---- | C] () -- C:\WINDOWS\System32\KBDV.INI
[2009.02.12 14:10:05 | 000,001,522 | ---- | C] () -- C:\WINDOWS\System32\KBDS.INI
[2009.02.12 14:10:05 | 000,001,476 | ---- | C] () -- C:\WINDOWS\System32\KBDF.INI
[2009.02.12 14:07:50 | 000,000,135 | R--- | C] () -- C:\WINDOWS\System32\lngEng.ini
[2009.02.12 14:07:50 | 000,000,117 | ---- | C] () -- C:\WINDOWS\System32\lngKor.ini
[2009.02.12 14:04:21 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
[2009.02.12 14:01:47 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS
[2009.02.12 13:49:44 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.09.17 14:20:08 | 002,842,624 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll
[2007.10.25 18:26:10 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2001.11.14 13:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll
 
[color=#E56717]========== LOP Check ==========[/color]
 
[2009.05.22 08:18:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
[2009.12.23 21:18:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2009.02.12 14:05:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLAN
[2010.10.09 15:02:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\8FE30BE411BDFDCBF33228F6DFC8FAD9
[2010.08.27 09:23:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\CheckPoint
[2010.08.23 16:51:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\de.myphotobook.creator.001F9DF2D0BAABEB11F42CCEE43224607B61109C.1
[2009.06.19 19:23:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\OpenOffice.org
[2009.12.23 21:18:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\PC Suite
[2009.12.23 21:04:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\Samsung
[2010.10.09 19:54:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Weber\Anwendungsdaten\VSRevoGroup
 
[color=#E56717]========== Purity Check ==========[/color]
 
 

< End of report >



Extra

Code


OTL Extras logfile created on: 12.10.2010 19:19:53 - Run 1
OTL by OldTimer - Version 3.2.15.1     Folder = C:\Dokumente und Einstellungen\Weber\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.014,00 Mb Total Physical Memory | 576,00 Mb Available Physical Memory | 57,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 80,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 70,04 Gb Total Space | 55,06 Gb Free Space | 78,61% Space Free | Partition Type: NTFS
Drive D: | 73,00 Gb Total Space | 67,37 Gb Free Space | 92,29% Space Free | Partition Type: NTFS
 
Computer Name: NICOLE | User Name: Weber | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office12\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
 
[color=#E56717]========== System Restore Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
[color=#E56717]========== Firewall Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"3587:TCP" = 3587:TCP:*:Enabled:Windows Peer-zu-Peer-Gruppierung
"3540:UDP" = 3540:UDP:*:Enabled:Peer Name Resolution-Protokoll (PNRP)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"3587:TCP" = 3587:TCP:*:Enabled:Windows Peer-zu-Peer-Gruppierung
"3540:UDP" = 3540:UDP:*:Enabled:Peer Name Resolution-Protokoll (PNRP)
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\Microsoft Office\Office12\ONENOTE.EXE" = C:\Programme\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote -- (Microsoft Corporation)
"C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server -- (PeeringPortal)
"C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server -- (PeeringPortal)
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon -- (Check Point Software Technologies LTD)
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution III
"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java(TM) 6 Update 15
"{3248F0A8-6813-11D6-A77B-00B0D0150000}" = J2SE Runtime Environment 5.0
"{32D6A58F-9659-446C-BBFC-E6F2B41F24DC}" = Samsung Magic Doctor
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{5CBB720F-08E6-4043-B83F-76C277AF6DE7}" = Samsung Wallpaper
"{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus
"{6F730513-8688-4C3C-90A3-6B9792CE2EF3}" = Samsung Battery Manager
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{71A51B59-E7D3-11DB-A386-005056C00008}" = Namuga 1.3M Webcam
"{7B46F9CF-CF60-492E-816E-95EB1A9D1BB4}" = Play Camera
"{7E84FAC8-C518-40F9-9807-7455301D6D25}" = SamsungConnectivityCableDriver
"{84814E6B-2581-46EC-926A-823BD1C670F6}" = WIDCOMM Bluetooth Software
"{8E106A57-A17E-431D-B48F-175E42EB9F74}" = imagine digital freedom - Samsung
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{99E862CC-6F69-4D39-99AA-DBF71BF3B585}" = OpenOffice.org 3.1
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A7581D39-EA20-4883-A480-80C21047052B}" = Easy Network Manager
"{ABB14904-A11B-4F42-996C-80FD608A0F17}" = Samsung EDS
"{AC599724-5755-48C1-ABE7-ABB857652930}" = PC Connectivity Solution
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"{B194272D-1F92-46DF-99EB-8D5CE91CB4EC}" = Adobe AIR
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BAE68339-B0F6-4D33-9554-5A3DB2DFF5DA}" = User Guide
"{BD723E53-A42C-4702-AA04-1D74A0311590}" = Magic Keyboard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"{F4F41D14-E0DD-4FB4-AA09-A14225C769BD}" = Atheros WLAN Client
"3A5DEFA413DDE699DBA6EBE0A63534ACA524D30F" = Windows-Treiberpaket - Nokia pccsmcfd  (10/12/2007 6.85.4.0)
"6194C28A8F62DD817EA1B918E6E46E806A21B452" = Windows-Treiberpaket - MobileTop (sshpmdm) Modem  (02/23/2007 2.5.0.0)
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"InstallShield_{685707A4-911C-468D-BFC4-64A50E5E3A0C}" = Samsung Update Plus
"InstallShield_{7B46F9CF-CF60-492E-816E-95EB1A9D1BB4}" = Play Camera
"InstallShield_{AF7E85DC-317C-47F5-810E-B82EE093A612}" = Samsung New PC Studio USB Driver Installer
"InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"Lexmark 4300 Series" = Lexmark 4300 Series
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware
"Marvell Miniport Driver" = Marvell Miniport Driver
"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8)
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile Modem Device" = Samsung Mobile Modem Device Software
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"SAMSUNG USB Mobile Device" = SAMSUNG USB Mobile Device Software
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"ZoneAlarm" = ZoneAlarm
"ZoneAlarm Toolbar" = ZoneAlarm Toolbar
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 05.08.2010 07:07:57 | Computer Name = NICOLE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte
 nicht verarbeitet werden.  .
 
Error - 06.08.2010 07:18:13 | Computer Name = NICOLE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte
 nicht verarbeitet werden.  .
 
Error - 27.08.2010 02:51:45 | Computer Name = NICOLE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte
 nicht verarbeitet werden.  .
 
Error - 27.08.2010 03:32:54 | Computer Name = NICOLE | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 27.08.2010 03:32:54 | Computer Name = NICOLE | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 03.09.2010 15:12:16 | Computer Name = NICOLE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte
 nicht verarbeitet werden.  .
 
Error - 05.09.2010 07:56:15 | Computer Name = NICOLE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Der Servername oder die Serveradresse konnte
 nicht verarbeitet werden.  .
 
Error - 09.10.2010 15:06:45 | Computer Name = NICOLE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Die Serververbindung konnte nicht hergestellt
 werden.  .
 
Error - 09.10.2010 15:06:46 | Computer Name = NICOLE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Diese Netzwerkverbindung ist nicht vorhanden.
.
 
Error - 10.10.2010 04:37:20 | Computer Name = NICOLE | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung SpybotSD.exe, Version 1.6.2.46, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ OSession Events ]
Error - 07.03.2010 09:44:07 | Computer Name = NICOLE | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.4518.1014, Microsoft Office Version: 12.0.4518.1014. This session lasted 17130
 seconds with 10320 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 10.10.2010 09:50:42 | Computer Name = NICOLE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 10.10.2010 09:50:42 | Computer Name = NICOLE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TrueVector Internet Monitor" ist vom Dienst "vsdatant"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 10.10.2010 09:50:42 | Computer Name = NICOLE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPv6-Hilfsdienst" ist vom Dienst "Microsoft IPv6-Protokolltreiber"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 10.10.2010 09:50:42 | Computer Name = NICOLE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 10.10.2010 09:50:42 | Computer Name = NICOLE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Einfache TCP/IP-Dienste" ist vom Dienst "AFD" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 10.10.2010 09:50:42 | Computer Name = NICOLE | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  avgio  avipbb  Fips  intelppm  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  ssmdrv  Tcpip  Tcpip6  vsdatant
 
Error - 10.10.2010 09:50:49 | Computer Name = NICOLE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 10.10.2010 09:53:54 | Computer Name = NICOLE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 11.10.2010 13:44:52 | Computer Name = NICOLE | Source = Service Control Manager | ID = 7034
Description = Dienst "Marvell Yukon Service" wurde unerwartet beendet. Dies ist 
bereits 1 Mal passiert.
 
Error - 11.10.2010 13:46:08 | Computer Name = NICOLE | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume2" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
 
< End of report >



Bei Gmer starten bluescreen und Neustart!?

Ich hoffe nichts vergessen bzw. zu viel getextet zu haben.

Meinen Dank und Respekt für deine/eure Arbeit!!!

Grüße
Seitenanfang Seitenende
12.10.2010, 20:19
Swisstreasure
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:
Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.

BleepingComputer
ForoSpyware**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**




• Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
• Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
• Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
• Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.
Seitenanfang Seitenende
12.10.2010, 22:24
news.reh
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo,

ich habe Combofix mit nem anderen PC heruntergeladen und mit einem Stick auf den Lapi gespeichert. Dann habe das Programm drüberlaufen lassen sah auch alles super aus. Nur ist beim Neustart die Windowsmeldung "schwerwiegender Ausnahmefehler" aufgetaucht. Jetzt hab ich keinen Logfile und bekomme das Wlan nicht an.

Ich befürchte hier is noch was anderes im Argen.
Seitenanfang Seitenende
12.10.2010, 22:26
Swisstreasure
Moderator

Beiträge: 5694
#4 Findest Du unter C:\ComboFix.txt kein Log?
Seitenanfang Seitenende
12.10.2010, 23:19
news.reh
...neu hier

Themenstarter

Beiträge: 6
#5 Also unter C: is keine txt.

funktioniert das alles auch wenn man nicht direkt auf den befallen PC runterlädt?

Ich habe gerade den AVir mit folgendem log:

Code




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 12. Oktober 2010  22:26

Es wird nach 2919464 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : NICOLE

Versionsinformationen:
BUILD.DAT      : 10.0.0.567     32097 Bytes  19.04.2010 15:50:00
AVSCAN.EXE     : 10.0.3.0      433832 Bytes  23.04.2010 15:02:21
AVSCAN.DLL     : 10.0.3.0       56168 Bytes  23.04.2010 15:02:21
LUKE.DLL       : 10.0.2.3      104296 Bytes  07.03.2010 17:32:59
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 11:57:43
VBASE001.VDF   : 7.10.1.0     1372672 Bytes  19.11.2009 11:57:44
VBASE002.VDF   : 7.10.3.1     3143680 Bytes  20.01.2010 09:22:44
VBASE003.VDF   : 7.10.3.75     996864 Bytes  26.01.2010 13:57:25
VBASE004.VDF   : 7.10.4.203   1579008 Bytes  05.03.2010 13:53:07
VBASE005.VDF   : 7.10.6.82    2494464 Bytes  15.04.2010 07:42:45
VBASE006.VDF   : 7.10.7.218   2294784 Bytes  02.06.2010 19:33:58
VBASE007.VDF   : 7.10.9.165   4840960 Bytes  23.07.2010 07:27:01
VBASE008.VDF   : 7.10.11.133  3454464 Bytes  13.09.2010 17:53:12
VBASE009.VDF   : 7.10.11.134     2048 Bytes  13.09.2010 17:53:12
VBASE010.VDF   : 7.10.11.135     2048 Bytes  13.09.2010 17:53:12
VBASE011.VDF   : 7.10.11.136     2048 Bytes  13.09.2010 17:53:12
VBASE012.VDF   : 7.10.11.137     2048 Bytes  13.09.2010 17:53:12
VBASE013.VDF   : 7.10.11.165   172032 Bytes  15.09.2010 17:53:13
VBASE014.VDF   : 7.10.11.202   144384 Bytes  18.09.2010 17:53:14
VBASE015.VDF   : 7.10.11.231   129024 Bytes  21.09.2010 17:53:15
VBASE016.VDF   : 7.10.12.4     126464 Bytes  23.09.2010 17:53:16
VBASE017.VDF   : 7.10.12.38    146944 Bytes  27.09.2010 17:53:16
VBASE018.VDF   : 7.10.12.64    133120 Bytes  29.09.2010 17:53:17
VBASE019.VDF   : 7.10.12.99    134144 Bytes  01.10.2010 17:53:18
VBASE020.VDF   : 7.10.12.122   131584 Bytes  05.10.2010 09:16:11
VBASE021.VDF   : 7.10.12.148   119296 Bytes  07.10.2010 09:16:12
VBASE022.VDF   : 7.10.12.175   142848 Bytes  11.10.2010 17:00:30
VBASE023.VDF   : 7.10.12.176     2048 Bytes  11.10.2010 17:00:30
VBASE024.VDF   : 7.10.12.177     2048 Bytes  11.10.2010 17:00:30
VBASE025.VDF   : 7.10.12.178     2048 Bytes  11.10.2010 17:00:30
VBASE026.VDF   : 7.10.12.179     2048 Bytes  11.10.2010 17:00:30
VBASE027.VDF   : 7.10.12.180     2048 Bytes  11.10.2010 17:00:30
VBASE028.VDF   : 7.10.12.181     2048 Bytes  11.10.2010 17:00:30
VBASE029.VDF   : 7.10.12.182     2048 Bytes  11.10.2010 17:00:30
VBASE030.VDF   : 7.10.12.183     2048 Bytes  11.10.2010 17:00:31
VBASE031.VDF   : 7.10.12.184     2048 Bytes  11.10.2010 17:00:31
Engineversion  : 8.2.4.78  
AEVDF.DLL      : 8.1.2.1       106868 Bytes  30.07.2010 07:27:37
AESCRIPT.DLL   : 8.1.3.45     1368443 Bytes  04.10.2010 17:53:36
AESCN.DLL      : 8.1.6.1       127347 Bytes  23.05.2010 09:03:01
AESBX.DLL      : 8.1.3.1       254324 Bytes  23.04.2010 15:02:20
AERDL.DLL      : 8.1.9.2       635252 Bytes  04.10.2010 17:53:33
AEPACK.DLL     : 8.2.3.11      471416 Bytes  11.10.2010 17:00:59
AEOFFICE.DLL   : 8.1.1.8       201081 Bytes  30.07.2010 07:27:28
AEHEUR.DLL     : 8.1.2.33     2949496 Bytes  11.10.2010 17:00:55
AEHELP.DLL     : 8.1.14.0      246134 Bytes  11.10.2010 17:00:34
AEGEN.DLL      : 8.1.3.23      401779 Bytes  04.10.2010 17:53:23
AEEMU.DLL      : 8.1.2.0       393588 Bytes  23.04.2010 15:02:20
AECORE.DLL     : 8.1.17.0      196982 Bytes  04.10.2010 17:53:21
AEBB.DLL       : 8.1.1.0        53618 Bytes  23.04.2010 15:02:20
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  14.01.2010 10:59:10
AVPREF.DLL     : 10.0.0.0       44904 Bytes  14.01.2010 10:59:07
AVREP.DLL      : 10.0.0.8       62209 Bytes  18.02.2010 15:47:40
AVREG.DLL      : 10.0.3.0       53096 Bytes  23.04.2010 15:02:21
AVSCPLR.DLL    : 10.0.3.0       83816 Bytes  23.04.2010 15:02:21
AVARKT.DLL     : 10.0.0.14     227176 Bytes  23.04.2010 15:02:20
AVEVTLOG.DLL   : 10.0.0.8      203112 Bytes  26.01.2010 08:53:25
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  28.01.2010 11:57:53
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  16.03.2010 14:38:54
NETNT.DLL      : 10.0.0.0       11624 Bytes  19.02.2010 13:40:55
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL     : 10.0.53.0      98152 Bytes  23.04.2010 15:02:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Dienstag, 12. Oktober 2010  22:26

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\ntmsdata\ntmsjrnl
c:\WINDOWS\system32\NtmsData
    [HINWEIS]   Die Datei ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\type
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\start
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\errorcontrol
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\group
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\riiqe\group
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\riiqe\type
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\riiqe\start
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\riiqe\errorcontrol
    [HINWEIS]   Der Registrierungseintrag ist nicht sichtbar.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'lxcecoms.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'dmhkcore.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'BatteryManager.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'EDSAgent.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'RUNDLL32.EXE' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'tcpsvcs.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'FsUsbExService.Exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '161' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '384' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\Qoobox\Quarantine\C\WINDOWS\system32\winlogon.exe.vir
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0001194.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0001195.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0001204.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0001205.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0003239.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0003240.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0003242.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0003243.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
C:\WINDOWS\system32\drivers\riiqe.sys
    [FUND]      Ist das Trojanische Pferd TR/Agent.564800
Beginne mit der Suche in 'D:\'

Beginne mit der Desinfektion:
C:\WINDOWS\system32\drivers\riiqe.sys
    [FUND]      Ist das Trojanische Pferd TR/Agent.564800
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47ec61f6.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0003243.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e82459c.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0003242.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0cdd1f74.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0003240.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6aea50b6.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0003239.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2f6e7d88.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0001205.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50754fe9.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0001204.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1ccd63a3.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0001195.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '60d523f3.qua' verschoben!
C:\System Volume Information\_restore{2191BAC5-CF5A-4AB9-88B7-BE4602DC833B}\RP6\A0001194.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d8f0cbe.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\system32\winlogon.exe.vir
    [FUND]      Ist das Trojanische Pferd TR/Spy.513024.22
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5521376e.qua' verschoben!
C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir
    [FUND]      Ist das Trojanische Pferd TR/Spy.1036800.8
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '397b1b4d.qua' verschoben!


Ende des Suchlaufs: Dienstag, 12. Oktober 2010  23:09
Benötigte Zeit: 42:09 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   3346 Verzeichnisse wurden überprüft
 365641 Dateien wurden geprüft
     11 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     11 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 365630 Dateien ohne Befall
   8936 Archive wurden durchsucht
      0 Warnungen
     10 Hinweise
 235645 Objekte wurden beim Rootkitscan durchsucht
     10 Versteckte Objekte wurden gefunden
Seitenanfang Seitenende
13.10.2010, 16:04
news.reh
...neu hier

Themenstarter

Beiträge: 6
#6 Moin moin,

eine Frage noch!

Werde ich die TRs los wenn ich das System neu aufsetze(Recoverysystem)? Auf der Platte is eine versteckte Partition mit XP.

Gruß
news.reh
Seitenanfang Seitenende
13.10.2010, 23:53
Gool
Member
Avatar Gool

Beiträge: 4730
#7 Ja, dann wirst Du die los.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
14.10.2010, 23:53
news.reh
...neu hier

Themenstarter

Beiträge: 6
#8 Moin moin,

ich hab das System neu aufgesetzt und Avira findet nichts mehr.

Danke für die Unterstützung.

Gruß

news.reh
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1