BKA-Trojaner erwischt! OTL Auswertung

Jungleboy · 28.07.2011, 16:36

Hallo Freunde,

da ich dieses Forum als super kompetent in den vergangen Jahren erleben durfte, wende ich mich diesmal wieder mit der Bitte auf schnelle Hilfe an euch.

Ich habe diesen blöden Bundeskriminalamt - Trojaner mir beim surfen eingefangen und habe mich etwas in die Materie eingelesen. Jedoch hat bisher weder die Avira-Rescue Disk noch Kaspersky geholfen.

Ich habe mir mal eine OTPNET CD erstellt und OTL drüberlaufen lassen.

Anbei die Auswertung (anonymisiert):

Code:

ATTFilter

OTL logfile created on: 7/28/2011 6:17:33 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,023.00 Mb Total Physical Memory | 795.00 Mb Available Physical Memory | 78.00% Memory free
907.00 Mb Paging File | 843.00 Mb Available in Paging File | 93.00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29.29 Gb Total Space | 0.65 Gb Free Space | 2.23% Space Free | Partition Type: NTFS
Drive D: | 203.58 Gb Total Space | 52.54 Gb Free Space | 25.81% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011/07/09 16:58:34 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/06/19 07:33:24 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010/05/17 13:25:44 | 000,072,704 | ---- | M] (Adobe Systems) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2010/05/17 12:17:31 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2010/02/26 12:19:54 | 003,623,424 | ---- | M] (Native Instruments GmbH) [Auto] -- C:\Programme\Gemeinsame Dateien\Native Instruments\Hardware\NIHardwareService.exe -- (NIHardwareService)
SRV - [2009/12/23 17:34:20 | 000,370,688 | ---- | M] (StarWind Software) [Auto] -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)
SRV - [2009/12/04 10:36:20 | 002,384,240 | ---- | M] (Check Point Software Technologies LTD) [Auto] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2009/11/17 07:07:46 | 001,528,624 | ---- | M] (Cisco Systems, Inc.) [Auto] -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND)
SRV - [2009/08/10 07:34:40 | 000,093,848 | ---- | M] (SiSoftware) [On_Demand] -- D:\Programme\SiSoftware\SiSoftware Sandra Lite 2010.SP2\RpcAgentSrv.exe -- (SandraAgentSrv)
SRV - [2003/07/28 07:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (SynasUSB)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/07/09 16:58:36 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/09 16:58:36 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/02/20 10:42:51 | 000,436,792 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2011/02/20 10:32:52 | 000,078,848 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\drivers\SSHDRV85.sys -- (SSHDRV85)
DRV - [2009/12/04 10:34:56 | 000,486,280 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2009/11/17 07:07:06 | 000,308,859 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)
DRV - [2009/08/07 17:46:56 | 000,023,112 | ---- | M] (SiSoftware) [Kernel | On_Demand] -- D:\Programme\SiSoftware\SiSoftware Sandra Lite 2010.SP2\WNt500x86\sandra.sys -- (SANDRA)
DRV - [2009/05/11 06:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009/05/11ys -- (gamee000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008/11/16 13:39:44 | 000,131,984 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)
DRV - [2008/09/24 04:40:22 | 004,122,368 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\alcxwdm.sys -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2008/04/13 14:45:34 | 000,046,592 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\irbus.sys -- (IrBus)
DRV - [2008/04/13 14:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2007/06/29 08:47:34 | 000,034,304 | ---- | M] (AMD, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AmdLLD.sys -- (AmdLLD)
DRV - [2007/01/18 15:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)
DRV - [2006/04/24 11:52:28 | 000,100,736 | ---- | M] (NVIDIA Corporation) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\nvata.sys -- (nvata)
DRV - [2006/04/14 14:09:06 | 000,013,056 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2006/04/14 14:09:04 | 000,034,176 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2006/01/03 07:57:00 | 000,141,582 | ---- | M] (NVIDIA Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nvcap.sys -- (nvcap) nVidia WDM Video Capture (universal)
DRV - [2006/01/03 07:57:00 | 000,016,496 | ---- | M] (NVIDIA Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nvxbar.sys -- (NVXBAR)
DRV - [2005/12/21 05:44:28 | 000,299,904 | R--- | M] (A/WLAN-1) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MRVW225.sys -- (MRVW225)
DRV - [2001/08/17 07:19:34 | 000,040,704 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\es1371mp.sys -- (es1371) Creative AudioPCI (ES1371,ES1373) (WDM)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\A_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\Lütfiye_&_Latife_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.msn.com/?ocid=mp
IE - HKU\Lütfiye_&_Latife_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\Lütfiye_&_Latife_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\Lütfiye_&_Latife_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = C8 4F 6B B8 10 0F CB 01  [binary data]
IE - HKU\Lütfiye_&_Latife_ON_C\..\URLSearchHook: {76aeea42-e04a-4b62-83ab-df4b2be2541e} - C:\Programme\MessengerPlusLive_Germany_TB\prxtbMes2.dll (Conduit Ltd.)
IE - HKU\Lütfiye_&_Latife_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\R_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\R_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011/05/07 11:59:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/05/07 11:59:11 | 000,000,000 | ---D | M]
 
[2011/05/07 11:47:49 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010/06/13 07:16:50 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2011/05/07 11:59:06 | 000,142,296 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2010/06/13 07:16:40 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2010/01/13 18:46:00 | 000,063,488 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll
[2011/05/07 11:59:08 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/05/07 11:59:08 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011/05/07 11:59:08 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011/05/07 11:59:08 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/05/07 11:59:08 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/05/07 11:59:08 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2010/05/17 12:04:43 | 000,001,388 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1       activate.adobe.com
O1 - Hosts: 127.0.0.1       practivate.adobe.com
O1 - Hosts: 127.0.0.1       ereg.adobe.com
O1 - Hosts: 127.0.0.1       activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1       wip3.adobe.com
O1 - Hosts: 127.0.0.1       3dns-3.adobe.com
O1 - Hosts: 127.0.0.1       3dns-2.adobe.com
O1 - Hosts: 127.0.0.1       adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1       adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1       adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1       ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1       activate-sea.adobe.com
O1 - Hosts: 127.0.0.1       wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1       activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1       wwis-dubc1-vip60.adobe.com
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (MessengerPlusLive Germany TB Toolbar) - {76aeea42-e04a-4b62-83ab-df4b2be2541e} - C:\Programme\MessengerPlusLive_Germany_TB\prxtbMes2.dll (Conduit Ltd.)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (MessengerPlusLive Germany TB Toolbar) - {76aeea42-e04a-4b62-83ab-df4b2be2541e} - C:\Programme\MessengerPlusLive_Germany_TB\prxtbMes2.dll (Conduit Ltd.)
O3 - HKU\Lütfiye_&_Latife_ON_C\..\Toolbar\WebBrowser: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKU\Lütfiye_&_Latife_ON_C\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKU\Lütfiye_&_Latife_ON_C\..\Toolbar\WebBrowser: (MessengerPlusLive Germany TB Toolbar) - {76AEEA42-E04A-4B62-83AB-DF4B2BE2541E} - C:\Programme\MessengerPlusLive_Germany_TB\prxtbMes2.dll (Conduit Ltd.)
O3 - HKU\R_ON_C\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKU\R_ON_C\..\Toolbar\WebBrowser: (MessengerPlusLive Germany TB Toolbar) - {76AEEA42-E04A-4B62-83AB-DF4B2BE2541E} - C:\Programme\MessengerPlusLive_Germany_TB\prxtbMes2.dll (Conduit Ltd.)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe (AMD)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [ISUSScheduler] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - HKU\R_ON_C..\Run: [AdobeBridge]  File not found
O4 - HKU\R_ON_C..\Run: [AlcoholAutomount] C:\Programme\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe (Alcohol Soft Development Team)
O4 - HKU\R_ON_C..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{21E247D4-5E27-4BEA-AA4D-19A81203FE2A}\Icon3E5562ED7.ico ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\A_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Lütfiye_&_Latife_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\R_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {7B43048F-DA7A-458F-AF35-D825BDBB6816} hxxp://78.187.45.119/codebase/NetVideoOCX.cab (NetVideoOCX Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Java Plug-in 1.4.2_05)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\R\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\R\Anwendungsdaten\jashla.exe (Galilean Cauchy Aesop Bellamy)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/05/15 16:45:21 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011/07/28 10:02:25 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\IETldCache
[2011/07/28 10:02:17 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
[2011/07/28 10:02:17 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\SendTo
[2011/07/28 10:02:17 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
[2011/07/28 10:02:17 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Zubehör
[2011/07/28 10:02:17 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü
[2011/07/28 10:02:17 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart
[2011/07/28 10:02:17 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator\Cookies
[2011/07/28 10:02:17 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Vorlagen
[2011/07/28 10:02:17 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2011/07/28 10:02:17 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
[2011/07/28 10:02:17 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
[2011/07/28 10:02:17 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
[2011/07/28 10:02:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun
[2011/07/28 10:02:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2011/07/28 10:02:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia
[2011/07/28 10:02:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Favoriten
[2011/07/28 10:02:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop
[2011/07/28 10:02:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe
[2011/07/28 10:02:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\{7148F0A6-6813-11D6-A77B-00B0D0142050}
[2011/07/27 16:03:18 | 000,134,656 | ---- | C] (Galilean Cauchy Aesop Bellamy) -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\jashla.exe
[2011/07/08 09:22:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Digiarty
[2011/07/08 09:22:05 | 000,000,000 | ---D | C] -- C:\Programme\Digiarty
[2011/07/06 15:18:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\R\Eigene Dateien\Rote bibliothek
[2011/07/04 13:04:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Nero
[2011/07/04 12:57:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A\Eigene Dateien\Adobe
[2011/07/04 12:57:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\DivX
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\Dokumente und Einstellungen\R\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\R\Eigene Dateien\*.tmp -> ]
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/07/28 10:03:37 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/07/27 16:03:18 | 000,134,656 | ---- | M] (Galilean Cauchy Aesop Bellamy) -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\jashla.exe
[2011/07/27 15:16:22 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2011/07/26 15:01:06 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011/07/20 13:07:41 | 000,041,984 | ---- | M] () -- C:\Dokumente und Einstellungen\R\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/07/20 09:48:59 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\A\Desktop\Microsoft Office Word 2003.lnk
[2011/07/09 16:58:36 | 000,138,192 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2011/07/09 16:58:36 | 000,066,616 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2011/07/08 09:28:08 | 000,002,048 | ---- | M] () -- C:\Dokumente und Einstellungen\R\Eigene Dateien\Kopie von DokuStream.org_722895.mp4.MPG
[2011/07/08 09:22:11 | 000,001,039 | ---- | M] () -- C:\Dokumente und Einstellungen\R\Desktop\WinX Free MP4 to MPEG Converter.lnk
[2011/07/08 09:22:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Digiarty
[2011/07/08 09:02:01 | 000,004,096 | ---- | M] () -- C:\Dokumente und Einstellungen\R\Eigene Dateien\DokuStream.org_722895_.MPG
[2011/07/08 08:54:24 | 416,616,595 | ---- | M] () -- C:\Dokumente und Einstellungen\R\Eigene Dateien\Kopie von DokuStream.org_722895.mp4
[2011/07/08 08:54:24 | 416,616,595 | ---- | M] () -- C:\Dokumente und Einstellungen\R\Eigene Dateien\DokuStream.org_722895_
[2011/07/08 06:34:26 | 000,008,930 | ---- | M] () -- C:\Dokumente und Einstellungen\R\Eigene Dateien\Sensibel in eigener Sache_SV.pdf
[2011/07/07 16:28:38 | 000,008,969 | ---- | M] () -- C:\Dokumente und Einstellungen\R\Eigene Dateien\Ein Land schafft sich ab_SV.pdf
[2011/07/07 15:41:32 | 002,127,624 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/06/29 11:29:06 | 000,002,509 | ---- | M] () -- C:\Dokumente und Einstellungen\R\Desktop\Microsoft Office Word 2003.lnk
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[4 C:\Dokumente und Einstellungen\R\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\R\Eigene Dateien\*.tmp -> ]
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/07/28 10:02:17 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Remoteunterstützung.lnk
[2011/07/28 10:02:17 | 000,001,392 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Recovery-Info.lnk
[2011/07/28 10:02:17 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Windows Media Player.lnk
[2011/07/08 09:22:11 | 000,001,039 | ---- | C] () -- C:\Dokumente und Einstellungen\R\Desktop\WinX Free MP4 to MPEG Converter.lnk
[2011/07/08 09:18:40 | 000,002,048 | ---- | C] () -- C:\Dokumente und Einstellungen\R\Eigene Dateien\Kopie von DokuStream.org_722895.mp4.MPG
[2011/07/08 09:13:29 | 416,616,595 | ---- | C] () -- C:\Dokumente und Einstellungen\R\Eigene Dateien\Kopie von DokuStream.org_722895.mp4
[2011/07/08 08:58:19 | 000,004,096 | ---- | C] () -- C:\Dokumente und Einstellungen\R\Eigene Dateien\DokuStream.org_722895_.MPG
[2011/07/08 08:16:15 | 416,616,595 | ---- | C] () -- C:\Dokumente und Einstellungen\R\Eigene Dateien\DokuStream.org_722895_
[2011/07/08 06:34:26 | 000,008,930 | ---- | C] () -- C:\Dokumente und Einstellungen\R\Eigene Dateien\Sensibel in eigener Sache_SV.pdf
[2011/07/07 16:28:38 | 000,008,969 | ---- | C] () -- C:\Dokumente und Einstellungen\R\Eigene Dateien\Ein Land schafft sich ab_SV.pdf
[2011/06/04 14:48:04 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2011/02/20 10:33:30 | 000,000,041 | ---- | C] () -- C:\WINDOWS\SESAM.INI
[2011/02/20 10:32:52 | 000,078,848 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV85.sys
[2010/12/04 12:40:37 | 000,000,502 | ---- | C] () -- C:\WINDOWS\System32\CNCMFP34.INI
[2010/11/21 15:22:20 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010/10/29 18:39:37 | 000,005,632 | ---- | C] () -- C:\Dokumente und Einstellungen\L & L\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/09/11 12:07:17 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\AVERM.dll
[2010/09/11 12:07:17 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\AVEQT.dll
[2010/09/09 09:55:00 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/08/13 12:41:47 | 012,935,168 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sandra.mda
[2010/06/28 15:29:36 | 000,025,713 | ---- | C] () -- C:\WINDOWS\CSTBox.INI
[2010/05/19 06:39:08 | 000,000,192 | ---- | C] () -- C:\WINDOWS\System32\msvcsv60.dll
[2010/05/19 06:39:08 | 000,000,192 | ---- | C] () -- C:\WINDOWS\msocreg32.dat
[2010/05/19 06:20:43 | 000,002,892 | ---- | C] () -- C:\WINDOWS\System32\audcon.sys
[2010/05/19 06:20:25 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\SYNSOPOS.exe
[2010/05/19 06:20:25 | 000,000,041 | ---- | C] () -- C:\WINDOWS\System32\SYNSOPOS.exe.cfg
[2010/05/19 06:19:57 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\ArtFfct.dll
[2010/05/17 14:16:37 | 000,041,984 | ---- | C] () -- C:\Dokumente und Einstellungen\R\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/05/16 09:22:04 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010/05/15 19:09:17 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2010/05/15 18:45:49 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010/05/15 18:34:26 | 000,000,139 | ---- | C] () -- C:\Dokumente und Einstellungen\R\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/05/15 17:48:28 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2010/05/15 17:48:01 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2010/05/15 17:47:48 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2010/05/15 17:20:22 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010/05/15 17:19:16 | 002,127,624 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010/05/15 16:49:15 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010/05/15 16:46:54 | 000,001,082 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2010/05/15 16:41:28 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009/11/17 07:08:34 | 000,197,424 | ---- | C] () -- C:\WINDOWS\System32\vpnapi.dll
[2009/11/17 07:07:44 | 000,193,328 | ---- | C] () -- C:\WINDOWS\System32\CSGina.dll
[2009/06/18 13:45:38 | 000,311,296 | ---- | C] () -- C:\WINDOWS\System32\ShowHCRemCfgWnd.dll
[2009/06/18 13:05:26 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\RemoteCfgRes_CHI.dll
[2009/06/18 12:52:08 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\RemoteCfgRes_ENG.dll
[2009/05/26 12:59:48 | 000,344,209 | ---- | C] () -- C:\WINDOWS\System32\HCNetSDK.dll
[2008/12/16 03:08:40 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\Language.dll
[2008/11/04 11:00:16 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\RemoteCfgRes_TRAD.dll
[2004/08/10 15:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/10 15:00:00 | 000,458,766 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/10 15:00:00 | 000,441,124 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/10 15:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/10 15:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/10 15:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/10 15:00:00 | 000,084,280 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/10 15:00:00 | 000,071,060 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/10 15:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/10 15:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/10 15:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/10 15:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/10 15:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/10 15:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003/07/30 05:49:22 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2003/07/30 05:48:28 | 000,004,711 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2003/02/20 12:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
========== LOP Check ==========
 
[2011/01/22 16:46:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Canon
[2010/05/25 09:40:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Duden
[2010/12/23 09:14:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\A\Anwendungsdaten\Propellerhead Software
[2011/01/23 10:29:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\L & L\Anwendungsdaten\Canon
[2010/09/11 17:12:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\L & L\Anwendungsdaten\com.prezi.PreziDesktop
[2010/05/30 09:41:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\L & L\Anwendungsdaten\Duden
[2011/06/13 17:13:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\L & L\Anwendungsdaten\PriceGong
[2010/05/19 06:36:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\Arturia
[2010/12/04 12:51:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\Canon
[2010/08/30 15:44:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\com.prezi.PreziDesktop
[2010/05/16 09:18:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\DAEMON Tools Lite
[2010/05/23 06:23:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\Duden
[2010/09/11 12:07:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\GetRightToGo
[2010/12/09 07:58:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\iZotope
[2010/07/30 15:58:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\Lexicon PCM Native
[2011/06/04 14:38:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\Openworld Learning
[2011/06/04 15:12:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\PriceGong
[2010/07/30 14:48:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\Propellerhead Software
[2010/05/19 06:39:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\Steinberg
[2010/05/19 06:39:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\VST3 Presets
[2010/05/19 10:21:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\Waves Audio
[2010/07/24 16:32:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\R\Anwendungsdaten\Xilisoft
[2010/05/28 17:42:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Arturia
[2010/05/23 06:22:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIFAB
[2010/05/16 09:12:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
[2010/05/19 06:36:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eLicenser
[2010/05/19 06:16:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IK Multimedia
[2011/04/11 15:27:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Karen's Power Tools
[2010/06/25 07:44:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!
[2010/05/19 10:44:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Native Instruments
[2010/07/30 14:44:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Propellerhead Software
[2010/05/19 06:06:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Steinberg
[2010/05/19 06:20:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Syncrosoft
[2010/12/13 16:37:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2010/05/19 06:11:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VST3 Presets
[2010/05/19 10:24:18 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{13A9B825-42CB-4973-913D-2194B5A4CF94}
[2010/05/19 10:44:02 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{20EFD19B-675C-417B-A498-B0161D72FF88}
[2010/05/19 10:46:47 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3FC66E2C-85B6-4398-82FB-C13C51DE9DD8}
[2010/05/19 09:01:52 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{580B8E22-2CB8-4C43-AE50-9338E581C6FA}
[2010/05/20 15:25:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{7D55A338-9946-4B03-9D84-8FD1472DA229}
[2010/05/19 10:55:40 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8BFD9D89-5EBF-4CAE-AA58-6AE68629BA0B}
[2010/05/20 16:29:07 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A6CBE6A2-B738-440D-B19A-60D7C36810C7}
[2010/07/30 16:02:21 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{A97DA822-7B29-4F18-A64A-BF94FFFE77FB}
[2010/05/20 15:17:10 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{B2E750D8-6229-4554-B170-E8C77EDC1596}
[2010/08/19 09:36:50 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D4A35D06-4ABB-4672-8A3A-DA19E6EB8CD6}
[2010/05/19 06:57:30 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D7CFB71A-972A-44FF-AE44-8780EB53ABB2}
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\R\Eigene Dateien\Z:SummaryInformation
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\R\Eigene Dateien\R Cif - Z.pdf:SummaryInformation
< End of report >

Jungleboy · 28.07.2011, 22:37

Hallo, habe leider noch keine Antwort auf meine Auswertung bekommen.

cosinus · 29.07.2011, 10:53

Drängeln ist kontraproduktiv! Hab dienen Strang jetzt nur durch Zufall gesehen! Wenn der Strang nicht mehr unbeantwortet ist, wird er von uns Helfern idR nicht mehr beachtet und du musst noch länger warten, also sei geduldig und antworte nicht selbst auf deine erstellten Themen!

cosinus · 29.07.2011, 12:00

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\R\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\R\Anwendungsdaten\jashla.exe (Galilean Cauchy Aesop Bellamy)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/05/15 16:45:21 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2011/06/13 17:13:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\L & L\Anwendungsdaten\PriceGong
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\R\Eigene Dateien\Z:SummaryInformation
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\R\Eigene Dateien\R Cif - Z.pdf:SummaryInformation
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Jungleboy · 29.07.2011, 17:02

Ihr seid echt die besten Helfer für virenverseuchte Rechner! Wie kann man eure Arbeit bloß anderweitig unterstützen??

Sorry, für das Vordrängeln! Hatte die blöde Befürchtung, dass mein Nachricht weiter nach unten rutscht und so irgendwann untergeht... Ich entschuldige mich nochmals bei euch.

Habe den Ordner hochgeladen.

Nun die Logfileauswertung (anonymisiert):

Code:

ATTFilter

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\R\Anwendungsdaten\jashla.exe deleted successfully.
C:\Dokumente und Einstellungen\R\Anwendungsdaten\jashla.exe moved successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
C:\Dokumente und Einstellungen\L & L\Anwendungsdaten\PriceGong\Data folder moved successfully.
C:\Dokumente und Einstellungen\L & L\Anwendungsdaten\PriceGong folder moved successfully.
ADS C:\Dokumente und Einstellungen\R\Eigene Dateien\Zwänge.pdf:SummaryInformation deleted successfully.
ADS C:\Dokumente und Einstellungen\R\Eigene Dateien\R C - Zwänge .pdf:SummaryInformation deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 07292011_194625

cosinus · 30.07.2011, 18:20

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL-Custom:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die Textbox.

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

29.07.2011, 10:53	#3
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	BKA-Trojaner erwischt! OTL Auswertung Drängeln ist kontraproduktiv! Hab dienen Strang jetzt nur durch Zufall gesehen! Wenn der Strang nicht mehr unbeantwortet ist, wird er von uns Helfern idR nicht mehr beachtet und du musst noch länger warten, also sei geduldig und antworte nicht selbst auf deine erstellten Themen! __________________ __________________

BKA-Trojaner erwischt! OTL Auswertung

Log-Analyse und Auswertung: BKA-Trojaner erwischt! OTL Auswertung