Home » Viren, Trojaner & Malware Forum » Ich habe eine Bundeskriminalamt Trojaner » Themenansicht

Ich habe eine Bundeskriminalamt Trojaner
#0
08.08.2011, 17:30
Chris3
...neu hier

Beiträge: 4
#1 Das Problem das mein PC "gesperrt" ist und nur die Seite kommt auf der steht, dass das BKA meinen PC wegen Pornographie, Terrorismus etc. gesperrt wurde habe ich seit heute.
Zuerst habe ich den PC im abgesicherten Modus gestartet un mit Avira Antivir nach viren gescannt. Dieser Scan hatte 2 Funde. 1.Fund 'C:\ProgrmData\Symantec\LiveUpdate\Downloads\1216220042jtun_nav2k7en80715004.m25.full.zip enthielt den Virus HTML/Shellcode.Gen
2.Fund 'C:\User\Christoph\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0T2X6JH3\info[1].exe enthielt den Trojaner TR/Crypt.XPACK.Gen

OTL

Code

 OTL logfile created on: 08.08.2011 16:01:06 - Run 1
OTL by OldTimer - Version 3.2.26.1     Folder = C:\Users\Christoph\Desktop
Windows Vista Home Premium Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.17037)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,75 Gb Total Physical Memory | 2,26 Gb Available Physical Memory | 82,38% Memory free
5,69 Gb Paging File | 5,38 Gb Available in Paging File | 94,54% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 224,88 Gb Total Space | 78,24 Gb Free Space | 34,79% Space Free | Partition Type: NTFS
Drive E: | 117,38 Mb Total Space | 98,24 Mb Free Space | 83,70% Space Free | Partition Type: FAT
 
Computer Name: CHRISTOPH-PC | User Name: Christoph | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Users\Christoph\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
 
 
[color=#E56717]========== Modules (SafeList) ==========[/color]
 
MOD - C:\Users\Christoph\Desktop\OTL.exe (OldTimer Tools)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6000.16386_none_5d07289e07e1d100\comctl32.dll (Microsoft Corporation)
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (AntiVirService) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (Symantec Core LC) -- C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe ()
SRV - (LiveUpdate Notice Service) -- C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (Symantec Corporation)
SRV - (LiveUpdate) -- C:\Programme\Symantec\LiveUpdate\LuComServer_3_2.EXE (Symantec Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (comHost) -- C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe (Symantec Corporation)
SRV - (LiveUpdate Notice Ex) -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (Symantec Corporation)
SRV - (CLTNetCnService) -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (Symantec Corporation)
SRV - (ccSetMgr) -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (Symantec Corporation)
SRV - (ccEvtMgr) -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (Symantec Corporation)
SRV - (AVM IGD CTRL Service) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE (AVM Berlin)
SRV - (de_serv) -- C:\Programme\Common Files\AVM\De_serv.exe (AVM Berlin)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)
DRV - (atksgt) -- C:\Windows\System32\drivers\atksgt.sys ()
DRV - (lirsgt) -- C:\Windows\System32\drivers\lirsgt.sys ()
DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (NAVEX15) -- C:\ProgramData\Symantec\Definitions\VirusDefs\20081011.003\NAVEX15.SYS (Symantec Corporation)
DRV - (NAVENG) -- C:\ProgramData\Symantec\Definitions\VirusDefs\20081011.003\NAVENG.SYS (Symantec Corporation)
DRV - (IDSvix86) -- C:\ProgramData\Symantec\Definitions\SymcData\idsdefs\20081009.001\IDSvix86.sys (Symantec Corporation)
DRV - (eeCtrl) -- C:\Programme\Common Files\Symantec Shared\EENGINE\eeCtrl.sys (Symantec Corporation)
DRV - (EraserUtilRebootDrv) -- C:\Programme\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys (Symantec Corporation)
DRV - (SSHDRV85) -- C:\Windows\System32\drivers\SSHDRV85.sys ()
DRV - (hamachi) -- C:\Windows\System32\drivers\hamachi.sys (LogMeIn, Inc.)
DRV - (SymEvent) -- C:\Windows\System32\drivers\SYMEVENT.SYS (Symantec Corporation)
DRV - (SRTSPL) -- C:\Windows\System32\drivers\srtspl.sys (Symantec Corporation)
DRV - (SRTSP) -- C:\Windows\System32\drivers\srtsp.sys (Symantec Corporation)
DRV - (SRTSPX) -- C:\Windows\System32\drivers\srtspx.sys (Symantec Corporation)
DRV - (HdAudAddService) -- C:\Windows\System32\drivers\CHDART.sys (Conexant Systems Inc.)
DRV - (RTL8187B) -- C:\Windows\System32\drivers\RTL8187B.sys (Realtek Semiconductor Corporation                           )
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (SPBBCDrv) -- C:\Programme\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys (Symantec Corporation)
DRV - (NVENETFD) -- C:\Windows\System32\drivers\nvmfdx32.sys (NVIDIA Corporation)
DRV - (nvsmu) -- C:\Windows\System32\drivers\nvsmu.sys (NVIDIA Corporation)
DRV - (SYMTDI) -- C:\Windows\System32\Drivers\SYMTDI.SYS (Symantec Corporation)
DRV - (SYMFW) -- C:\Windows\System32\Drivers\SYMFW.SYS (Symantec Corporation)
DRV - (SYMIDS) -- C:\Windows\System32\Drivers\SYMIDS.SYS (Symantec Corporation)
DRV - (SYMNDISV) -- C:\Windows\System32\Drivers\SYMNDISV.SYS (Symantec Corporation)
DRV - (SYMREDRV) -- C:\Windows\System32\Drivers\SYMREDRV.SYS (Symantec Corporation)
DRV - (SYMDNS) -- C:\Windows\System32\Drivers\SYMDNS.SYS (Symantec Corporation)
DRV - (WINIO) -- C:\Windows\System32\WinIo.sys (http://www.internals.com)
DRV - (FWLANUSB) -- C:\Windows\System32\drivers\fwlanusb.sys (AVM GmbH)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=8&key=IESTART
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://format.packardbell.com/cgi-bin/redirect/?country=DE&range=AD&phase=8&key=IESTART
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (ICQ Inc.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
[color=#E56717]========== FireFox ==========[/color]
 
FF - prefs.js..browser.search.defaultenginename: "ICQ Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&q="
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.07.02 14:01:23 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.18\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011.06.25 20:27:42 | 000,000,000 | ---D | M]
 
[2008.07.15 14:03:56 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Christoph\AppData\Roaming\mozilla\Extensions
[2011.08.08 15:09:18 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Christoph\AppData\Roaming\mozilla\Firefox\Profiles\eso8rvol.default\extensions
[2009.09.15 17:24:41 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\Christoph\AppData\Roaming\mozilla\Firefox\Profiles\eso8rvol.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.01.10 13:08:39 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Christoph\AppData\Roaming\mozilla\Firefox\Profiles\eso8rvol.default\extensions\staged-xpis
[2011.07.31 10:46:34 | 000,000,950 | ---- | M] () -- C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\eso8rvol.default\searchplugins\icqplugin-1.xml
[2009.01.04 02:30:07 | 000,000,950 | ---- | M] () -- C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\eso8rvol.default\searchplugins\icqplugin-2.xml
[2009.12.12 18:00:10 | 000,000,950 | ---- | M] () -- C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\eso8rvol.default\searchplugins\icqplugin-3.xml
[2009.12.22 18:33:38 | 000,000,950 | ---- | M] () -- C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\eso8rvol.default\searchplugins\icqplugin-4.xml
[2010.02.28 11:34:05 | 000,000,950 | ---- | M] () -- C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\eso8rvol.default\searchplugins\icqplugin-5.xml
[2008.08.07 14:26:26 | 000,000,951 | ---- | M] () -- C:\Users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\eso8rvol.default\searchplugins\icqplugin.xml
[2011.08.08 15:09:18 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2007.01.18 21:17:56 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2007.01.18 21:17:43 | 000,000,000 | ---D | M] (Packard Bell Settings) -- C:\Programme\Mozilla Firefox\extensions\packardbell@partners.mozilla.com
[2010.02.28 18:49:01 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
[2011.04.23 15:58:05 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.04.23 15:58:05 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011.04.23 15:58:05 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.04.23 15:58:05 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.04.23 15:58:05 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (XTTBPos00 Class) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll (ICQ Inc.)
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Common Files\Symantec Shared\coShared\Browser\1.5\NppBHO.dll (Symantec Corporation)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.)
O2 - BHO: (Google Dictionary Compression sdch) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll (Google Inc.)
O2 - BHO: (CBrowserHelperObject Object) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\Google\Google_BAE\BAE.dll (Packard Bell)
O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (ICQ Toolbar) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (ICQ Inc.)
O3 - HKLM\..\Toolbar: (Norton-Symbolleiste anzeigen) - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll (Symantec Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll (Google Inc.)
O3 - HKCU\..\Toolbar\WebBrowser: (ICQ Toolbar) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (ICQ Inc.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe (AVM Berlin GmbH)
O4 - HKLM..\Run: [CardReaderMonitor] C:\Programme\Realtek Semiconductor Corp\Realtek Card Reader Monitor\CardReaderMonitor.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe (Symantec Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvSvc] C:\Windows\System32\nvsvc.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (Google Inc.)
O4 - HKLM..\Run: [RoxWatchTray] C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe (Sonic Solutions)
O4 - HKLM..\Run: [Symantec PIF AlertEng] C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (Symantec Corporation)
O4 - HKLM..\Run: [toolbar_eula_launcher] C:\Programme\Packard Bell\GOOGLE_EULA\EULALauncher.exe ( )
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: [avupdate] C:\Users\Christoph\AppData\Roaming\jashla.exe (aIKf)
O4 - HKCU..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe ()
O4 - HKCU..\Run: [Sidebar] C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation)
O4 - HKCU..\Run: [SmpcSys] C:\Programme\Packard Bell\SetUpMyPC\SmpSys.exe (Packard Bell BV)
O4 - HKCU..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\wmpnscfg.exe (Microsoft Corporation)
O4 - Startup: C:\Users\Christoph\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin)
O4 - Startup: C:\Users\Christoph\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hamachi.lnk = C:\Programme\Hamachi\hamachi.exe (LogMeIn Inc.)
O4 - Startup: C:\Users\Christoph\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (ICQ, Inc.)
O13 - gopher Prefix: missing
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Domains: localhost ([]http in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: GD ([http] in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range1 (•  in Lokales Intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\x-sdch {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll (Google Inc.)
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL) - C:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork3.dll (Google)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Users\Christoph\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O24 - Desktop BackupWallPaper: C:\Users\Christoph\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{36829d5b-cf4c-11dd-98df-f5f30d49006b}\Shell - "" = AutoRun
O33 - MountPoints2\{36829d5b-cf4c-11dd-98df-f5f30d49006b}\Shell\AutoRun\command - "" = E:\pushinst.exe
O33 - MountPoints2\{a7ea9b6b-52d5-11dd-bf11-00140b47fc6b}\Shell\1\Command - "" = E:\.\recycled\info.exe
O33 - MountPoints2\{a7ea9b6b-52d5-11dd-bf11-00140b47fc6b}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\.\recycled\info.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2011.08.08 15:59:44 | 000,579,584 | ---- | C] (OldTimer Tools) -- C:\Users\Christoph\Desktop\OTL.exe
[2011.08.08 12:33:23 | 000,232,448 | ---- | C] (aIKf) -- C:\Users\Christoph\AppData\Roaming\jashla.exe
[2011.08.08 12:32:56 | 000,000,000 | ---D | C] -- C:\Windows\Sun
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2011.08.08 15:55:08 | 000,302,592 | ---- | M] () -- C:\Users\Christoph\Desktop\dhytzs3b.exe
[2011.08.08 15:54:09 | 000,007,944 | ---- | M] () -- C:\Users\Christoph\AppData\Local\d3d9caps.dat
[2011.08.08 15:53:50 | 000,579,584 | ---- | M] (OldTimer Tools) -- C:\Users\Christoph\Desktop\OTL.exe
[2011.08.08 15:48:08 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2011.08.08 14:53:27 | 000,041,907 | ---- | M] () -- C:\Users\Christoph\AppData\Roaming\nvModes.001
[2011.08.08 14:52:44 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2011.08.08 14:52:44 | 000,003,072 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2011.08.08 12:52:10 | 000,613,776 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011.08.08 12:52:08 | 000,103,112 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2011.08.08 12:52:07 | 000,635,956 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2011.08.08 12:52:07 | 000,116,180 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2011.08.08 12:49:42 | 000,041,907 | ---- | M] () -- C:\Users\Christoph\AppData\Roaming\nvModes.dat
[2011.08.08 12:33:23 | 000,232,448 | ---- | M] (aIKf) -- C:\Users\Christoph\AppData\Roaming\jashla.exe
[2011.08.08 12:30:01 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\Erweiterte Garantie.job
[2011.08.08 12:30:00 | 000,000,348 | ---- | M] () -- C:\Windows\tasks\Recovery DVD Creator.job
[2011.07.10 18:23:56 | 000,025,601 | ---- | M] () -- C:\Users\Christoph\Desktop\a.odt
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2011.08.08 15:59:43 | 000,302,592 | ---- | C] () -- C:\Users\Christoph\Desktop\dhytzs3b.exe
[2011.07.10 18:23:55 | 000,025,601 | ---- | C] () -- C:\Users\Christoph\Desktop\a.odt
[2011.07.02 15:27:43 | 000,000,001 | ---- | C] () -- C:\Windows\System32\SI.bin
[2010.04.07 09:52:04 | 000,000,552 | ---- | C] () -- C:\Users\Christoph\AppData\Local\d3d8caps.dat
[2009.07.06 14:27:00 | 000,087,040 | ---- | C] () -- C:\Windows\UnGins.exe
[2009.07.06 14:26:59 | 000,473,600 | ---- | C] () -- C:\Windows\System32\Harmony.dll
[2009.07.06 14:26:59 | 000,237,568 | ---- | C] () -- C:\Windows\System32\Unlha32.dll
[2009.07.03 16:30:32 | 000,281,760 | ---- | C] () -- C:\Windows\System32\drivers\atksgt.sys
[2009.07.03 16:30:31 | 000,025,888 | ---- | C] () -- C:\Windows\System32\drivers\lirsgt.sys
[2009.05.31 19:47:51 | 000,006,020 | ---- | C] () -- C:\Windows\Unwise.ini
[2009.05.24 19:47:45 | 000,043,520 | ---- | C] () -- C:\Windows\System32\CmdLineExt03.dll
[2009.05.24 19:30:40 | 000,037,279 | ---- | C] () -- C:\Windows\DIIUnin.dat
[2009.04.18 10:15:46 | 000,002,560 | ---- | C] () -- C:\Windows\_MSRSTRT.EXE
[2009.02.12 16:20:10 | 000,007,944 | ---- | C] () -- C:\Users\Christoph\AppData\Local\d3d9caps.dat
[2009.01.15 19:07:23 | 000,097,312 | ---- | C] () -- C:\Windows\System32\drivers\Fwusb1b.bin
[2008.11.22 20:43:33 | 000,000,035 | ---- | C] () -- C:\Windows\SIERRA.INI
[2008.11.06 15:47:25 | 000,053,248 | ---- | C] () -- C:\Windows\System32\unrar.dll
[2008.10.31 17:37:06 | 000,040,960 | R--- | C] () -- C:\Windows\System32\psfind.dll
[2008.09.19 14:58:35 | 000,069,632 | ---- | C] () -- C:\Windows\System32\xmltok.dll
[2008.09.19 14:58:35 | 000,036,864 | ---- | C] () -- C:\Windows\System32\xmlparse.dll
[2008.09.06 13:33:41 | 000,681,980 | ---- | C] () -- C:\Windows\unins000.exe
[2008.09.06 13:33:41 | 000,048,346 | ---- | C] () -- C:\Windows\unins000.dat
[2008.07.18 18:07:08 | 000,765,952 | ---- | C] () -- C:\Windows\System32\xvidcore.dll
[2008.07.18 18:07:05 | 000,180,224 | ---- | C] () -- C:\Windows\System32\xvidvfw.dll
[2008.07.18 13:55:59 | 000,078,848 | ---- | C] () -- C:\Windows\System32\drivers\SSHDRV85.sys
[2008.07.15 17:24:56 | 000,024,206 | ---- | C] () -- C:\Users\Christoph\AppData\Roaming\UserTile.png
[2008.07.15 14:34:52 | 000,000,551 | ---- | C] () -- C:\Windows\eReg.dat
[2008.07.14 21:19:54 | 000,041,907 | ---- | C] () -- C:\Users\Christoph\AppData\Roaming\nvModes.001
[2008.07.14 20:47:35 | 000,041,907 | ---- | C] () -- C:\Users\Christoph\AppData\Roaming\nvModes.dat
[2008.07.14 20:29:27 | 000,047,104 | ---- | C] () -- C:\Users\Christoph\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.07.14 20:16:02 | 000,000,097 | ---- | C] () -- C:\Users\Christoph\AppData\Local\fusioncache.dat
[2007.11.26 21:56:28 | 000,151,415 | ---- | C] () -- C:\Windows\System32\xlive.dll.cat
[2007.07.16 12:16:32 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll
[2007.02.13 09:48:38 | 000,000,000 | ---- | C] () -- C:\Windows\System32\px.ini
[2007.01.19 04:45:42 | 000,635,956 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2007.01.19 04:45:42 | 000,290,748 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2007.01.19 04:45:42 | 000,116,180 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2007.01.19 04:45:42 | 000,036,916 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2007.01.18 21:24:30 | 002,115,816 | ---- | C] () -- C:\Windows\System32\NPSWF32.dll
[2007.01.18 21:09:10 | 000,001,732 | ---- | C] () -- C:\Windows\System32\drivers\nvphy.bin
[2006.11.02 14:57:28 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2006.11.02 14:47:37 | 000,301,056 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2006.11.02 14:35:32 | 000,005,632 | ---- | C] () -- C:\Windows\System32\sysprepMCE.dll
[2006.11.02 12:33:01 | 000,613,776 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2006.11.02 12:33:01 | 000,287,440 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2006.11.02 12:33:01 | 000,103,112 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2006.11.02 12:33:01 | 000,030,674 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2006.11.02 12:23:21 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2006.11.02 10:58:30 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2006.11.02 10:19:00 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2006.11.02 09:40:29 | 000,013,750 | ---- | C] () -- C:\Windows\System32\pacerprf.ini
[2006.11.02 09:25:31 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2006.11.02 09:22:43 | 000,099,999 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchema.bin
[2006.11.02 09:22:43 | 000,018,271 | ---- | C] () -- C:\Windows\System32\StructuredQuerySchemaTrivial.bin
[2005.08.30 00:00:00 | 000,781,312 | ---- | C] () -- C:\Windows\System32\RGSS102J.dll
[2005.08.30 00:00:00 | 000,778,752 | ---- | C] () -- C:\Windows\System32\RGSS102E.dll
[2005.08.30 00:00:00 | 000,771,584 | ---- | C] () -- C:\Windows\System32\RGSS100J.dll
 
[color=#E56717]========== LOP Check ==========[/color]
 
[2011.01.28 16:34:27 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\.minecraft
[2008.11.22 14:53:52 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\FRITZ!
[2008.07.30 21:00:49 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\ICQ
[2009.06.28 19:15:09 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\ICQ Toolbar
[2009.11.16 14:52:46 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Meine Der Herr der Ringe™, Aufstieg des Hexenkönigs™-Dateien
[2009.11.06 17:42:52 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Meine Die Schlacht um Mittelerde-Dateien
[2009.11.15 00:46:55 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Meine Die Schlacht um Mittelerde™ II-Dateien
[2008.07.16 17:15:54 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\My Games
[2009.01.18 22:59:31 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\OpenOffice.org
[2008.07.14 20:17:00 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Packard Bell
[2008.07.15 17:24:56 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\PeerNetworking
[2010.06.05 19:56:51 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Stardock
[2009.07.03 16:40:35 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Ubisoft
[2011.08.08 12:30:01 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\Erweiterte Garantie.job
[2011.08.08 12:30:00 | 000,000,348 | ---- | M] () -- C:\Windows\Tasks\Recovery DVD Creator.job
[2011.08.08 12:41:40 | 000,030,744 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
[color=#E56717]========== Purity Check ==========[/color]
 
 
 
[color=#E56717]========== Alternate Data Streams ==========[/color]
 
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\Warhammer Mark of Chaos:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\Updater5:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\SpellForce2:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\SpellForce:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\Soul Reaver 2:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\Notes:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\Neverwinter Nights 2:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\My Games:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\Helden der Lüfte savegames:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\Eigene Google Gadgets:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\Egosoft:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\Earth 2160:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\Dungeon Siege:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Users\Christoph\Documents\Anno 1404:Roxio EMC Stream
@Alternate Data Stream - 76 bytes -> C:\Program Files\Warcraft III:Roxio EMC Stream

< End of report >


Extras

Code

OTL Extras logfile created on: 08.08.2011 16:01:06 - Run 1
OTL by OldTimer - Version 3.2.26.1     Folder = C:\Users\Christoph\Desktop
Windows Vista Home Premium Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.17037)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,75 Gb Total Physical Memory | 2,26 Gb Available Physical Memory | 82,38% Memory free
5,69 Gb Paging File | 5,38 Gb Available in Paging File | 94,54% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 224,88 Gb Total Space | 78,24 Gb Free Space | 34,79% Space Free | Partition Type: NTFS
Drive E: | 117,38 Mb Total Space | 98,24 Mb Free Space | 83,70% Space Free | Partition Type: FAT
 
Computer Name: CHRISTOPH-PC | User Name: Christoph | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
http [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
https [open] -- "C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1" (Mozilla Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[color=#E56717]========== Firewall Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
 
[color=#E56717]========== Vista Active Open Ports Exception List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
 
[color=#E56717]========== Vista Active Application Exception List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{113EF9F1-22F2-4C3E-A43D-C115FC60BCE1}" = protocol=6 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2main.exe | 
"{18E41FCD-AEE0-4CE3-990A-975B5F476803}" = protocol=6 | dir=in | app=c:\program files\pando networks\media booster\pmb.exe | 
"{3CB80662-328D-4C30-A0E5-5D6A72849568}" = protocol=17 | dir=in | app=c:\program files\stardock games\demigod\bin\demigod.exe | 
"{3FC8DC24-D480-4742-8EF8-7C63B9A95FFF}" = protocol=17 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwupdate.exe | 
"{404342D1-375A-4D4A-AC4B-C64808BA28F6}" = protocol=6 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2server.exe | 
"{4CA92CBD-E46D-4857-8350-3C5EF3A06002}" = protocol=6 | dir=in | app=c:\program files\reality pump\earth 2160\earth2160_no_sse.exe | 
"{4FBAF8E4-10E0-4FF3-A7D1-D5737B0421A7}" = protocol=17 | dir=in | app=c:\program files\pando networks\media booster\pmb.exe | 
"{5AFCE13E-29EC-4374-8C83-5A4A44AEBAB2}" = protocol=17 | dir=in | app=c:\program files\firaxis games\sid meier's civilization 4\civilization4.exe | 
"{6066E80E-6107-4D9E-9204-A6E7D92C23FC}" = protocol=6 | dir=in | app=c:\program files\reality pump\earth 2160\earth2160_sse.exe | 
"{6360CF8C-FE89-4C59-B254-BEBFDB6C6E42}" = protocol=17 | dir=in | app=c:\program files\pando networks\media booster\pmb.exe | 
"{726C496F-2FA7-4CA1-8C45-82986FC7E699}" = protocol=17 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2server.exe | 
"{80993266-B7DD-41FB-A5DF-AAF5A98F5118}" = protocol=17 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2main_amdxp.exe | 
"{9393290E-4A6F-44CB-8262-9E44751F3D96}" = protocol=17 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2main.exe | 
"{A5ADDAC4-DC9A-4045-B362-A606117A05B4}" = dir=in | app=c:\program files\pando networks\media booster\pmb.exe | 
"{A5BA4C7E-8A98-4AA1-99CA-AD511C8F2CF1}" = protocol=17 | dir=in | app=c:\program files\microsoft games\dungeon siege\dungeonsiege.exe | 
"{B58C8DBB-E069-441D-B718-F564BCC426AD}" = protocol=6 | dir=in | app=c:\program files\stardock games\demigod\bin\demigod.exe | 
"{BAFF66D9-C54F-4B97-B393-A8FA44C8FE8D}" = protocol=6 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwupdate.exe | 
"{BBB8CC7B-7467-4C3D-9B07-ECE2786D056B}" = protocol=17 | dir=in | app=c:\program files\reality pump\earth 2160\earth2160_sse.exe | 
"{C11DBEF3-13F9-412F-99F7-235192C6A639}" = protocol=6 | dir=in | app=c:\program files\firaxis games\sid meier's civilization 4\civilization4.exe | 
"{E66CB70D-0107-4A41-902C-2F34BB3C8CE1}" = protocol=6 | dir=in | app=c:\program files\atari\neverwinter nights 2\nwn2main_amdxp.exe | 
"{EC4BD3B2-8F21-4B77-B0A4-C30B61D82C42}" = protocol=17 | dir=in | app=c:\program files\reality pump\earth 2160\earth2160_no_sse.exe | 
"{F2BF25DE-53EC-4C93-992F-C838C187622C}" = protocol=6 | dir=in | app=c:\program files\microsoft games\dungeon siege\dungeonsiege.exe | 
"{F32C1E96-C2EA-4CA1-AE23-2B67B98CC1A6}" = protocol=6 | dir=in | app=c:\program files\pando networks\media booster\pmb.exe | 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0166E190-92D7-482A-A220-DE8B7354383A}" = Demigod
"{022DA2C3-81C7-4003-A6BC-1BB147B20097}" = SuppSoft
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{0513EE35-E0FB-4166-B663-BD1AE3A803DE}" = Anno 1404
"{058A6346-B556-11D8-9E00-0004769EEFEB}" = Retro Ping
"{0C88C4A1-A9D7-4C28-8F06-4C2048765193}" = Magic The Gathering - Battlegrounds
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1BDC9633-895B-4842-BCB6-8FA1EC2A3C5A}" = Adobe Shockwave Player
"{1CA941F1-5006-487E-9FD4-09F812A7D6B8}" = Norton 360 Help
"{20071984-5EB1-4881-8EDB-082532ACEC6D}" = Heroes of Might and Magic V
"{206FD69B-F9FE-4164-81BD-D52552BC9C23}" = GearDrvs
"{21829177-4DED-4209-AD08-490B3AC9C01A}" = Norton 360
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java(TM) 6 Update 18
"{2A9F95AB-65A3-432c-8631-B8BC5BF7477A}" = Die Schlacht um Mittelerde™ II
"{2D617065-1C52-4240-B5BC-C0AE12157777}" = Norton 360
"{2DA85B02-13C0-4E6D-9A76-22E6B3DD0CB2}" = SymNet
"{3074EB89-1BCA-4AEF-AFF4-EFB4634C1923}" = Norton Confidential Web Authentification Component
"{31E2413D-8AA1-43EC-8B8D-77B65ADA4611}" = Civilization III v1.21f
"{3AFD938F-D1FF-490A-9154-82774A9E977E}" = Sid Meier's Civilization 4
"{3C15A775-465E-4605-B282-50F9A395E14A}" = Symantec Real Time Storage Protection Component
"{3CCAD2EF-CFF2-4637-82AA-AABF370282D3}" = ccCommon
"{3D9CF3CA-3AB0-4A82-9853-D7C43FD1D775}" = ANNO 1404
"{3DE5E7D4-7B88-403C-A3FD-2017A8240C5B}" = Google Earth
"{3EE33958-7381-4E7B-A4F3-6E43098E9E9C}" = Browser Address Error Redirector
"{3F290582-3F4E-4B96-009C-E0BABAA40C42}" = Die Schlacht um Mittelerde(tm)
"{40DA9A54-48CA-4A2C-AEAF-F67715BB046E}" = Norton 360
"{412B69AF-C352-4F6F-A318-B92B3CB9ACC6}" = Titan Quest
"{4843B611-8FCB-4428-8C23-31D0A5EAE164}" = Norton Confidential Browser Component
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5A9FE525-8B8F-4701-A937-7F6745A4E9C7}" = RGSS-RTP Standard
"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.5
"{5CE57A26-AF35-11D8-9E00-0004769EEFEB}" = N
"{5CE57A33-AF35-11D8-9E00-0004769EEFEB}" = Sechsex 3
"{5CE57A7E-AF35-11D8-9E00-0004769EEFEB}" = TSteroids
"{5F374D5D-DB43-4263-9C29-BAB2C93FEFE6}" = Warhammer® Mark of Chaos
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6
"{63A6E9A9-A190-46D4-9430-2DB28654AFD8}" = Norton 360
"{66FF4C48-0083-4E60-8556-B883AB200091}" = Heroes of Might & Magic V: Hammers of Fate
"{66FF4C48-0083-4E60-8556-B883AB200092}" = Heroes of Might and Magic V - Tribes of the East
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7655E113-C306-11D9-A373-0050BAE317E1}" = MCE Software Encoder 1.1
"{77772678-817F-4401-9301-ED1D01A8DA56}" = SPBBC 32bit
"{786547F9-59BB-4FA3-B2D8-327FF1F14870}" = Adobe Flash Player 9 ActiveX
"{7AF32AB1-CB97-11D4-9607-0050BA84F5F7}" = Baldur's Gate(TM) II - Schatten von Amn(TM)
"{929CE49F-1CA7-4CF3-A9A1-6D757443C63F}" = Microsoft Games for Windows - LIVE Redistributable
"{92B1B3CC-EC78-45B8-96D0-8B3F11495864}" = Symantec Technical Support Controls
"{974C4B12-4D02-4879-85E0-61C95CC63E9E}" = Fallout 3
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{98613C99-1399-416C-A07C-1EE1C585D872}" = SeaTools for Windows
"{99A37AC7-E724-4621-B167-500B5A52B69C}" = LastChaosGER
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{AC76BA86-7AD7-1031-7B44-A80000000002}" = Adobe Reader 8 - Deutsch
"{B58561BB-0425-458C-B9C4-44618814BA70}" = The Italian Job
"{B5C5C17E-FEF6-4062-8151-A427AE8AF9D7}" = Titan Quest Immortal Throne
"{B7FB0C86-41A4-4402-9A33-912C462042A0}" = Roxio Creator 9 LE
"{B931FB80-537A-4600-00AD-AC5DEDB6C25B}" = Aufstieg des Hexenkönigs™
"{C9338002-3BB2-11D4-BFE5-0080AD3B840E}" = DSA Kräutertool
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CB84F0F2-927B-458D-9DC5-87832E3DC653}" = GearDrvs
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}" = Sid Meier's Civilization 4
"{D353CC51-430D-4C6F-9B7E-52003DA1E05A}" = Norton Confidential Web Protection Component
"{D359B12F-9B1A-46FD-B70C-F507B5B11590}" = HDRegDE
"{D4210CB1-A469-41AF-A619-C97B07FDF6FD}" = Realtek Card Reader Monitor
"{DBA4DB9D-EE51-4944-A419-98AB1F1249C8}" = LiveUpdate Notice (Symantec Corporation)
"{DC24971E-1946-445D-8A82-CE685433FA7D}" = Realtek USB 2.0 Card Reader
"{E35B3C63-E958-4E31-A178-95D22024109A}" = Battlefield Vietnam(TM)
"{E51B4CD9-A0A6-4324-B26A-31B3F2DE26CE}" = Black and White
"{EA450D5D-95EA-4FD0-B8B0-6D8E68FBE2C7}" = Impulse
"{EFB5B3B5-A280-4E25-BE1C-634EEFE32C1B}" = AppCore
"{F20C1251-1D0A-4944-B2AE-678581B33B19}" = Neverwinter Nights 2
"{F4DB525F-A986-4249-B98B-42A8066251CA}" = AV
"{F989306B-9287-444F-AE73-E30C7E4AF0F5}" = Battlefield Vietnam: WW2 Mod
"{FF39FC01-819B-42E4-AE49-1968AF12DDD4}" = Dawn of War - Dark Crusade
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AdobeReader" = Adobe Reader 8
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"BillardGL 1.75" = BillardGL 1.75
"CNXT_HDAUDIO" = Conexant HD Audio
"CREATOR9" = Creator 9
"Demigod" = Demigod
"Diablo II" = Diablo II
"DungeonSiege 1.0" = Dungeon Siege
"Earth 2160" = Earth 2160
"FirefoxDE" = Firefox
"Flashplayer" = Flash Player 9 Internet Explorer
"ForceHCResetOnResume 1.1.0_is1" = ForceHCResetOnResume 1.1.0
"FRITZ!DSL" = AVM FRITZ!DSL
"Google Desktop" = Google Desktop
"GOOGLE_EARTH" = Google Earth
"GoogleBAE" = Google BAE
"GoogleDesktop" = Google Desktop
"GoogleToolbar" = Google Toolbar
"Hamachi" = Hamachi 1.0.2.5
"Holy Trinity - Die Apokalypse" = Holy Trinity - Die Apokalypse
"ImageWriter" = Packard Bell ImageWriter
"Impulse" = Impulse
"Infocentre" = Infocentre Rev. 2.0
"LCDTest" = Packard Bell LCD Test
"LiveUpdate" = LiveUpdate 3.2 (Symantec Corporation)
"METABOLI" = Metaboli
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"mIRC" = mIRC
"Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18)
"N360_2007_DE" = Norton 360
"NVIDIA Drivers" = NVIDIA Drivers
"Outcast" = Outcast
"Perry Rhodan" = Perry Rhodan
"Picasa_2" = Picasa2
"Picasa2" = Picasa 2
"PlugY, The Survival Kit" = PlugY, The Survival Kit
"RPG Maker 2000 1.07b" = RPG Maker 2000 1.07b
"RTP for RM2K (Png, Wav, Midi, Fonts)" = RTP for RM2K (Png, Wav, Midi, Fonts)
"Sacred Underworld_is1" = Sacred Underworld
"Sacred_is1" = Sacred
"SETUPMYPC_DE" = SetUp My PC
"Seven Kingdoms II" = Seven Kingdoms II
"Shockwave" = Shockwave player 10
"SKYPE" = Skype 3.5.2.239
"Slash'EM_is1" = Slash'EM 0.0.7E7F3
"Soul Reaver 2" = Soul Reaver 2
"SymSetup.{2D617065-1C52-4240-B5BC-C0AE12157777}" = Norton 360 (Symantec Corporation)
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"SystemRequirementsLab" = System Requirements Lab
"Updator" = Packard Bell Updator
"Vampire Editor" = Vampire Editor
"WinRAR archiver" = WinRAR
"WoP Map Pack #1" = WoP Map Pack #1
"World of Padman" = World of Padman
"X3-Reunion2.0.02DE_is1" = X3: Reunion v2.0.02
"XTTB00001.XTTB00001Toolbar" = ICQ Toolbar
"Xvid_is1" = Xvid 1.1.3 final uninstall
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ Application Events ]
Error - 24.07.2011 11:04:33 | Computer Name = Christoph-PC | Source = WerSvc | ID = 5007
Description = 
 
Error - 08.08.2011 06:54:28 | Computer Name = Christoph-PC | Source = EventSystem | ID = 4609
Description = 
 
Error - 08.08.2011 06:58:50 | Computer Name = Christoph-PC | Source = LoadPerf | ID = 3012
Description = 
 
Error - 08.08.2011 06:58:50 | Computer Name = Christoph-PC | Source = LoadPerf | ID = 3011
Description = 
 
Error - 08.08.2011 06:58:53 | Computer Name = Christoph-PC | Source = LoadPerf | ID = 3001
Description = 
 
Error - 08.08.2011 08:58:54 | Computer Name = Christoph-PC | Source = EventSystem | ID = 4609
Description = 
 
Error - 08.08.2011 09:02:37 | Computer Name = Christoph-PC | Source = LoadPerf | ID = 3001
Description = 
 
Error - 08.08.2011 09:49:57 | Computer Name = Christoph-PC | Source = EventSystem | ID = 4609
Description = 
 
Error - 08.08.2011 09:53:00 | Computer Name = Christoph-PC | Source = LoadPerf | ID = 3001
Description = 
 
Error - 08.08.2011 10:00:23 | Computer Name = Christoph-PC | Source = LoadPerf | ID = 3001
Description = 
 
[ System Events ]
Error - 08.08.2011 09:48:11 | Computer Name = Christoph-PC | Source = EventLog | ID = 6008
Description = Das System wurde zuvor am 08.08.2011 um 15:46:24 unerwartet heruntergefahren.
 
Error - 08.08.2011 09:49:35 | Computer Name = Christoph-PC | Source = Service Control Manager | ID = 7001
Description = 
 
Error - 08.08.2011 09:49:35 | Computer Name = Christoph-PC | Source = Service Control Manager | ID = 7026
Description = 
 
Error - 08.08.2011 09:49:49 | Computer Name = Christoph-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 08.08.2011 09:49:57 | Computer Name = Christoph-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 08.08.2011 09:50:00 | Computer Name = Christoph-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 08.08.2011 09:50:03 | Computer Name = Christoph-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 08.08.2011 09:50:05 | Computer Name = Christoph-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 08.08.2011 09:50:18 | Computer Name = Christoph-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 08.08.2011 09:50:18 | Computer Name = Christoph-PC | Source = DCOM | ID = 10005
Description = 
 
 
< End of report >


gmer

Code

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-08-08 17:08:36
Windows 6.0.6000  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4 ST9250827AS rev.3.AAA
Running: dhytzs3b.exe; Driver: C:\Users\CHRIST~1\AppData\Local\Temp\kglyruod.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           C:\Windows\system32\drivers\SSHDRV85.sys                                                                                                                                   section is writeable [0x8D446000, 0x24A24, 0xE8000020]
.pklstb         C:\Windows\system32\drivers\SSHDRV85.sys                                                                                                                                   entry point in ".pklstb" section [0x8D479000]
.relo2          C:\Windows\system32\drivers\SSHDRV85.sys                                                                                                                                   unknown last section [0x8D48F000, 0x8E, 0x42000040]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                                                                                    Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                                                                                    Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\redist\Miles\mssdsp.flt                          1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\redist\Miles\msseax.flt                          1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\redist\Miles\mssmp3.asi                          1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Balance_of_Chaos.scn        1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Blood_on_the_Snow.scn       1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Castle_of_the_Gods.scn      1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\General_Conflict.scn        1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Killing_Fields.scn          1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Range.scn                   1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Refill_Conflict.scn         1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Reinforcement_Conflict.scn  1
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\NAMCO BANDAI Games\Warhammer\xae Mark of Chaos\scenario\Multiplayer\Village_in_Squeeze.scn      1

---- EOF - GMER 1.0.15 ----


Und vielen Dank für die Hilfe
Seitenanfang Seitenende
10.08.2011, 19:15
Swisstreasure
Moderator

Beiträge: 5694
#2 Hallo und herzlich Willkommen auf Protecus.de

Um ein infiziertes System zu bereinigen bedarf es neben Zeit auch die Beachtung folgender Punkte:

• Halte Dich an die Anweisungen des jeweiligen Helfers.
• Falls Du externen Speichermedien (USB Sticks, Festplatten) hast, dann schliesse die vor der Reinigung an.
• Während der Reinigung solltest Du weder Programme installieren noch deinstallieren, welche nicht ausdrücklich verlangt werden.
• Bitte arbeite jeden Schritt der Reihe nach ab.
• Falls bei einem Schritt Probleme auftauchen, poste was du bereits hast und melde Dich mit dem Problembeschreiben.


• Die Bereinigung ist erst beendet wenn der jeweilige Helfer das OK gibt.
• Wenn die Kiste wieder flott läuft heisst das nicht, dass das Sytem auch sauber ist.
• Bei geschäftlich genutzten Rechner sollte der zuständige IT Verantwortliche beigezogen werden.
• Ein Support unsererseits kann unter Umständen bei einem Firmenrechner abgelehnt werden.
• Bei illegaler Software besteht die Möglichkeit, dass der Support eingestellt wird.
• Jegliche Cracks oder Keygens werden weder gefördert noch akzeptiert.
• Bei stark infizierten Systemen vorallem wenn Backdoors oder Rootkits involviert sind kann es vorkommen, dass ein Helfer zum Neuaufsetzen rät.
• In letzter Instanz ist dann immer der User welcher entscheidet.


Vista und Win7 User:
Alle Programme und Tools, die wir anordnen, immer mit Rechtsklick und Als Administrator ausführen.

Schritt 1

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
O4 - HKCU..\Run: [avupdate] C:\Users\Christoph\AppData\Roaming\jashla.exe (aIKf)
O33 - MountPoints2\{36829d5b-cf4c-11dd-98df-f5f30d49006b}\Shell - "" = AutoRun
O33 - MountPoints2\{36829d5b-cf4c-11dd-98df-f5f30d49006b}\Shell\AutoRun\command - "" = E:\pushinst.exe
O33 - MountPoints2\{a7ea9b6b-52d5-11dd-bf11-00140b47fc6b}\Shell\1\Command - "" = E:\.\recycled\info.exe
O33 - MountPoints2\{a7ea9b6b-52d5-11dd-bf11-00140b47fc6b}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\.\recycled\info.exe
[2011.08.08 12:33:23 | 000,232,448 | ---- | C] (aIKf) -- C:\Users\Christoph\AppData\Roaming\jashla.exe
[2011.08.08 12:33:23 | 000,232,448 | ---- | M] (aIKf) -- C:\Users\Christoph\AppData\Roaming\jashla.exe
:Commands
[purity]
[emptytemp]
• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Malwarebytes Anti-Malware

Lade MBAM herunter, installiere es und wähle bei Reiter:

-> “Update“> “Suche nach Aktualisierungen“
-> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“
-> “Scanner”> "Quickscan durchfuehren".

Wenn am Ende Infizierungen gefunden werden, diese anhaken und entfernen lassen. Starte dein Rechner neu
Seitenanfang Seitenende
15.08.2011, 17:41
Chris3
...neu hier

Themenstarter

Beiträge: 4
#3 All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\avupdate deleted successfully.
C:\Users\Christoph\AppData\Roaming\jashla.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36829d5b-cf4c-11dd-98df-f5f30d49006b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36829d5b-cf4c-11dd-98df-f5f30d49006b}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{36829d5b-cf4c-11dd-98df-f5f30d49006b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36829d5b-cf4c-11dd-98df-f5f30d49006b}\ not found.
File E:\pushinst.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a7ea9b6b-52d5-11dd-bf11-00140b47fc6b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a7ea9b6b-52d5-11dd-bf11-00140b47fc6b}\ not found.
File E:\.\recycled\info.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a7ea9b6b-52d5-11dd-bf11-00140b47fc6b}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a7ea9b6b-52d5-11dd-bf11-00140b47fc6b}\ not found.
File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\.\recycled\info.exe not found.
File C:\Users\Christoph\AppData\Roaming\jashla.exe not found.
File C:\Users\Christoph\AppData\Roaming\jashla.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Christoph
->Temp folder emptied: 432336189 bytes
->Temporary Internet Files folder emptied: 121891176 bytes
->Java cache emptied: 412171 bytes
->FireFox cache emptied: 53640219 bytes
->Flash cache emptied: 497002 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 982320 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4953395448 bytes
RecycleBin emptied: 6369142092 bytes

Total Files Cleaned = 11.380,00 mb


OTL by OldTimer - Version 3.2.26.1 log created on 08152011_165326

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Seitenanfang Seitenende
15.08.2011, 21:27
Swisstreasure
Moderator

Beiträge: 5694
#4 Schritt 2???
Seitenanfang Seitenende
17.08.2011, 15:28
Chris3
...neu hier

Themenstarter

Beiträge: 4
#5 Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7470

Windows 6.0.6000
Internet Explorer 7.0.6000.17037

15.08.2011 17:32:21
mbam-log-2011-08-15 (17-32-21).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 152034
Laufzeit: 5 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XTTB00001.XTTB00001Toolbar (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files\icqtoolbar\toolbaru.dll (Trojan.BHO) -> Quarantined and deleted successfully.
Seitenanfang Seitenende
18.08.2011, 21:34
Swisstreasure
Moderator

Beiträge: 5694
#6 ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.

Button (<< klick) drücken.

Firefox-User:
Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
IE-User:
müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde
• Klicke Finish.
• Browser schließen.Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code

"%ProgramFiles%\Eset\Eset Online Scanner\log.txt"
Poste nun den Inhalt der log.txt.
Seitenanfang Seitenende
19.08.2011, 19:08
Chris3
...neu hier

Themenstarter

Beiträge: 4
#7 ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=985995d4a8eb4b4396f5c81fb8d0d030
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-19 02:29:53
# local_time=2011-08-19 04:29:53 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6000 NT
# compatibility_mode=1797 16775141 100 94 8113 89267617 888 0
# compatibility_mode=5892 16776573 100 100 116 151285038 0 0
# compatibility_mode=8192 67108863 100 0 689 689 0 0
# scanned=191943
# found=1
# cleaned=0
# scan_time=11884
C:\_OTL\MovedFiles\08152011_165326\C_Users\Christoph\AppData\Roaming\jashla.exe a variant of Win32/Injector.ILG trojan (unable to clean) 00000000000000000000000000000000 I
Seitenanfang Seitenende
19.08.2011, 23:42
Swisstreasure
Moderator

Beiträge: 5694
#8 Schritt 1

Tool-Bereinigung mit OTL

Wir werden nun die CleanUp!-Funktion von OTL nutzen, um die meisten Programme, die wir zur Bereinigung installiert haben, wieder von Deinem System zu löschen.• Bitte lade Dir (falls noch nicht vorhanden) OTL von OldTimer herunter.
Speichere es auf Deinem Desktop.
• Doppelklick auf OTL.exe um das Programm auszuführen.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Klicke auf den Button "Bereinigung"
• OTL fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.Anmerkung: Nach dem Neustart werden OTL und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind. Sollten noch welche übrig geblieben sein, lösche sie manuell.

Schritt 2

Nachsorge


Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra ;).

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.

Massnahmen:

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra ;).

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich [url="http://www.CCleaner.de"]CCleaner[/url], (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de. Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
Port-Scan-Test.
WLAN absichern.
Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.


Freiwillige Spende
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1