Facebook Schadprogramm eingefangen!

#1 Hi Leute.

Ich und einige Freunde haben sich auf Facebook ein Schadprogramm eingefangen. Es war getarnt als eine Chatnachricht die so lautete

"huahuhahlthahaqyha is this you " und folgendem Link dahinter
xxxphotobucketkgb.com/facebook-pic-126641-JPEG

Dahinter verbirgt sich eine Datei zum Downloaden. Wenn man diese öffnet ist es dann aber auch schon zu spät. Avira schlägt auch nicht an. Es taucht ein merkwürdiger Prozess namens avshaddow oder so ähnlich auf und die automatischen Updates werden deaktiviert.

Nun habe ich und meine Freunde angst das Passwörter etc. ausspioniert werden. Ist diese Angst begründet? Was könnt ihr zu dem Programm sagen?

Wäre echt nett wenn ihr mir helfen könntet. Danke schon mal im Voraus.

Gruß Maddoc

#2 Ich kann mich dem nur anschließen, da ich auch selbst Opfer bin.

#3 Also, ihr koennt davon ausgehen, das eure Passworte gestohlen wurden und das ist nicht auf die Facebook Passwoerter beschraengt. Je nachdem, welche Version euch erwischt hat, kann euch in dem Fall Malwarebytes Antimalware helfen.

http://malwarebytes.org/
Wenn ich das auf die schnelle richtig gesehen habe, erkennt das alle beteiligten Prozesse, nur aktiviert es den Dienst fuer das Automatische Updaten nicht wieder, das sollte man selber uebernehmen...

Ansonsten im Zweifelsfalle, nachdem man _alle_ Passworte von einem sauberen System geaendert hat, dieses bitte abarbeiten...

http://board.protecus.de/t40182.htm
__________
MfG Ralf
SEO-Spam Hunter

#4 HighJackThis zeigt an das ein Prozess Namens "csrss.exe" vorhanden ist welcher aus dem Verzeichnis "c:\windows\" gestartet wird (nicht System32). Alle diese Einträge habe ich gefixt und die versteckte Datei gelöscht. Nun zeigt HighjackThis nichts mehr an und die Datei ist auch dauerhaft verschwunden. Die automatischen Updates werden nun auch nicht mehr von alleine deaktiviert..

#5 Arbeite trotzdem die Anleitung ab die Raman gepostet hat.

#6 Bin schon drüber..

EDIT//
Cool. Will das OTL Programm über die Verknüpfung aus dem zweiten Link downloaden und mein Virenscanner springt an!?!?

"In der Datei 'C:\Users\Xerox\AppData\Local\Mozilla\Firefox\Profiles\ts5ugw6f.default\Cache\DA761E44d01'
wurde ein Virus oder unerwünschtes Programm 'TR/Swisyn.bsgf.1' [trojan] gefunden."

Nimmt da jemand Viren, Trojaner & Malware Forum wörtlich??

#7 So. Malwarebytes erkennt die exe vom Bild die csrss.exe die ich verschoben und umbenannt hatte und einen Eintrag in der registry welches die csrss.exe startet unter

"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]
@=""
"Windows System Devices Manager"="c:\\windows\\csrss.exe"
"

Nun probiere ich mal OLT

#8 So, Malwarebytes hat nun nichts mehr gefunden. Dass sagt OLT dazu (nicht wundern, mein Windows Ordner heißt WinXP)

Könnt ihr da etwas erkennen??

PS: Ist OTL eine Art HighJackThis?

OTL.Txt

Code

OTL logfile created on: 24.08.2011 23:35:11 - Run 1
OTL by OldTimer - Version 3.2.26.5     Folder = C:\Dokumente und Einstellungen\Xerox\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1023,48 Mb Total Physical Memory | 577,04 Mb Available Physical Memory | 56,38% Memory free
2,40 Gb Paging File | 1,98 Gb Available in Paging File | 82,55% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 14,61 Gb Free Space | 74,79% Space Free | Partition Type: NTFS
 
Computer Name: BIE | User Name: Xerox | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
[color=#E56717]========== Processes (SafeList) ==========[/color]
 
PRC - C:\Dokumente und Einstellungen\Xerox\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\VMware\VMware Tools\VMUpgradeHelper.exe (VMware, Inc.)
PRC - C:\Programme\VMware\VMware Tools\VMwareTray.exe (VMware, Inc.)
PRC - C:\Programme\VMware\VMware Tools\VMwareUser.exe (VMware, Inc.)
PRC - C:\Programme\VMware\VMware Tools\vmtoolsd.exe (VMware, Inc.)
PRC - C:\Programme\VMware\VMware Tools\vmacthlp.exe (VMware, Inc.)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\WINXP\explorer.exe (Microsoft Corporation)
 
 
[color=#E56717]========== Modules (No Company Name) ==========[/color]
 
MOD - C:\Programme\WinRAR\RarExt.dll ()
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\Programme\VMware\VMware Tools\plugins\vmsvc\resolutionSet.dll ()
MOD - C:\Programme\VMware\VMware Tools\sigc-2.0.dll ()
 
 
[color=#E56717]========== Win32 Services (SafeList) ==========[/color]
 
SRV - (HidServ) --  File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (VMUpgradeHelper) -- C:\Programme\VMware\VMware Tools\VMUpgradeHelper.exe (VMware, Inc.)
SRV - (VMTools) -- C:\Programme\VMware\VMware Tools\vmtoolsd.exe (VMware, Inc.)
SRV - (VMware Physical Disk Helper Service) -- C:\Programme\VMware\VMware Tools\vmacthlp.exe (VMware, Inc.)
SRV - (TPVCGateway) -- C:\Programme\VMware\VMware Tools\TPVCGateway.exe (ThinPrint GmbH)
SRV - (TPAutoConnSvc) -- C:\Programme\VMware\VMware Tools\TPAutoConnSvc.exe (ThinPrint AG)
 
 
[color=#E56717]========== Driver Services (SafeList) ==========[/color]
 
DRV - (avipbb) -- C:\WINXP\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINXP\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (MBAMProtector) -- C:\WINXP\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (ssmdrv) -- C:\WINXP\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (vmscsi) -- C:\WINXP\system32\DRIVERS\vmscsi.sys (VMware, Inc.)
DRV - (vmdebug) -- C:\WINXP\system32\drivers\vmdebug.sys (VMware, Inc.)
DRV - (vmhgfs) -- C:\WINXP\system32\drivers\vmhgfs.sys (VMware, Inc.)
DRV - (VMMEMCTL) -- C:\Programme\VMware\VMware Tools\Drivers\memctl\vmmemctl.sys (VMware, Inc.)
DRV - (vmxnet) -- C:\WINXP\system32\drivers\vmxnet.sys (VMware, Inc.)
DRV - (vmmouse) -- C:\WINXP\system32\drivers\vmmouse.sys (VMware, Inc.)
DRV - (vmx_svga) -- C:\WINXP\system32\drivers\vmx_svga.sys (VMware, Inc.)
DRV - (vmci) -- C:\WINXP\system32\drivers\vmci.sys (VMware, Inc.)
DRV - (gameenum) -- C:\WINXP\system32\drivers\gameenum.sys (Microsoft Corporation)
DRV - (es1371) Creative AudioPCI (ES1371,ES1373) (WDM) -- C:\WINXP\system32\drivers\es1371mp.sys (Creative Technology Ltd.)
 
 
[color=#E56717]========== Standard Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== Internet Explorer ==========[/color]
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINXP\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://redirectsite.net/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 04 7C CD 27 79 48 CC 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
[color=#E56717]========== FireFox ==========[/color]
 
 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINXP\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.07.22 16:11:55 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 5.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2011.07.22 16:12:01 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Xerox\Anwendungsdaten\Mozilla\Extensions
[2011.07.22 16:11:54 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) -- 
[2011.07.08 09:31:38 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2010.01.01 10:00:00 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.01.01 10:00:00 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2010.01.01 10:00:00 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010.01.01 10:00:00 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.01.01 10:00:00 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.01.01 10:00:00 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008.04.14 08:00:00 | 000,000,820 | ---- | M]) - C:\WINXP\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx ()
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [VMware Tools] C:\Programme\VMware\VMware Tools\VMwareTray.exe (VMware, Inc.)
O4 - HKLM..\Run: [VMware User Process] C:\Programme\VMware\VMware Tools\VMwareUser.exe (VMware, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\Programme\VMware\VMware Tools\VSock SDK\bin\win32\vsocklib.dll (VMware, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\Programme\VMware\VMware Tools\VSock SDK\bin\win32\vsocklib.dll (VMware, Inc.)
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINXP\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINXP\system32\userinit.exe) - C:\WINXP\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\TPSvc: DllName - TPSvc.dll - C:\WINXP\System32\TPSvc.dll (ThinPrint AG)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINXP\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.04.16 15:24:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]
 
[2011.08.24 23:20:08 | 000,580,096 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Xerox\Desktop\OTL.exe
[2011.08.24 23:16:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Xerox\Anwendungsdaten\Malwarebytes
[2011.08.24 23:16:28 | 000,041,272 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbamswissarmy.sys
[2011.08.24 23:16:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.08.24 23:16:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.08.24 23:16:24 | 000,022,712 | ---- | C] (Malwarebytes Corporation) -- C:\WINXP\System32\drivers\mbam.sys
[2011.08.24 23:16:24 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.08.24 23:06:45 | 009,466,208 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Xerox\Desktop\mbam-setup-1.51.1.1800.exe
[2011.08.24 13:08:44 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2011.08.24 13:06:55 | 000,000,000 | ---D | C] -- C:\WINXP\System32\XPSViewer
[2011.08.24 13:06:53 | 000,000,000 | ---D | C] -- C:\Programme\MSBuild
[2011.08.24 13:06:51 | 000,000,000 | ---D | C] -- C:\WINXP\System32\en-US
[2011.08.24 13:06:43 | 000,000,000 | ---D | C] -- C:\Programme\Reference Assemblies
[2011.08.24 13:06:23 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\xpssvcs.dll
[2011.08.24 13:06:23 | 001,676,288 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\xpssvcs.dll
[2011.08.24 13:06:23 | 000,597,504 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\printfilterpipelinesvc.exe
[2011.08.24 13:06:23 | 000,575,488 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\xpsshhdr.dll
[2011.08.24 13:06:23 | 000,117,760 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\prntvpt.dll
[2011.08.24 13:06:23 | 000,089,088 | ---- | C] (Microsoft Corporation) -- C:\WINXP\System32\dllcache\filterpipelineprintproc.dll
[2011.08.24 13:06:23 | 000,000,000 | ---D | C] -- C:\4d2a487a918fa5a8fb8a3c853945
[2011.08.24 13:01:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Xerox\Lokale Einstellungen\Anwendungsdaten\GHISLER
[2011.08.24 12:56:39 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.08.24 12:51:37 | 000,000,000 | ---D | C] -- C:\Programme\Trend Micro
[2011.08.24 12:51:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Xerox\Startmenü\Programme\HiJackThis
[2011.08.24 01:09:28 | 000,000,000 | ---D | C] -- C:\WINXP\System32\NtmsData
[2011.08.24 01:03:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Xerox\Anwendungsdaten\Avira
[2011.08.24 00:59:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2011.08.24 00:59:37 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\ssmdrv.sys
[2011.08.24 00:59:36 | 000,138,192 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avipbb.sys
[2011.08.24 00:59:36 | 000,066,616 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntflt.sys
[2011.08.24 00:59:36 | 000,045,416 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntdd.sys
[2011.08.24 00:59:36 | 000,022,360 | ---- | C] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntmgr.sys
[2011.08.24 00:59:35 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2011.08.24 00:59:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2011.08.24 00:53:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Xerox\Eigene Dateien\Downloads
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]
 
[2011.08.24 23:29:52 | 000,002,048 | --S- | M] () -- C:\WINXP\bootstat.dat
[2011.08.24 23:27:11 | 000,000,486 | ---- | M] () -- C:\Dokumente und Einstellungen\Xerox\Desktop\test.reg
[2011.08.24 23:20:15 | 000,580,096 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Xerox\Desktop\OTL.exe
[2011.08.24 23:16:28 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.08.24 23:06:54 | 009,466,208 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Xerox\Desktop\mbam-setup-1.51.1.1800.exe
[2011.08.24 13:12:58 | 000,002,431 | ---- | M] () -- C:\Dokumente und Einstellungen\Xerox\Desktop\HiJackThis.lnk
[2011.08.24 13:12:09 | 000,093,480 | ---- | M] () -- C:\WINXP\System32\FNTCACHE.DAT
[2011.08.24 13:09:21 | 000,448,470 | ---- | M] () -- C:\WINXP\System32\perfh007.dat
[2011.08.24 13:09:21 | 000,432,356 | ---- | M] () -- C:\WINXP\System32\perfh009.dat
[2011.08.24 13:09:21 | 000,079,910 | ---- | M] () -- C:\WINXP\System32\perfc007.dat
[2011.08.24 13:09:21 | 000,067,312 | ---- | M] () -- C:\WINXP\System32\perfc009.dat
[2011.08.24 01:04:26 | 000,138,192 | ---- | M] (Avira GmbH) -- C:\WINXP\System32\drivers\avipbb.sys
[2011.08.24 01:04:26 | 000,066,616 | ---- | M] (Avira GmbH) -- C:\WINXP\System32\drivers\avgntflt.sys
[2011.08.24 00:59:44 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2011.08.24 00:53:30 | 000,000,692 | ---- | M] () -- C:\Dokumente und Einstellungen\Xerox\Desktop\Total Commander.lnk
[2011.08.24 00:44:38 | 000,002,206 | ---- | M] () -- C:\WINXP\System32\wpa.dbl
[1 C:\WINXP\System32\*.tmp files -> C:\WINXP\System32\*.tmp -> ]
 
[color=#E56717]========== Files Created - No Company Name ==========[/color]
 
[2011.08.24 23:27:11 | 000,000,486 | ---- | C] () -- C:\Dokumente und Einstellungen\Xerox\Desktop\test.reg
[2011.08.24 23:16:28 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.08.24 12:51:38 | 000,002,431 | ---- | C] () -- C:\Dokumente und Einstellungen\Xerox\Desktop\HiJackThis.lnk
[2011.08.24 00:59:44 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira AntiVir Control Center.lnk
[2011.08.24 00:53:30 | 000,000,692 | ---- | C] () -- C:\Dokumente und Einstellungen\Xerox\Desktop\Total Commander.lnk
[2011.07.22 16:11:59 | 000,000,000 | ---- | C] () -- C:\WINXP\nsreg.dat
[2011.04.16 16:17:12 | 000,004,073 | ---- | C] () -- C:\WINXP\ODBCINST.INI
[2011.04.16 16:15:04 | 000,093,480 | ---- | C] () -- C:\WINXP\System32\FNTCACHE.DAT
[2011.04.16 15:36:10 | 002,165,296 | R--- | C] () -- C:\WINXP\System32\vmwogl32.dll
[2011.04.16 15:27:33 | 000,002,048 | --S- | C] () -- C:\WINXP\bootstat.dat
[2011.04.16 15:22:11 | 000,021,740 | ---- | C] () -- C:\WINXP\System32\emptyregdb.dat
[2008.04.14 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINXP\System32\oembios.bin
[2008.04.14 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINXP\System32\mlang.dat
[2008.04.14 08:00:00 | 000,448,470 | ---- | C] () -- C:\WINXP\System32\perfh007.dat
[2008.04.14 08:00:00 | 000,432,356 | ---- | C] () -- C:\WINXP\System32\perfh009.dat
[2008.04.14 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINXP\System32\perfi009.dat
[2008.04.14 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINXP\System32\perfi007.dat
[2008.04.14 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINXP\System32\dssec.dat
[2008.04.14 08:00:00 | 000,079,910 | ---- | C] () -- C:\WINXP\System32\perfc007.dat
[2008.04.14 08:00:00 | 000,067,312 | ---- | C] () -- C:\WINXP\System32\perfc009.dat
[2008.04.14 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINXP\System32\mib.bin
[2008.04.14 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINXP\System32\perfd007.dat
[2008.04.14 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINXP\System32\perfd009.dat
[2008.04.14 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINXP\System32\secupd.dat
[2008.04.14 08:00:00 | 000,004,463 | ---- | C] () -- C:\WINXP\System32\oembios.dat
[2008.04.14 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINXP\System32\Dcache.bin
[2008.04.14 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINXP\System32\noise.dat
 
[color=#E56717]========== LOP Check ==========[/color]
 
[2011.06.01 15:40:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
[2011.06.01 15:45:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Xerox\Anwendungsdaten\Buhl Data Service
[2011.04.16 15:38:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Xerox\Anwendungsdaten\GHISLER
[2011.04.16 15:37:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Xerox\Anwendungsdaten\InterTrust
 
[color=#E56717]========== Purity Check ==========[/color]
 
 

< End of report >

Extras.txt

Code

OTL Extras logfile created on: 24.08.2011 23:35:11 - Run 1
OTL by OldTimer - Version 3.2.26.5     Folder = C:\Dokumente und Einstellungen\Xerox\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1023,48 Mb Total Physical Memory | 577,04 Mb Available Physical Memory | 56,38% Memory free
2,40 Gb Paging File | 1,98 Gb Available in Paging File | 82,55% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINXP | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 14,61 Gb Free Space | 74,79% Space Free | Partition Type: NTFS
 
Computer Name: BIE | User Name: Xerox | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
[color=#E56717]========== Extra Registry (SafeList) ==========[/color]
 
 
[color=#E56717]========== File Associations ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
[color=#E56717]========== Shell Spawning ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[color=#E56717]========== Security Center Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
[color=#E56717]========== System Restore Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
[color=#E56717]========== Firewall Settings ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
"DisableUnicastResponsesToMulticastBroadcast" = 0
 
[color=#E56717]========== Authorized Applications List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"c:\Dokumente und Einstellungen\Xerox\Eigene Dateien\Downloads\facebook-pic0008422013.exe" = c:\winxp\csrss.exe:*:Enabled:Windows System Devices Manager
 
 
[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C94B144D-C472-4F5A-B1F6-655263B20716}_is1" = Mein Büro
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{FE2F6A2C-196E-4210-9C04-2B1BC21F07EF}" = VMware Tools
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.1.1800
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 5.0.1 (x86 de)" = Mozilla Firefox 5.0.1 (x86 de)
"Totalcmd" = Total Commander (Remove or Repair)
"WinRAR archiver" = WinRAR 4.00 (32-Bit)
 
[color=#E56717]========== Last 10 Event Log Errors ==========[/color]
 
[ System Events ]
Error - 24.08.2011 07:00:44 | Computer Name = BIE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 24.08.2011 07:00:45 | Computer Name = BIE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 24.08.2011 07:00:45 | Computer Name = BIE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 24.08.2011 07:00:45 | Computer Name = BIE | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 24.08.2011 07:00:45 | Computer Name = BIE | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  avgio  avipbb  Fips  IPSec  MRxSmb  NetBIOS  NetBT  Processor  RasAcd  Rdbss  ssmdrv  Tcpip  vmhgfs  WS2IFSL
 
Error - 24.08.2011 07:00:56 | Computer Name = BIE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 24.08.2011 07:01:02 | Computer Name = BIE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 24.08.2011 07:01:18 | Computer Name = BIE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 24.08.2011 07:01:32 | Computer Name = BIE | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 24.08.2011 17:30:21 | Computer Name = BIE | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
 
< End of report >

#9 Fixen mit OTL

• Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code

:OTL
:files
c:\winxp\csrss.exe
c:\Dokumente und Einstellungen\Xerox\Eigene Dateien\Downloads\facebook-pic0008422013.exe
:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"c:\Dokumente und Einstellungen\Xerox\Eigene Dateien\Downloads\facebook-pic0008422013.exe" =-
:Commands
[purity]
[emptytemp]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
Kopiere nun den Inhalt hier in Deinen Thread