|
Log-Analyse und Auswertung: Mit OTLPE gegen BKA-TroyanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
10.07.2011, 15:28 | #1 |
| Mit OTLPE gegen BKA-Troyaner Hilfe. Ich habe mir den BKA-Troyaner eingefangen. Mit der Rescue-Disk von Kapersky hat es nicht geklappt - hat sich aufgehangen. Jetzt habe ich einen Scan durchgeführt mit OTLPE und folgende logfile erhalten. Leider weiß ich jetzt nicht, was ich in das Feld "Custom Scans/Fixes" eingeben muss,? Es ist ganz wichtig für mich und wäre super, wenn man mir hier schnell helfen könnte. Danke! Also: OTL logfile created on: 7/10/2011 4:52:43 PM - Run OTLPE by OldTimer - Version 3.1.47.1 Folder = X:\Programs\OTLPE Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 985.00 Mb Total Physical Memory | 803.00 Mb Available Physical Memory | 82.00% Memory free 876.00 Mb Paging File | 819.00 Mb Available in Paging File | 93.00% Paging File free Paging file location(s): C:\pagefile.sys 1476 2952 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 19.53 Gb Total Space | 0.41 Gb Free Space | 2.09% Space Free | Partition Type: NTFS Drive D: | 129.51 Gb Total Space | 106.92 Gb Free Space | 82.56% Space Free | Partition Type: NTFS Drive X: | 436.60 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO | User Name: SYSTEM Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days Using ControlSet: ControlSet001 ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand] -- -- (AppMgmt) SRV - [2011/07/08 02:19:45 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2011/05/06 11:33:00 | 000,393,112 | ---- | M] (Spigot, Inc.) [Auto] -- C:\Programme\Application Updater\ApplicationUpdater.exe -- (Application Updater) SRV - [2011/05/01 13:19:26 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2009/11/17 06:07:46 | 001,528,624 | ---- | M] (Cisco Systems, Inc.) [Auto] -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND) SRV - [2008/11/03 19:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv) SRV - [2006/11/17 14:45:26 | 000,118,784 | ---- | M] (Wistron Corp.) [On_Demand] -- C:\Programme\Launch Manager\WisLMSvc.exe -- (WisLMSvc) SRV - [2006/10/26 08:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [File_System | On_Demand] -- -- (StarOpen) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | On_Demand] -- -- (esgiguard) DRV - File not found [Kernel | System] -- -- (Changer) DRV - [2011/07/08 02:19:47 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2011/07/08 02:19:47 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2009/11/17 06:07:06 | 000,308,859 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA) DRV - [2009/05/11 05:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio) DRV - [2009/05/11 03:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2008/11/16 12:39:44 | 000,131,984 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE) DRV - [2008/06/27 09:40:18 | 001,315,776 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416) DRV - [2008/04/11 10:55:04 | 000,084,240 | ---- | M] (JMicron Technology Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\jmcr.sys -- (JMCR) DRV - [2008/03/26 11:37:26 | 004,713,472 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2008/01/03 15:10:16 | 000,105,856 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2007/11/14 13:05:16 | 000,394,952 | ---- | M] (Zone Labs, LLC) [Kernel | On_Demand] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant) DRV - [2007/01/18 14:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA) DRV - [2006/03/24 00:30:48 | 001,414,528 | R--- | M] (C-Media Inc) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\cmudaxu.sys -- (cmudau32) DRV - [2004/01/06 10:21:18 | 000,705,536 | ---- | M] (C-Media Inc) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\cmuda2.sys -- (cmuda2) DRV - [2003/04/28 05:27:06 | 000,009,867 | ---- | M] () [Kernel | System] -- C:\WINDOWS\System32\drivers\HOTKEY.sys -- (Hotkey) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=74721b5f000000000000701a04bfd606&tlver=1.4.19.19&affID=17161 IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\Stephan_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKU\Stephan_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://lilaweiss.de/ IE - HKU\Stephan_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKU\Stephan_ON_C\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) IE - HKU\Stephan_ON_C\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.4\pdfforgeToolbarIE.dll (Spigot, Inc.) IE - HKU\Stephan_ON_C\..\URLSearchHook: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.) IE - HKU\Stephan_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - HKLM\software\mozilla\Mozilla Firefox 5.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/06/28 17:11:10 | 000,000,000 | ---D | M] FF - HKLM\software\mozilla\Mozilla Firefox 5.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/05/23 12:27:18 | 000,000,000 | ---D | M] [2011/06/05 04:09:06 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010/04/07 10:39:18 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} [2010/10/19 13:58:15 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} [2011/06/28 17:11:09 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2010/10/19 13:58:00 | 000,423,656 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2009/09/21 04:59:40 | 001,275,296 | ---- | M] (1 mal 1 Software GmbH) -- C:\Programme\mozilla firefox\plugins\NpFv501.dll [2009/09/21 05:00:44 | 001,447,328 | ---- | M] (1 mal 1 Software GmbH) -- C:\Programme\mozilla firefox\plugins\NpFv522.dll [2010/01/05 10:26:40 | 001,447,344 | ---- | M] (1 mal 1 Software GmbH) -- C:\Programme\mozilla firefox\plugins\NpFv530.dll [2011/05/06 03:02:12 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011/03/15 16:55:56 | 000,002,423 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\babylon.xml [2011/05/06 03:02:12 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011/05/06 03:02:12 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011/05/06 03:02:12 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011/05/06 03:02:12 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011/05/06 03:02:12 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010/09/05 17:56:07 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 loc O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (CescrtHlpr Object) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.19\bh\BabylonToolbar.dll (Babylon BHO) O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.4\pdfforgeToolbarIE.dll (Spigot, Inc.) O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.) O2 - BHO: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.4\pdfforgeToolbarIE.dll (Spigot, Inc.) O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\Stephan_ON_C\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof0.dll (Conduit Ltd.) O3 - HKU\Stephan_ON_C\..\Toolbar\WebBrowser: (Sopcast Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [AlcWzrd] C:\WINDOWS\alcwzrd.exe (RealTek Semicoductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [BabylonToolbar] C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (Babylon Ltd.) O4 - HKLM..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe (CANON INC.) O4 - HKLM..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.) O4 - HKLM..\Run: [CmUsbAudio] File not found O4 - HKLM..\Run: [CmUsbSound] File not found O4 - HKLM..\Run: [CtrlVol] File not found O4 - HKLM..\Run: [DivXUpdate] C:\Programme\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe (Wistron) O4 - HKLM..\Run: [LaunchAp] File not found O4 - HKLM..\Run: [SearchSettings] C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SoundMan.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [Wbutton] File not found O4 - Startup: C:\Dokumente und Einstellungen\Stephan\Startmenü\Programme\Autostart\Dropbox.lnk = File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data] O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\Stephan_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (C:\DOKUME~1\Stephan\LOKALE~1\Temp\R66v.exe) - C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\R66v.exe (BitDefender) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2010/04/06 08:40:46 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2011/06/20 02:25:55 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2011/06/17 16:39:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Stephan\Desktop\PSK-Sitzung 25.5.2011 [2011/06/17 02:45:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\SxsCaPendDel [2011/06/16 17:29:57 | 000,105,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mup.sys [2011/06/16 02:22:36 | 000,404,640 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2010/09/20 09:52:59 | 017,010,016 | ---- | C] (Microsoft Corporation) -- C:\Programme\IE8-WindowsXP-x86-DEU.exe [2010/04/06 13:58:36 | 328,324,136 | ---- | C] (Microsoft Corporation) -- C:\Programme\WindowsXP-KB936929-SP3-x86-DEU.exe [2005/10/06 14:36:12 | 000,092,216 | ---- | C] (Un4seen Developments) -- C:\Programme\bass.dll [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\Dokumente und Einstellungen\Stephan\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\Stephan\Desktop\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2011/07/10 08:42:02 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2011/07/10 06:49:16 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2011/07/08 18:01:00 | 000,000,230 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2011/07/08 02:19:47 | 000,138,192 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2011/07/08 02:19:47 | 000,066,616 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2011/07/05 15:56:42 | 000,002,243 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk [2011/07/03 07:50:52 | 000,002,409 | ---- | M] () -- C:\Dokumente und Einstellungen\Stephan\Desktop\VPN Client (2).lnk [2011/07/03 03:03:16 | 000,037,955 | ---- | M] () -- C:\Dokumente und Einstellungen\Stephan\Desktop\rechung.pdf [2011/06/23 18:58:39 | 000,138,717 | ---- | M] () -- C:\Dokumente und Einstellungen\Stephan\Desktop\Praktikumsbericht.pdf [2011/06/23 18:57:19 | 000,195,087 | ---- | M] () -- C:\Dokumente und Einstellungen\Stephan\Desktop\Anerkennung Praktikum.eml [2011/06/20 02:27:03 | 000,708,840 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011/06/20 02:27:03 | 000,651,958 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011/06/20 02:27:03 | 000,200,664 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011/06/20 02:27:03 | 000,171,950 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011/06/17 02:47:05 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2011/06/16 02:22:36 | 000,404,640 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [1 C:\Dokumente und Einstellungen\Stephan\Desktop\*.tmp files -> C:\Dokumente und Einstellungen\Stephan\Desktop\*.tmp -> ] [1 C:\*.tmp files -> C:\*.tmp -> ] ========== Files Created - No Company Name ========== [2011/07/06 14:01:58 | 002,946,246 | ---- | C] () -- C:\Dokumente und Einstellungen\Stephan\Desktop\Zoe und Stephan.JPG [2011/07/03 03:03:16 | 000,037,955 | ---- | C] () -- C:\Dokumente und Einstellungen\Stephan\Desktop\rechung.pdf [2011/06/23 18:58:39 | 000,138,717 | ---- | C] () -- C:\Dokumente und Einstellungen\Stephan\Desktop\Praktikumsbericht.pdf [2011/06/23 18:57:19 | 000,195,087 | ---- | C] () -- C:\Dokumente und Einstellungen\Stephan\Desktop\Anerkennung Praktikum.eml [2011/05/16 10:11:53 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Stephan\2gweorjqjutp92vjy9gake [2011/02/08 15:43:54 | 000,045,056 | R--- | C] () -- C:\WINDOWS\System32\cmdrvrmu.dll [2011/02/08 15:43:44 | 000,005,050 | R--- | C] () -- C:\WINDOWS\Cmudau.ini [2011/01/31 05:07:49 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD-Start.INI [2011/01/26 16:11:58 | 035,934,714 | ---- | C] () -- C:\Dokumente und Einstellungen\Stephan\foto2.cpr [2011/01/26 15:20:58 | 005,869,594 | ---- | C] () -- C:\Dokumente und Einstellungen\Stephan\foto1.cpr [2010/10/27 13:59:01 | 000,038,702 | ---- | C] () -- C:\Dokumente und Einstellungen\Stephan\.jose.user.preferences [2010/10/11 13:35:41 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2010/09/22 03:24:15 | 000,002,508 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\$_hpcst$.hpc [2010/07/29 15:19:19 | 000,000,084 | ---- | C] () -- C:\WINDOWS\netdet.ini [2010/06/28 10:44:04 | 000,002,508 | ---- | C] () -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\$_hpcst$.hpc [2010/05/12 10:21:56 | 000,001,025 | ---- | C] () -- C:\WINDOWS\System32\sysprs7.dll [2010/05/12 10:21:56 | 000,000,205 | ---- | C] () -- C:\WINDOWS\System32\lsprst7.dll [2010/04/15 01:37:47 | 000,016,384 | ---- | C] () -- C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010/04/14 12:27:19 | 000,695,578 | ---- | C] () -- C:\WINDOWS\unins000.exe [2010/04/14 12:27:19 | 000,002,083 | ---- | C] () -- C:\WINDOWS\unins000.dat [2010/04/08 03:52:19 | 000,006,656 | ---- | C] () -- C:\Programme\vpnclient_setup.mst [2010/04/06 13:53:07 | 000,939,956 | ---- | C] () -- C:\Programme\7z465.exe [2010/04/06 13:22:48 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2010/04/06 13:16:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2010/04/06 08:57:08 | 000,009,867 | ---- | C] () -- C:\WINDOWS\System32\drivers\HOTKEY.sys [2010/04/06 08:55:02 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe [2010/04/06 08:53:45 | 002,119,020 | ---- | C] () -- C:\WINDOWS\System32\igkrng500.bin [2010/04/06 08:53:44 | 000,442,964 | ---- | C] () -- C:\WINDOWS\System32\igcompkrng500.bin [2010/04/06 08:53:44 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4969.dll [2010/04/06 08:42:27 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2010/04/06 08:38:13 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2010/04/06 08:32:01 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2010/04/06 08:30:47 | 000,149,200 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2009/11/17 06:08:34 | 000,197,424 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll [2009/11/17 06:07:44 | 000,193,328 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll [2005/03/29 18:02:01 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2005/03/29 18:02:01 | 000,004,627 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2004/08/04 08:00:00 | 000,708,840 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2004/08/04 08:00:00 | 000,651,958 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2004/08/04 08:00:00 | 000,200,664 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2004/08/04 08:00:00 | 000,171,950 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2004/08/04 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2004/08/04 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2004/01/05 14:17:38 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\cmdrvrm.exe [2003/12/22 02:20:26 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll [2003/12/22 02:20:26 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\lame_enca.dll [2003/12/22 02:20:26 | 000,069,632 | ---- | C] () -- C:\WINDOWS\System32\akrip32.dll [2003/12/07 08:24:36 | 000,085,610 | ---- | C] () -- C:\Programme\DefaultSound.wav [2003/05/30 10:27:46 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\cmdrvrm.dll ========== LOP Check ========== [2010/04/06 13:23:20 | 000,000,000 | ---D | M] -- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Application Updater [2011/03/16 02:30:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\BabylonToolbar [2011/01/26 07:42:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\BitZipper [2011/02/08 17:25:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Canneverbe Limited [2010/05/07 02:30:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\DeepBurner [2011/07/08 17:30:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Dropbox [2010/12/25 16:52:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\EAC [2011/01/25 11:53:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\EurekaLog [2010/05/11 13:29:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Flatcast [2010/04/06 13:32:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\pdfforge [2011/07/08 18:02:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\PriceGong [2011/06/05 04:09:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Search Settings [2011/02/08 17:25:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2010/04/06 13:26:47 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2010/05/06 13:16:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations [2010/05/12 10:23:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SafeNet Sentinel [2010/05/12 10:43:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SPSS [2011/07/08 18:01:00 | 000,000,230 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job ========== Purity Check ========== < End of report > |
11.07.2011, 11:14 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Mit OTLPE gegen BKA-Troyaner Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)
__________________Code:
ATTFilter :OTL O20 - HKLM Winlogon: Shell - (C:\DOKUME~1\Stephan\LOKALE~1\Temp\R66v.exe) - C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\R66v.exe (BitDefender) [2011/05/16 10:11:53 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Stephan\2gweorjqjutp92vjy9gake :Commands [purity] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen! 2.) Ordner movedfiles in C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ |
11.07.2011, 17:38 | #3 |
| Mit OTLPE gegen BKA-Troyaner Vielen Dank!
__________________Inzwischen habe ich meine Daten gesichert und das BS neu installiert. Trotzdem danke für die detalierte Antwort! |
Themen zu Mit OTLPE gegen BKA-Troyaner |
0x00000001, administrator, adobe, antivir, avira, babylon toolbar, babylontoolbar, bho, conduit, dateien, defender, desktop, dllcache, einstellungen, explorer, firefox, format, helper, hotkey.sys, launch, logfile, mozilla, object, pdfforge toolbar, plug-in, realtek, reatogo, registry, scan, sched.exe, software, spigot, staropen, super, temp, windows, windows xp, winlogon |