BKS Trojanerm reparatur durch UBCD?

tom_curitiba · 20.09.2011, 20:16

Hallo!

Ich habe den BKS Trojaner auf mein PC.

Ich habe ein paar Sache versucht:
mit dem Windows recovery system und mit verschieden Rescue CD zu starten (Antivir, Kaspersky und UBCD).

Die Suche mit dem Antivir hat nix gefunden.

Den Kaspersky CD hat nicht funktionniert.

Den UBCD hat funktionniert aber die Version die ich habe ist aber ein bisschen alt. Allerdings durch diese UBCD kann ich auf mein PC zugreifen.

Ich schreibe jetzt von diese UBCD Ersatz von Windows (mit einer QWERTY Tastatur...)

Ich bin auf verschiedene Foren gewesen aber nicht geholfen.

Haette jmd Lust mich zu helfen? wuerde ich sehr denkbqr sein.

Danke,

Thomas

cosinus · 21.09.2011, 10:11

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.

Starte den infizierten Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
Logge dich nun in das infizierte Benutzerkonto ein.
Schließe den USB Stick an den infizierten Rechner an.
Nun ist etwas Handarbeit gefragt.
- Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
- Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
  
  Zitat:
  
  Das System kann das angegeben Laufwerk nicht finden
  
  versuche einen anderen Laufwerksbuchstaben. ( zB F: )
Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
start srep.exe
Bestätige den Disclaimer mit OK.
Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.

Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

tom_curitiba · 21.09.2011, 20:19

Hi!

Danke für die Antwort!

ich habe es gemacht, der ist wie du sagst dann neue gestartet aber windows start noch nicht, der bleibt immer noch stehend..

jetzt habe ich Angst daß diese USB Stick infiziert ist, was denkst du? kann ich dann nicht mehr an meine gesunde Notebook anschließen oder? (der hat aber kein CD Laufwerk)

zur Ergänzung meinem Post, zwischen durch, also gestern Abend,s hatte ich auch:
- das BKS Bild gelöscht, die war in Document und settings und hieß "Mahmud.exe"
- in Registry geguckt (mit dem UBCD), bei Hkey local / ... / Run und bei Hkey Current / ... / Run aber ich wußte nicht was zu löschen dann habe ich es gelassen
- komischerweise könnte ich nicht mehr drann am internet mit den infizierte PC (gestern mit UBCD könnte ich aber doch)

Was soll ich jetzt machen?

Danke

Thomas

cosinus · 21.09.2011, 20:44

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

tom_curitiba · 22.09.2011, 18:51

Hi,

ich habe kein andere PC mit CD Brenner, nur ein Notebook,
ich fahre am WE zu einem Freund wo ich ein CD brennen kann, poste ich am Mo. den Ergebnis davon.

vielen dank noch mal und schönes WE

bis Mo.

Thomas

tom_curitiba · 26.09.2011, 19:47

So..

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 9/26/2011 9:04:33 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.2180)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy
 
894.00 Mb Total Physical Memory | 679.00 Mb Available Physical Memory | 76.00% Memory free
806.00 Mb Paging File | 714.00 Mb Available in Paging File | 89.00% Paging File free
Paging file location(s): C:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 66.71 Gb Total Space | 10.03 Gb Free Space | 15.03% Space Free | Partition Type: NTFS
Drive D: | 982.73 Mb Total Space | 936.17 Mb Free Space | 95.26% Space Free | Partition Type: FAT
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto] --  -- (AVM WLAN Connection Service)
SRV - [2011/05/01 15:14:01 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011/03/04 08:38:18 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/02/18 12:30:32 | 002,435,592 | ---- | M] (Check Point Software Technologies LTD) [Auto] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon)
SRV - [2011/02/15 11:25:48 | 000,488,952 | ---- | M] (Check Point Software Technologies) [Auto] -- C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe -- (IswSvc)
SRV - [2010/09/01 09:52:56 | 000,066,112 | ---- | M] (NOS Microsystems Ltd.) [On_Demand] -- C:\Program Files\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - [2010/08/24 05:38:18 | 000,092,008 | ---- | M] (TomTom) [Auto] -- C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe -- (TomTomHOMEService)
SRV - [2009/12/14 15:20:30 | 000,068,096 | ---- | M] () [On_Demand] -- C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2007/05/30 08:31:10 | 000,312,880 | ---- | M] (GRISOFT s.r.o.) [Auto] -- C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe -- (AVG Anti-Spyware Guard)
SRV - [2005/10/20 00:15:00 | 000,090,112 | ---- | M] () [Auto] -- C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe -- (USBDeviceService)
SRV - [2005/01/31 04:45:20 | 000,049,152 | ---- | M] (Ulead Systems, Inc.) [Auto] -- C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe -- (UleadBurningHelper)
SRV - [2004/12/13 11:58:02 | 000,106,496 | ---- | M] () [Auto] -- C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe -- (BlueSoleil Hid Service)
SRV - [2004/04/08 00:25:04 | 001,135,728 | ---- | M] (America Online, Inc.) [Auto] -- C:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe -- (AOL ACS)
SRV - [2003/07/28 15:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Recognizer | On_Demand] --  -- (Pmwddrus)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | On_Demand] --  -- (hwusbdev)
DRV - File not found [Kernel | On_Demand] --  -- (hwdatacard)
DRV - File not found [Kernel | On_Demand] --  -- (ewusbnet)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - File not found [Kernel | System] --  -- (cdrbsvsd)
DRV - File not found [Kernel | On_Demand] --  -- (catchme)
DRV - File not found [Kernel | On_Demand] --  -- (adiusbaw)
DRV - File not found [Kernel | Auto] --  -- (ADILOADER) General Purpose USB Driver (adildr.sys)
DRV - [2011/03/04 10:11:12 | 000,137,656 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/03/04 08:38:47 | 000,061,960 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/02/15 11:25:36 | 000,026,872 | ---- | M] (Check Point Software Technologies) [Kernel | Auto] -- C:\Program Files\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL)
DRV - [2010/06/17 08:28:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/06/17 08:27:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2010/05/13 05:02:32 | 000,532,224 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2008/06/26 00:26:36 | 000,335,104 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTL8187B.sys -- (RTL8187B)
DRV - [2007/05/30 08:10:42 | 000,011,000 | ---- | M] () [Kernel | System] -- C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys -- (AVG Anti-Spyware Driver)
DRV - [2007/05/30 08:10:42 | 000,010,872 | ---- | M] (GRISOFT, s.r.o.) [Kernel | System] -- C:\WINDOWS\system32\drivers\AvgAsCln.sys -- (AvgAsCln)
DRV - [2007/01/14 09:36:59 | 000,082,380 | ---- | M] (Oak Technology Inc.) [Kernel | System] -- C:\WINDOWS\System32\drivers\AFS2K.SYS -- (AFS2K)
DRV - [2006/12/27 19:02:00 | 000,265,088 | R--- | M] (AVM GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2006/12/27 19:02:00 | 000,004,352 | R--- | M] (AVM Berlin) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avmeject.sys -- (avmeject)
DRV - [2006/12/27 10:47:30 | 000,009,006 | ---- | M] (ZD Soft) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\scrcap.sys -- (scrcap)
DRV - [2006/12/01 04:18:59 | 000,008,552 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\asctrm.sys -- (ASCTRM)
DRV - [2006/08/02 12:44:42 | 000,384,384 | ---- | M] (Ralink Technology Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\rt61.sys -- (RT61)
DRV - [2006/07/24 10:15:04 | 004,353,024 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006/06/16 14:56:38 | 000,083,968 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2006/04/01 11:16:44 | 000,162,176 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\V0260Vid.sys -- (V0260VID)
DRV - [2005/12/11 18:40:44 | 001,414,656 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2004/12/01 12:55:32 | 000,022,488 | ---- | M] (IVT Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\btcusb.sys -- (Btcsrusb)
DRV - [2004/11/05 06:39:08 | 000,082,148 | ---- | M] (IVT Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\VcommMgr.sys -- (VcommMgr)
DRV - [2004/10/19 08:40:56 | 000,028,207 | ---- | M] (IVT Corporation) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - [2004/10/19 08:37:38 | 000,061,312 | ---- | M] (IVT Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\VComm.sys -- (VComm)
DRV - [2004/10/19 06:39:26 | 000,020,096 | ---- | M] (IVT Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\blueletaudio.sys -- (BlueletAudio)
DRV - [2004/09/21 13:18:02 | 000,011,604 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\vbtenum.sys -- (BTHidEnum)
DRV - [2004/09/21 13:15:34 | 000,010,804 | ---- | M] (IVT Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\BtNetDrv.sys -- (BT)
DRV - [2004/08/10 09:00:00 | 000,088,448 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx)
DRV - [2004/08/10 09:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb)
DRV - [2004/08/10 09:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx)
DRV - [2004/07/05 17:38:06 | 000,233,472 | ---- | M] (ZyDAS Technology Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ZD1211U.sys -- (ZD1211U(Sitecom)) Sitecom Wireless Network USB Adapter Driver(Sitecom)
DRV - [2004/03/08 07:55:50 | 000,013,567 | ---- | M] (B.H.A Corporation) [Kernel | System] -- C:\WINDOWS\System32\drivers\CDRBSDRV.SYS -- (cdrbsdrv)
DRV - [2004/01/14 06:30:00 | 000,017,151 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\ZDPNDIS5.sys -- (ZDPNDIS5)
DRV - [2003/12/19 10:15:50 | 000,017,277 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\US122DL.sys -- (US122DL)
DRV - [2003/12/19 10:00:40 | 000,086,648 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\US122Wdm.sys -- (Us122WdmService)
DRV - [2003/12/19 10:00:24 | 000,213,196 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\US122.sys -- (US122)
DRV - [2003/07/16 02:27:40 | 000,043,264 | R--- | M] (Prolific Technology Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ser2pl.sys -- (Ser2pl)
DRV - [2003/01/10 11:13:04 | 000,033,588 | ---- | M] (America Online, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wanatw4.sys -- (wanatw) WAN Miniport (ATW)
DRV - [2002/10/15 17:41:06 | 000,102,220 | ---- | M] (Sony Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sonypvs1.sys -- (sonypvs1)
DRV - [2002/07/17 03:53:02 | 000,016,877 | ---- | M] (Adaptec) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\ASPI32.SYS -- (Aspi32)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrateur_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://m.fr.yahoo.com/
IE - HKU\Administrateur_ON_C\..\URLSearchHook: {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} - C:\Program Files\Protection_ZoneAlarm\prxtbPro2.dll (Conduit Ltd.)
IE - HKU\Administrateur_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
 
IE - HKU\Tom_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.radioblogclub.fr/fav.php/0/852394
IE - HKU\Tom_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://fr.yahoo.com/"
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.91
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {d7f26d0e-9801-45c3-a091-8a65e4ed73b5}:2.7.1.3
FF - prefs.js..extensions.enabledItems: {5767C11F-881F-4E79-B3B2-5FB93FFDF5D1}:1.9.1
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@bittorrent.com/BitTorrentDNA: C:\Program Files\DNA\plugins\npbtdna.dll (BitTorrent, Inc.)
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\Trustchecker\bin\npFFApi.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
FF - HKCU\Software\MozillaPlugins\@yahoo.com/BrowserPlus,version=2.5.1: C:\Documents and Settings\Administrateur\Local Settings\Application Data\Yahoo!\BrowserPlus\2.5.1\Plugins\npybrowserplus_2.5.1.dll (Yahoo! Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\TrustChecker [2011/03/13 16:42:20 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{5767C11F-881F-4E79-B3B2-5FB93FFDF5D1}: C:\Documents and Settings\Administrateur\Local Settings\Application Data\{5767C11F-881F-4E79-B3B2-5FB93FFDF5D1} [2011/05/04 15:40:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.20\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011/08/18 13:25:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.20\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2011/08/18 13:25:08 | 000,000,000 | ---D | M]
 
[2010/10/09 12:41:17 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Extensions
[2010/10/09 12:41:17 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Extensions\home2@tomtom.com
[2011/08/18 16:19:47 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\46h1abij.default\extensions
[2009/09/15 14:32:52 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\46h1abij.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011/06/28 15:02:49 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\46h1abij.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010/11/22 13:25:06 | 000,000,000 | ---D | M] (Protection ZoneAlarm Toolbar) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\46h1abij.default\extensions\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}
[2010/09/10 09:36:40 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\46h1abij.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2011/08/23 16:37:54 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2007/01/09 00:15:59 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Program Files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2010/07/07 16:34:36 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2011/05/04 15:40:13 | 000,000,000 | ---D | M] (XULRunner) -- C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\LOCAL SETTINGS\APPLICATION DATA\{5767C11F-881F-4E79-B3B2-5FB93FFDF5D1}
[2010/07/07 16:33:16 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAM FILES\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010/07/07 16:33:11 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2011/07/01 03:10:12 | 000,001,516 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazon-france.xml
[2011/07/01 03:10:12 | 000,001,822 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\cnrtl-tlfi-fr.xml
[2011/07/01 03:10:12 | 000,000,757 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-france.xml
[2011/07/01 03:10:12 | 000,001,426 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-fr.xml
[2011/07/01 03:10:12 | 000,000,956 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-france.xml
 
O1 HOSTS File: ([2008/12/25 15:07:51 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (IE to GetRight Helper) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll (Headlight Software, Inc.)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\GoogleToolbar2.dll (Google Inc.)
O2 - BHO: (CBrowserHelperObject Object) - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\APPS\BAE\BAE.DLL (Your Company Name)
O2 - BHO: (Protection ZoneAlarm Toolbar) - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} - C:\Program Files\Protection_ZoneAlarm\prxtbPro2.dll (Conduit Ltd.)
O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKLM\..\Toolbar: (eXplorer4u Toolbar) - {BFB5F154-9212-46F3-B547-AC6106030A54} -  File not found
O3 - HKLM\..\Toolbar: (Protection ZoneAlarm Toolbar) - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} - C:\Program Files\Protection_ZoneAlarm\prxtbPro2.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKU\Administrateur_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\Administrateur_ON_C\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\GoogleToolbar2.dll (Google Inc.)
O3 - HKU\Administrateur_ON_C\..\Toolbar\WebBrowser: (eXplorer4u Toolbar) - {BFB5F154-9212-46F3-B547-AC6106030A54} -  File not found
O3 - HKU\Administrateur_ON_C\..\Toolbar\WebBrowser: (Protection ZoneAlarm Toolbar) - {D7F26D0E-9801-45C3-A091-8A65E4ED73B5} - C:\Program Files\Protection_ZoneAlarm\prxtbPro2.dll (Conduit Ltd.)
O3 - HKU\Administrateur_ON_C\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKU\Administrateur_ON_C\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKU\Tom_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKU\Tom_ON_C\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\GoogleToolbar2.dll (Google Inc.)
O4 - HKLM..\Run: [!AVG Anti-Spyware] C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe (GRISOFT s.r.o.)
O4 - HKLM..\Run: [Adobe ARM] C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [DetectorApp] C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe ()
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [EULA] C:\APPS\PB_TB\EULALauncher.exe (Fujitsu-Siemens)
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [ISUSPM Startup] C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [ISUSScheduler] C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [ISW] C:\Program Files\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - HKU\Administrateur_ON_C..\Run: [BitTorrent DNA] C:\Program Files\DNA\btdna.exe (BitTorrent, Inc.)
O4 - HKU\Administrateur_ON_C..\Run: [EPSON SX110 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE (SEIKO EPSON CORPORATION)
O4 - HKU\Administrateur_ON_C..\Run: [TomTomHOME.exe] C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
O4 - HKU\Tom_ON_C..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CamTray.exe (Creative Technology Ltd)
O4 - HKLM..\RunOnce: [MSRestore] C:\WINDOWS\system32\Restore\rstrui.exe (Microsoft Corporation)
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe (IVT Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\Administrateur_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\LocalService_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\systemprofile_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\Tom_ON_C\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\Tom_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRDownload.htm ()
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRBrowse.htm ()
O9 - Extra 'Tools' menuitem : Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} -  File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} hxxp://go.divx.com/plugin/DivXBrowserPlugin.cab (DivXBrowserPlugin Object)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\Administrateur\Application Data\mahmud.exe) -  File not found
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Ma page d'accueil) - About:Home
O24 - Desktop WallPaper: B:\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: B:\Documents and Settings\Default User\Local Settings\Application Data\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {57B86673-276A-48B2-BAE7-C6DBB3020EB8} - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll (GRISOFT s.r.o.)
O30 - LSA: Authentication Packages - (nwprovau) - C:\WINDOWS\System32\nwprovau.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{0a84d591-280b-11e0-b0f8-001167467f0c}\Shell - "" = AutoRun
O33 - MountPoints2\{0a84d591-280b-11e0-b0f8-001167467f0c}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{0a84d593-280b-11e0-b0f8-001167467f0c}\Shell - "" = AutoRun
O33 - MountPoints2\{0a84d593-280b-11e0-b0f8-001167467f0c}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{5217a705-d3ba-11df-b0bd-001167467f0c}\Shell\AutoRun\command - "" = E:\InstallTomTomHOME.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2007/05/04 12:48:06 | 000,089,680 | ---- | C] (Microsoft Corporation) -- C:\Documents and Settings\Tom\MSSSerif120.fon
[19 C:\Documents and Settings\Administrateur\Bureau\*.tmp files -> C:\Documents and Settings\Administrateur\Bureau\*.tmp -> ]
[1 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011/09/21 15:21:39 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011/09/21 14:42:16 | 937,603,072 | -HS- | M] () -- C:\hiberfil.sys
[2011/09/21 14:37:03 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[19 C:\Documents and Settings\Administrateur\Bureau\*.tmp files -> C:\Documents and Settings\Administrateur\Bureau\*.tmp -> ]
[1 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011/09/21 14:42:16 | 937,603,072 | -HS- | C] () -- C:\hiberfil.sys
[2011/05/10 16:28:18 | 000,183,040 | ---- | C] () -- C:\WINDOWS\PI.EXE
[2011/04/17 17:00:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Ugepinosob.bin
[2011/04/17 17:00:39 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Ucurev.dat
[2011/01/10 14:28:10 | 000,000,218 | ---- | C] () -- C:\Documents and Settings\Administrateur\.recently-used.xbel
[2010/11/15 10:34:02 | 000,000,284 | ---- | C] () -- C:\Documents and Settings\Administrateur\Application Data\ViewerApp.dat
[2010/11/11 09:45:16 | 000,003,654 | ---- | C] () -- C:\WINDOWS\System32\drivers\Sonyhcp.dll
[2009/11/18 10:22:29 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2009/09/20 17:38:29 | 000,018,764 | ---- | C] () -- C:\WINDOWS\System32\ddmon.dll
[2009/09/20 15:34:38 | 000,000,099 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2009/09/20 15:34:35 | 000,089,430 | ---- | C] () -- C:\WINDOWS\System32\EPPICPrinterDB.dat
[2009/09/20 15:34:35 | 000,024,903 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern3.dat
[2009/09/20 15:34:35 | 000,021,390 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern5.dat
[2009/09/20 15:34:35 | 000,011,811 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern4.dat
[2009/09/20 15:34:35 | 000,004,943 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern6.dat
[2009/09/20 15:34:35 | 000,001,146 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_DU.dat
[2009/09/20 15:34:35 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_PT.dat
[2009/09/20 15:34:35 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_BP.dat
[2009/09/20 15:34:35 | 000,001,136 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_ES.dat
[2009/09/20 15:34:35 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_FR.dat
[2009/09/20 15:34:35 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_CF.dat
[2009/09/20 15:34:35 | 000,001,120 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_IT.dat
[2009/09/20 15:34:35 | 000,001,107 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_GE.dat
[2009/09/20 15:34:35 | 000,001,104 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_EN.dat
[2009/09/20 15:34:34 | 000,026,154 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern1.dat
[2009/09/20 15:34:34 | 000,020,148 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern2.dat
[2009/09/20 15:29:56 | 000,000,025 | ---- | C] () -- C:\WINDOWS\CDE DX4200G.ini
[2009/08/01 16:24:21 | 000,120,832 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll
[2009/07/18 17:49:46 | 000,219,648 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2009/07/02 09:53:25 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2009/04/04 12:47:06 | 000,106,496 | R--- | C] () -- C:\WINDOWS\System32\vshp1020.dll
[2009/04/04 06:16:05 | 000,434,176 | ---- | C] () -- C:\WINDOWS\System32\ZSHP1020.EXE
[2009/04/02 11:50:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\HPMProp.INI
[2008/12/25 14:59:38 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2008/12/25 14:59:38 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2008/12/25 14:59:38 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2008/11/05 15:43:17 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\ZyDelReg.exe
[2008/11/05 15:43:10 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD.dll
[2008/10/26 11:50:45 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2008/09/01 13:26:29 | 000,097,360 | R--- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin
[2008/04/18 11:09:59 | 000,086,016 | ---- | C] () -- C:\Documents and Settings\Administrateur\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/02/28 13:25:19 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2008/02/25 11:40:11 | 000,000,305 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\addr_file.html
[2008/01/11 09:29:41 | 000,182,456 | ---- | C] () -- C:\WINDOWS\RiyazStudio Uninstaller.exe
[2007/12/22 07:20:45 | 000,001,098 | ---- | C] () -- C:\WINDOWS\VIP.INI
[2007/12/22 07:20:45 | 000,000,094 | ---- | C] () -- C:\WINDOWS\LNAME.INI
[2007/12/02 11:34:05 | 000,000,000 | ---- | C] () -- C:\WINDOWS\MelodyExe.INI
[2007/12/02 05:19:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\EngineExe.INI
[2007/12/02 05:19:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PanelExe.INI
[2007/12/02 04:47:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\AlbumExe.INI
[2007/12/02 04:44:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\MessageExe.INI
[2007/12/01 18:20:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\FileMgrExe.INI
[2007/09/06 13:28:09 | 000,019,254 | ---- | C] () -- C:\Documents and Settings\Tom\C
[2007/06/06 17:11:16 | 000,203,878 | ---- | C] () -- C:\WINDOWS\Stylophone.dat
[2007/06/06 15:19:07 | 000,000,157 | ---- | C] () -- C:\WINDOWS\epp15.ini
[2007/06/03 16:43:03 | 000,000,008 | ---- | C] () -- C:\WINDOWS\System32\vecams.dll
[2007/06/03 16:37:23 | 000,000,014 | ---- | C] () -- C:\WINDOWS\System32\odbclo7.dll
[2007/04/20 13:21:57 | 000,000,557 | ---- | C] () -- C:\WINDOWS\dmaker.INI
[2007/04/15 14:44:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI
[2007/01/24 14:47:14 | 000,013,304 | ---- | C] () -- C:\WINDOWS\System32\drivers\BTNetFilter.sys
[2007/01/24 14:47:14 | 000,011,604 | ---- | C] () -- C:\WINDOWS\System32\drivers\vbtenum.sys
[2007/01/14 15:34:30 | 000,000,385 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007/01/14 09:33:15 | 000,011,786 | ---- | C] () -- C:\WINDOWS\hpdj3600.ini
[2007/01/09 16:06:24 | 000,113,152 | ---- | C] () -- C:\Documents and Settings\Tom\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007/01/08 16:32:41 | 000,000,126 | ---- | C] () -- C:\Documents and Settings\Tom\Local Settings\Application Data\fusioncache.dat
[2007/01/08 16:32:40 | 000,002,510 | ---- | C] () -- C:\Documents and Settings\Tom\secedit.INTEG.RAW
[2007/01/08 16:30:08 | 000,002,510 | ---- | C] () -- C:\WINDOWS\system32\config\systemprofile\secedit.INTEG.RAW
[2006/12/01 04:53:02 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2006/12/01 04:42:19 | 000,002,510 | ---- | C] () -- C:\Documents and Settings\Administrateur\secedit.INTEG.RAW
[2006/12/01 04:34:42 | 000,004,613 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2006/12/01 04:28:26 | 000,000,602 | ---- | C] () -- C:\WINDOWS\System32\SETUPPC.INI
[2006/12/01 04:22:49 | 000,000,210 | ---- | C] () -- C:\WINDOWS\WININIT.INI
[2006/12/01 04:19:44 | 000,007,604 | ---- | C] () -- C:\WINDOWS\HDReg.ini
[2006/12/01 04:18:15 | 000,000,335 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2006/12/01 04:01:38 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll
[2006/12/01 04:01:38 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2006/12/01 03:26:41 | 000,001,260 | ---- | C] () -- C:\WINDOWS\ATICIM.INI
[2006/12/01 03:21:03 | 000,000,137 | ---- | C] () -- C:\Documents and Settings\Administrateur\Local Settings\Application Data\fusioncache.dat
[2006/11/01 02:54:30 | 000,180,224 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2006/11/01 02:52:38 | 000,765,952 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2006/03/23 09:24:10 | 000,006,399 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2006/01/12 06:23:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\px.ini
[2005/12/08 13:01:06 | 000,112,421 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2005/08/05 10:38:54 | 000,235,008 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2004/09/23 14:22:30 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004/09/23 14:04:19 | 000,021,892 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/09/23 13:53:16 | 000,004,205 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004/09/23 13:50:23 | 000,395,160 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2004/09/23 13:12:38 | 000,540,306 | ---- | C] () -- C:\WINDOWS\System32\perfh00C.dat
[2004/09/23 13:12:38 | 000,322,810 | ---- | C] () -- C:\WINDOWS\System32\perfi00C.dat
[2004/09/23 13:12:38 | 000,099,194 | ---- | C] () -- C:\WINDOWS\System32\perfc00C.dat
[2004/09/23 13:12:38 | 000,034,108 | ---- | C] () -- C:\WINDOWS\System32\perfd00C.dat
[2004/09/23 13:11:26 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/09/23 13:11:20 | 000,466,972 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/09/23 13:11:20 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/09/23 13:11:20 | 000,082,776 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/09/23 13:11:20 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/09/23 13:11:18 | 000,004,613 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/09/23 13:11:13 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/09/23 13:11:07 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004/09/23 13:10:47 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/09/23 13:10:46 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/09/23 13:10:24 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/09/23 13:10:02 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2003/12/19 10:15:50 | 000,017,277 | ---- | C] () -- C:\WINDOWS\System32\drivers\US122DL.sys
[2003/12/19 10:00:40 | 000,086,648 | ---- | C] () -- C:\WINDOWS\System32\drivers\US122Wdm.sys
[2003/12/19 10:00:24 | 000,213,196 | ---- | C] () -- C:\WINDOWS\System32\drivers\US122.sys
[2002/06/05 19:01:58 | 000,029,696 | ---- | C] () -- C:\WINDOWS\System32\asutl8.dll
 
========== LOP Check ==========
 
[2009/09/19 12:22:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\Apowersoft
[2011/08/05 16:20:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\Audacity
[2011/04/15 10:19:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\BitTorrent
[2010/11/22 13:25:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\CheckPoint
[2009/09/20 17:43:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\deskPDF
[2011/08/23 16:21:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\DNA
[2009/07/05 18:18:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\elefundesktops
[2009/09/22 07:02:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\EPSON
[2011/06/22 14:47:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\FreeVideoConverter
[2008/07/21 05:50:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\GetRight
[2010/11/26 15:03:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\GetRightToGo
[2008/04/18 01:28:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\Grisoft
[2009/01/10 21:16:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\IrfanView
[2008/05/10 12:59:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\Leadertech
[2008/04/18 11:10:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\OD2
[2010/10/09 12:41:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\TomTom
[2008/06/25 01:37:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\Ulead Systems
[2007/01/28 05:38:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tom\Application Data\Anvil Studio
[2011/08/23 16:37:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tom\Application Data\CheckPoint
[2007/05/03 13:21:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tom\Application Data\GetRightToGo
[2008/02/26 11:13:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tom\Application Data\Grisoft
[2007/04/17 12:05:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tom\Application Data\IrfanView
[2007/02/20 14:29:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tom\Application Data\Leadertech
[2007/12/02 04:44:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tom\Application Data\MobileAction
[2007/01/12 14:30:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tom\Application Data\OD2
[2007/05/12 17:58:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tom\Application Data\Steinberg
[2008/04/06 15:08:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Tom\Application Data\Ulead Systems
[2011/04/25 11:36:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Alwil Software
[2007/01/26 11:02:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Bluetooth
[2010/01/17 19:29:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\EPSON
[2008/02/26 11:13:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Grisoft
[2008/02/28 13:25:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\MailFrontier
[2007/01/09 00:14:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\OD2
[2007/06/15 09:45:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Propellerhead Software
[2008/01/10 10:44:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\RiyazStudio
[2007/01/09 00:12:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\SmartSound Software Inc
[2011/01/10 14:50:48 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Sonoma Wire Works
[2009/08/01 16:32:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP
[2010/10/09 12:42:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TomTom
[2009/09/20 16:03:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\UDL
[2007/01/09 00:14:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Ulead Systems
[2007/01/09 00:12:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Viewpoint
 
========== Purity Check ==========
 
 
< End of report >

--- --- ---

tom_curitiba · 26.09.2011, 19:52

Die "Extra.txt" file war da nicht, weiß ich nicht warum.

Internet funktionnierte aber das hat halbe Stunde gedauert um mich einzulogen weil die Tastatur ist da anders oder verkehrt irgendwie..

bis dann,

Danke

Thomas

cosinus · 26.09.2011, 20:02

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\Administrateur\Application Data\mahmud.exe) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{0a84d591-280b-11e0-b0f8-001167467f0c}\Shell - "" = AutoRun
O33 - MountPoints2\{0a84d591-280b-11e0-b0f8-001167467f0c}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{0a84d593-280b-11e0-b0f8-001167467f0c}\Shell - "" = AutoRun
O33 - MountPoints2\{0a84d593-280b-11e0-b0f8-001167467f0c}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{5217a705-d3ba-11df-b0bd-001167467f0c}\Shell\AutoRun\command - "" = E:\InstallTomTomHOME.exe
:Commands
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

tom_curitiba · 26.09.2011, 20:42

Wow

das funktionniert, windows startet wieder!
der bleibt aber zur zeit an einem Fenster die mir sagt:
"Restauration du Système"
das heißt auf Französisch: "system wieder stellen" oder so ;-)
dann fragt er mir ob ich mein PC wieder stellen von eine zeit vor das das Problem passiert ist.
soll ich ja sagen oder nein?

ich kann übrigens diese Log file schon sehen..

thomas

tom_curitiba · 26.09.2011, 21:38

Hi,
soll ich die Ansichte Optionen nach dem Upolad wieder einstellen wie davor wenn fertig?
ach, es fuellt sich gut wieder ein PC der Funktionniert!

Thomas

tom_curitiba · 26.09.2011, 21:49

Ich hatte vergessen, den File zu posten der beim starten sich aufgemacht hat, also:

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\Administrateur\Application Data\mahmud.exe deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File move failed. X:\AUTORUN.INF scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0a84d591-280b-11e0-b0f8-001167467f0c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0a84d591-280b-11e0-b0f8-001167467f0c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0a84d591-280b-11e0-b0f8-001167467f0c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0a84d591-280b-11e0-b0f8-001167467f0c}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0a84d593-280b-11e0-b0f8-001167467f0c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0a84d593-280b-11e0-b0f8-001167467f0c}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0a84d593-280b-11e0-b0f8-001167467f0c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0a84d593-280b-11e0-b0f8-001167467f0c}\ not found.
File E:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5217a705-d3ba-11df-b0bd-001167467f0c}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5217a705-d3ba-11df-b0bd-001167467f0c}\ not found.
File E:\InstallTomTomHOME.exe not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 09262011_221812

Files\Folders moved on Reboot...
File\Folder X:\AUTORUN.INF not found!

Registry entries deleted on Reboot...

cosinus · 27.09.2011, 11:01

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Führe danach auch bitte ESET aus, danach sehen wir weiter.

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

tom_curitiba · 29.09.2011, 07:50

Hallo,

ich habe erst mal ein Fehler gemacht, bei dem Malwarebyte scanner hatte ich mein Antivir aktiv gelassen..

diese hat als den Mawarebyte scanner läufte 2 viren gefunden : in C:/ docs settings : ein der "Tharra" heisst und ein der "Gendal" heisste, Antivir hat die gelöscht.

den post von MBAM:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7809

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

27/09/2011 22:09:42
mbam-log-2011-09-27 (22-09-42).txt

Type d'examen: Examen complet (C:\|I:\|)
Elément(s) analysé(s): 301972
Temps écoulé: 1 heure(s), 30 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.
c:\Recycle.Bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\documents and settings\Tom\mes documents\autres loisirs\electro\sound generator nature atmosphere deluxe v5.4 rss meziadin\Keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\UBCD4Win\BartPE\PROGRAMS\keyfinder\keyfinder.exe.vir (Application.FindKey) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
c:\Recycle.Bin\f0d0a5e71225ee7 (Trojan.Spyeyes) -> Quarantined and deleted successfully.

und den von ESET:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=c63f7e2e180c4f428ce7f50962707105
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-28 09:22:19
# local_time=2011-09-28 11:22:19 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 68336344 68336344 0 0
# compatibility_mode=768 16777215 100 0 43119576 43119576 0 0
# compatibility_mode=1797 16775141 100 93 80027 51397754 162003 0
# compatibility_mode=8192 67108863 100 0 112 112 0 0
# compatibility_mode=9217 16777214 75 66 17190939 19191809 0 0
# scanned=123954
# found=0
# cleaned=0
# scan_time=10240

schöne Grüsse

Thomas

cosinus · 29.09.2011, 09:23

Zitat:

c:\Recycle.Bin\f0d0a5e71225ee7 (Trojan.Spyeyes)

Machst du Onlinebanking oder ähnliche kritische Dinge mit diesem PC unter dieser verseuchten Windows-Installation?

tom_curitiba · 29.09.2011, 11:17

oh, ja.. ab und zu, sch..
spyeyes..shit

BKS Trojanerm reparatur durch UBCD?

Log-Analyse und Auswertung: BKS Trojanerm reparatur durch UBCD?