Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Virus stolen.data system32 xmldm spy.banker

Virus stolen.data system32 xmldm spy.banker


Log-Analyse und Auswertung: Virus stolen.data system32 xmldm spy.banker

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 2 von 4 1 2 34
Alt 30.11.2011, 10:20   #16
Larusso
/// Selecta Jahrusso
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


He

Glaubst du nicht ich hab anderes zu tun ?
Ich liege hier mit 39 Grad Fieber und nehm meinen Kopf denoch her um dir zu helfen !!

Also hör auf zu pumpen oder ich hör auf dir zu helfen. Nur weil ich online bin, bedeutet das nicht, dass ich auch da bin -.-

Jede Antwort von mir kann bis zu 30min meiner Zeit in Anspruch nehmen, wenns es dir also zu langsam geht, dann formatier die Kiste oder gib mir die Zeit um eine Antwort zu finden
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 30.11.2011, 10:28   #17
lala181
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


Naja kann nun mal nicht hell sehen!!
Wollte dir damit nur sagen dass ich auch wieder online bin!!!
Schade, dass du mich gleich so angreifst!!!
Ich habe auch zwei kleine Kinder und pflege nebenher meinen schwerkranken Vater und fast blinden Schwiegervater und mache das hier auch nebenher - da sitzen wir wohl im gleichen Boot - also relaxed!!!

Und gute Besserung!!!
__________________
Alt 30.11.2011, 10:45   #18
Larusso
/// Selecta Jahrusso
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.manifest /3
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Wenn der Scan beendet wurde, wird sich ein Textdokument öffnen.
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
__________________
Alt 30.11.2011, 11:02   #19
lala181
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


[QUOTE=Larusso;727425]Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop[list][*] Starte bitte die OTL.exe.


OTL mit LOP und PPurity Prüfung sowie Benutzte SafeList in Extra Registrierung starten??? Oder einfach so lassen wie sich das Programm öffnet????

Alt 30.11.2011, 11:08   #20
Larusso
/// Selecta Jahrusso
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


Folge einfach dem, was da steht.

__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 30.11.2011, 11:23   #21
lala181
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 30.11.2011 11:14:15 - Run 2
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\Harald\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,66 Gb Available Physical Memory | 83,04% Memory free
3,85 Gb Paging File | 3,57 Gb Available in Paging File | 92,79% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,55 Gb Total Space | 62,94 Gb Free Space | 84,43% Space Free | Partition Type: NTFS
Drive D: | 68,64 Gb Total Space | 64,10 Gb Free Space | 93,39% Space Free | Partition Type: NTFS
Drive E: | 5,85 Gb Total Space | 0,00 Gb Free Space | 0,07% Space Free | Partition Type: FAT32
Drive P: | 3,75 Gb Total Space | 1,05 Gb Free Space | 28,02% Space Free | Partition Type: FAT32
 
Computer Name: HARALD-T6E8DREZ | User Name: Harald | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Harald\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\PRISMSTA.exe (Intersil Americas Inc.)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) --  File not found
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (McComponentHostService) -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe (McAfee, Inc.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (xpsec) --  File not found
DRV - (xcpip) --  File not found
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (PRISM_A00) -- C:\WINDOWS\system32\drivers\PRISMA00.sys (Intersil Americas Inc.)
DRV - (PhTVTune) -- C:\WINDOWS\system32\drivers\PhTVTune.sys (Philips Semiconductors)
DRV - (Cap7134) MEDION (7134) -- C:\WINDOWS\system32\drivers\Cap7134.sys (Philips Semiconductors)
DRV - (Intels51) -- C:\WINDOWS\system32\drivers\ctxs51.sys (Intel Corporation)
DRV - (ms_mpu401) -- C:\WINDOWS\system32\drivers\msmpu401.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://web.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://web.de/"
FF - prefs.js..network.proxy.type: 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.11.03 16:38:19 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\WINDOWS\system32\5049 [2011.11.24 15:36:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.11.09 17:27:26 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.11.30 00:06:52 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.11.03 16:38:19 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\WINDOWS\system32\5049 [2011.11.24 15:36:11 | 000,000,000 | ---D | M]
 
[2010.11.03 16:11:56 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Harald\Anwendungsdaten\Mozilla\Extensions
[2010.11.08 15:14:36 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Harald\Anwendungsdaten\Mozilla\Firefox\Profiles\t0uk3u4a.default\extensions
[2011.10.06 15:40:20 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.05.28 11:06:54 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.11.24 15:36:11 | 000,000,000 | ---D | M] (Java String Helper) -- C:\WINDOWS\SYSTEM32\5049
[2011.11.09 17:27:26 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.09.29 02:24:37 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.09.29 02:16:42 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.09.29 02:24:37 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.09.29 02:24:37 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.09.29 02:24:37 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.09.29 02:24:37 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2011.11.29 22:05:32 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [PRISMSTA.EXE] C:\WINDOWS\System32\PRISMSTA.exe (Intersil Americas Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O15 - HKCU\..Trusted Domains:   ([]msn in Arbeitsplatz)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 82.212.62.62 78.42.43.62
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{015B5DFB-8357-41EE-BB1A-4D2A8FC21507}: DhcpNameServer = 82.212.62.62 78.42.43.62
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.11.03 14:51:27 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4d64f3ba-f112-4efe-a02e-96680859937c} - KB918899
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5b7bf89d-d196-4c32-a303-a57b8ab7f18d} - KB918439
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {dd772a76-bef3-44d7-8b39-502c8504c1f1} - KB925486
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {f15ee071-deb7-4cbb-951f-431c98338d8e} - KB911567
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.11.30 09:08:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xmldm
[2011.11.30 00:20:23 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.11.30 00:06:04 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Adobe
[2011.11.29 23:17:31 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2011.11.29 23:17:15 | 002,322,184 | ---- | C] (ESET) -- C:\Dokumente und Einstellungen\Harald\Desktop\esetsmartinstaller_enu.exe
[2011.11.29 22:42:19 | 000,000,000 | ---D | C] -- C:\ComboFix
[2011.11.29 22:36:23 | 004,321,290 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Harald\Desktop\ComboFix.exe
[2011.11.29 22:01:19 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2011.11.29 21:59:47 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2011.11.29 21:59:47 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2011.11.29 21:59:47 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2011.11.29 21:59:47 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2011.11.29 21:59:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.11.29 21:59:38 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.11.29 21:37:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EPSON Creativity Suite
[2011.11.29 21:37:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2011.11.29 21:30:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EPSON Scan
[2011.11.29 21:30:39 | 000,000,000 | ---D | C] -- C:\Programme\epson
[2011.11.29 21:29:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2011.11.29 21:29:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EPSON
[2011.11.29 20:11:10 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Harald\Desktop\OTL.exe
[2011.11.24 15:56:45 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Harald\Recent
[2011.11.24 15:54:08 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2011.11.24 15:38:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.11.24 15:37:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Emsisoft HiJackFree
[2011.11.24 15:14:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Harald\Anwendungsdaten\Malwarebytes
[2011.11.24 15:14:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.11.24 15:14:07 | 000,022,216 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.11.24 15:14:06 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.11.24 15:06:03 | 000,000,000 | ---D | C] -- C:\Programme\Emsisoft HiJackFree
[2011.11.24 11:25:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5049
[2011.11.23 10:49:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5048
[2011.11.22 15:01:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5047
[2011.11.21 12:49:44 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5045
[2011.11.17 10:49:16 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5042
[2011.11.16 12:17:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5041
[2011.11.15 14:32:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5040
[2011.11.13 11:44:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2011.11.11 14:54:58 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5039
[2011.11.04 17:55:32 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\5038
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.11.30 09:06:49 | 000,000,439 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.ics
[2011.11.30 09:04:17 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.11.30 00:19:41 | 000,000,464 | ---- | M] () -- C:\Dokumente und Einstellungen\Harald\Desktop\Verknüpfung mit EXCEL.lnk
[2011.11.30 00:06:52 | 000,001,714 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader X.lnk
[2011.11.30 00:04:27 | 000,056,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Harald\Desktop\VJDmj+BN.htm.part
[2011.11.30 00:03:55 | 000,056,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Harald\Desktop\iR6C5Bbq.htm.part
[2011.11.29 23:17:17 | 002,322,184 | ---- | M] (ESET) -- C:\Dokumente und Einstellungen\Harald\Desktop\esetsmartinstaller_enu.exe
[2011.11.29 22:38:59 | 004,321,290 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Harald\Desktop\ComboFix.exe
[2011.11.29 22:05:32 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.11.29 22:01:23 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2011.11.29 21:44:19 | 000,001,871 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\EPSON File Manager.lnk
[2011.11.29 21:31:40 | 000,001,864 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CX4300_5500_DX4400 Handbuch.lnk
[2011.11.29 21:30:40 | 000,000,665 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\EPSON Scan.lnk
[2011.11.29 21:30:09 | 000,000,027 | ---- | M] () -- C:\WINDOWS\CDE DX4400DEFGIPS.ini
[2011.11.29 20:40:15 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Harald\Desktop\u806d4y1.exe
[2011.11.29 20:11:11 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Harald\Desktop\OTL.exe
[2011.11.29 20:10:04 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Harald\defogger_reenable
[2011.11.29 20:07:59 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Harald\Desktop\Defogger.exe
[2011.11.29 18:54:12 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.11.24 15:59:47 | 000,000,100 | ---- | M] () -- C:\index.ini
[2011.11.24 15:54:12 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk
[2011.11.24 15:27:56 | 000,000,060 | ---- | M] () -- C:\WINDOWS\System\cmicnfg.ini
[2011.11.24 15:14:14 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.11.24 15:08:33 | 000,000,072 | ---- | M] () -- C:\WINDOWS\System32\blckdom.res
[2011.11.24 15:06:04 | 000,000,685 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft HiJackFree.lnk
[2011.11.23 20:12:07 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011.10.31 11:25:09 | 000,000,103 | ---- | M] () -- C:\WINDOWS\wiso.ini
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.11.30 00:19:41 | 000,000,464 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Desktop\Verknüpfung mit EXCEL.lnk
[2011.11.30 00:06:52 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader X.lnk
[2011.11.30 00:06:52 | 000,001,714 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader X.lnk
[2011.11.30 00:04:27 | 000,056,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Desktop\VJDmj+BN.htm.part
[2011.11.30 00:03:55 | 000,056,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Desktop\iR6C5Bbq.htm.part
[2011.11.29 22:01:23 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2011.11.29 22:01:19 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2011.11.29 21:59:47 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.11.29 21:59:47 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.11.29 21:59:47 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.11.29 21:59:47 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.11.29 21:59:47 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.11.29 21:44:19 | 000,001,871 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\EPSON File Manager.lnk
[2011.11.29 21:32:32 | 000,111,932 | ---- | C] () -- C:\WINDOWS\System32\EPPICPrinterDB.dat
[2011.11.29 21:32:32 | 000,031,053 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern131.dat
[2011.11.29 21:32:32 | 000,027,417 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern121.dat
[2011.11.29 21:32:32 | 000,026,154 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern1.dat
[2011.11.29 21:32:32 | 000,024,903 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern3.dat
[2011.11.29 21:32:32 | 000,021,390 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern5.dat
[2011.11.29 21:32:32 | 000,020,148 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern2.dat
[2011.11.29 21:32:32 | 000,013,732 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_EN.cfg
[2011.11.29 21:32:32 | 000,011,811 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern4.dat
[2011.11.29 21:32:32 | 000,006,442 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_IT.cfg
[2011.11.29 21:32:32 | 000,006,347 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_PT.cfg
[2011.11.29 21:32:32 | 000,006,347 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_BP.cfg
[2011.11.29 21:32:32 | 000,006,335 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_GE.cfg
[2011.11.29 21:32:32 | 000,006,195 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_FR.cfg
[2011.11.29 21:32:32 | 000,006,195 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_CF.cfg
[2011.11.29 21:32:32 | 000,006,122 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_DU.cfg
[2011.11.29 21:32:32 | 000,006,103 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_ES.cfg
[2011.11.29 21:32:32 | 000,005,817 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_KO.cfg
[2011.11.29 21:32:32 | 000,005,436 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_SC.cfg
[2011.11.29 21:32:32 | 000,004,943 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern6.dat
[2011.11.29 21:32:32 | 000,002,889 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_RU.cfg
[2011.11.29 21:32:32 | 000,002,426 | ---- | C] () -- C:\WINDOWS\System32\EPPICLocal_TC.cfg
[2011.11.29 21:32:32 | 000,001,146 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_DU.dat
[2011.11.29 21:32:32 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_PT.dat
[2011.11.29 21:32:32 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_BP.dat
[2011.11.29 21:32:32 | 000,001,136 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_ES.dat
[2011.11.29 21:32:32 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_FR.dat
[2011.11.29 21:32:32 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_CF.dat
[2011.11.29 21:32:32 | 000,001,120 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_IT.dat
[2011.11.29 21:32:32 | 000,001,107 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_GE.dat
[2011.11.29 21:32:32 | 000,001,104 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_EN.dat
[2011.11.29 21:32:32 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2011.11.29 21:31:40 | 000,001,864 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CX4300_5500_DX4400 Handbuch.lnk
[2011.11.29 21:30:40 | 000,000,665 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\EPSON Scan.lnk
[2011.11.29 21:30:09 | 000,000,027 | ---- | C] () -- C:\WINDOWS\CDE DX4400DEFGIPS.ini
[2011.11.29 20:40:15 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Desktop\u806d4y1.exe
[2011.11.29 20:08:51 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\defogger_reenable
[2011.11.29 20:07:59 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Desktop\Defogger.exe
[2011.11.24 15:54:12 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk
[2011.11.24 15:14:14 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.11.24 15:08:27 | 000,000,100 | ---- | C] () -- C:\index.ini
[2011.11.24 15:06:04 | 000,000,685 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft HiJackFree.lnk
[2011.11.21 07:51:24 | 000,000,060 | ---- | C] () -- C:\WINDOWS\System\cmicnfg.ini
[2011.11.04 17:55:25 | 000,000,072 | ---- | C] () -- C:\WINDOWS\System32\blckdom.res
[2011.10.13 11:02:00 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2011.10.09 17:23:47 | 002,529,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\[j0007]-[p12].bmp
[2011.10.09 17:23:38 | 002,529,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\[j0007]-[p11].bmp
[2011.10.09 17:23:34 | 002,529,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\[j0007]-[p10].bmp
[2011.10.09 17:23:30 | 002,529,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\[j0007]-[p09].bmp
[2011.10.09 17:23:26 | 002,529,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\[j0007]-[p08].bmp
[2011.10.09 17:23:19 | 002,529,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\[j0007]-[p07].bmp
[2011.10.09 17:23:12 | 002,529,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\[j0007]-[p06].bmp
[2011.10.09 17:23:08 | 002,529,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\[j0007]-[p05].bmp
[2011.10.09 17:23:04 | 002,529,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\[j0007]-[p04].bmp
[2011.10.09 17:23:00 | 002,529,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\[j0007]-[p03].bmp
[2011.10.09 17:22:56 | 002,529,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\[j0007]-[p02].bmp
[2011.10.09 17:22:49 | 002,529,622 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\[j0007]-[p01].bmp
[2011.05.26 12:45:09 | 000,000,103 | ---- | C] () -- C:\WINDOWS\wiso.ini
[2011.03.04 18:20:03 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2011.02.17 11:30:25 | 000,000,035 | ---- | C] () -- C:\WINDOWS\A5W.INI
[2011.02.17 11:23:46 | 000,000,391 | ---- | C] () -- C:\WINDOWS\PowerReg.dat
[2010.11.09 21:26:18 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.11.08 15:19:43 | 000,005,632 | ---- | C] () -- C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.03 16:32:57 | 000,231,353 | ---- | C] () -- C:\WINDOWS\hpoins47.dat
[2010.11.03 16:32:57 | 000,000,601 | ---- | C] () -- C:\WINDOWS\hpomdl47.dat
[2010.11.03 16:11:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010.11.03 15:49:58 | 002,293,194 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2010.11.03 15:45:34 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2010.11.03 15:41:12 | 000,240,592 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2010.11.03 15:41:11 | 000,240,592 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2010.11.03 15:41:11 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2010.11.03 15:32:56 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2010.11.03 15:04:12 | 000,008,632 | R--- | C] () -- C:\WINDOWS\PRISMDOM.ini
[2010.11.03 14:58:26 | 000,233,472 | R--- | C] () -- C:\WINDOWS\System32\cmirmdrv.exe
[2010.11.03 14:58:26 | 000,028,672 | R--- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2010.11.03 14:52:47 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.11.03 14:49:38 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2010.11.03 14:45:45 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.11.03 14:44:55 | 000,115,768 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2003.04.02 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2003.04.02 13:00:00 | 000,448,470 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2003.04.02 13:00:00 | 000,432,356 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2003.04.02 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2003.04.02 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2003.04.02 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2003.04.02 13:00:00 | 000,079,910 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2003.04.02 13:00:00 | 000,067,312 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2003.04.02 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2003.04.02 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2003.04.02 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2003.04.02 13:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2003.04.02 13:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2003.04.02 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2001.09.04 14:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.09.04 14:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
 
========== LOP Check ==========
 
[2011.05.26 12:45:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
[2011.11.29 21:29:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2011.11.29 21:37:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2011.05.26 15:24:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Harald\Anwendungsdaten\Buhl Data Service
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011.11.29 22:01:23 | 000,000,000 | RHSD | M] -- C:\cmdcons
[2011.11.29 22:45:04 | 000,000,000 | ---D | M] -- C:\ComboFix
[2011.11.30 09:04:14 | 000,000,000 | ---D | M] -- C:\Config.Msi
[2010.11.03 14:54:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2011.02.13 16:32:46 | 000,000,000 | ---D | M] -- C:\FFW
[2010.11.03 16:03:53 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2011.02.17 11:38:28 | 000,000,000 | ---D | M] -- C:\Palm
[2011.11.29 23:17:31 | 000,000,000 | R--D | M] -- C:\Programme
[2011.11.29 22:45:03 | 000,000,000 | ---D | M] -- C:\Qoobox
[2011.11.30 00:20:23 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2010.11.03 16:25:13 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.11.30 09:06:39 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2010.11.03 14:59:04 | 000,000,000 | ---D | M] -- C:\WUTemp
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.manifest /3 >
[3 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: EXPLORER.EXE  >
[2003.04.02 13:00:00 | 001,007,104 | ---- | M] (Microsoft Corporation) MD5=22B0A56E6C5847292437078B484EC61B -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2004.08.04 08:57:53 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\ERDNT\cache\explorer.exe
[2004.08.04 08:57:53 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\explorer.exe
[2004.08.04 08:57:53 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2004.08.04 08:58:09 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\ERDNT\cache\regedit.exe
[2004.08.04 08:58:09 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\regedit.exe
[2004.08.04 08:58:09 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe
[2008.04.14 03:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\regedit.exe
[2003.04.02 13:00:00 | 000,141,312 | ---- | M] (Microsoft Corporation) MD5=FD95FFECC4B1FE72597D7FA6AF8C2870 -- C:\WINDOWS\$NtServicePackUninstall$\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\userinit.exe
[2003.04.02 13:00:00 | 000,022,528 | ---- | M] (Microsoft Corporation) MD5=BEBD3F08461F9A88E5ABCE0CB9707000 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
[2004.08.04 08:58:16 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\ERDNT\cache\userinit.exe
[2004.08.04 08:58:16 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2004.08.04 08:58:16 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 08:58:19 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\ERDNT\cache\winlogon.exe
[2004.08.04 08:58:19 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2004.08.04 08:58:19 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe
[2003.04.02 13:00:00 | 000,521,728 | ---- | M] (Microsoft Corporation) MD5=616896B708286DA98D6A099293F181D7 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2010.05.02 09:24:36 | 001,851,008 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-11-25 19:08:45
 
<           >

< End of report >
--- --- ---
Alt 30.11.2011, 12:07   #22
Larusso
/// Selecta Jahrusso
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


Tha, da haben wir das Kerlchen

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, dass kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:
ATTFilter
Folder::
c:\windows\system32\5049
c:\windows\system32\5048
c:\windows\system32\5047
c:\windows\system32\5045
c:\windows\system32\5042
c:\windows\system32\5041
c:\windows\system32\5040
c:\windows\system32\NtmsData
c:\windows\system32\5039
c:\windows\system32\5038
c:\windows\system32\xmldm

ClearJavaCache::

Reboot::
Speichere dies als CFScript.txt auf deinem Desktop.
Wichtig:
  • Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern. Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher, dass ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.


  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.


Bitte poste in deiner nächsten Antwort
Combofix.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 30.11.2011, 12:54   #23
lala181
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


Hier das file übrigens seit dem combofix von eben ist mein Avira aus der Taskleiste verschwunden!!!

Combofix Logfile:
Code:
ATTFilter
ComboFix 11-11-30.01 - Harald 30.11.2011  12:34:22.3.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.2047.1565 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Harald\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Harald\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\5038
c:\windows\system32\5038\chrome.manifest
c:\windows\system32\5038\components\AcroFF.txt
c:\windows\system32\5038\install.rdf
c:\windows\system32\5039
c:\windows\system32\5039\chrome.manifest
c:\windows\system32\5039\components\AcroFF.txt
c:\windows\system32\5039\install.rdf
c:\windows\system32\5040
c:\windows\system32\5040\chrome.manifest
c:\windows\system32\5040\components\AcroFF.txt
c:\windows\system32\5040\install.rdf
c:\windows\system32\5041
c:\windows\system32\5041\chrome.manifest
c:\windows\system32\5041\components\AcroFF.txt
c:\windows\system32\5041\install.rdf
c:\windows\system32\5042
c:\windows\system32\5042\chrome.manifest
c:\windows\system32\5042\components\AcroFF.txt
c:\windows\system32\5042\install.rdf
c:\windows\system32\5045
c:\windows\system32\5045\chrome.manifest
c:\windows\system32\5045\components\AcroFF.txt
c:\windows\system32\5045\components\AcroFF0455.dll
c:\windows\system32\5045\components\AcroFF0456.dll
c:\windows\system32\5045\components\AcroFF0457.dll
c:\windows\system32\5045\components\AcroFF0458.dll
c:\windows\system32\5045\install.rdf
c:\windows\system32\5047
c:\windows\system32\5047\chrome.manifest
c:\windows\system32\5047\components\AcroFF.txt
c:\windows\system32\5047\components\AcroFF0475.dll
c:\windows\system32\5047\components\AcroFF0476.dll
c:\windows\system32\5047\components\AcroFF0477.dll
c:\windows\system32\5047\components\AcroFF0478.dll
c:\windows\system32\5047\install.rdf
c:\windows\system32\5048
c:\windows\system32\5048\chrome.manifest
c:\windows\system32\5048\components\AcroFF.txt
c:\windows\system32\5048\components\AcroFF0485.dll
c:\windows\system32\5048\components\AcroFF0486.dll
c:\windows\system32\5048\components\AcroFF0487.dll
c:\windows\system32\5048\components\AcroFF0488.dll
c:\windows\system32\5048\install.rdf
c:\windows\system32\5049
c:\windows\system32\5049\chrome.manifest
c:\windows\system32\5049\components\AcroFF.txt
c:\windows\system32\5049\components\AcroFF0498.dll
c:\windows\system32\5049\install.rdf
c:\windows\system32\xmldm
D:\WINWORD.EXE
.
.
(((((((((((((((((((((((   Dateien erstellt von 2011-10-28 bis 2011-11-30  ))))))))))))))))))))))))))))))
.
.
2011-11-29 23:06 . 2011-11-29 23:06	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe
2011-11-29 22:17 . 2011-11-29 22:17	--------	d-----w-	c:\programme\ESET
2011-11-29 20:41 . 2002-07-25 16:06	282624	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\agent.exe
2011-11-29 20:37 . 2011-11-29 20:37	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\UDL
2011-11-29 20:35 . 2002-12-05 13:10	155648	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\0701\Intel32\iuser.dll
2011-11-29 20:29 . 2011-11-29 20:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON
2011-11-29 20:29 . 2004-09-10 20:12	49152	----a-w-	c:\windows\system32\E_DCINST.DLL
2011-11-29 20:29 . 2006-04-19 02:00	62976	----a-w-	c:\windows\system32\E_FD4BCAE.DLL
2011-11-29 20:29 . 2006-12-08 02:04	76800	----a-w-	c:\windows\system32\E_FLBCAE.DLL
2011-11-29 20:28 . 2006-12-27 23:00	66560	----a-w-	c:\windows\system32\eswia7e.dll
2011-11-29 20:28 . 2006-12-27 23:00	208896	----a-w-	c:\windows\system32\esint7e.dll
2011-11-29 20:28 . 2006-03-09 23:00	3584	----a-w-	c:\windows\system32\eswiaml.dll
2011-11-24 14:54 . 2011-11-24 14:54	--------	d-----w-	c:\programme\CCleaner
2011-11-24 14:14 . 2011-11-24 14:14	--------	d-----w-	c:\dokumente und einstellungen\Harald\Anwendungsdaten\Malwarebytes
2011-11-24 14:14 . 2011-11-24 14:14	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-11-24 14:14 . 2011-08-31 16:00	22216	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-11-24 14:14 . 2011-11-24 14:38	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2011-11-24 14:06 . 2011-11-24 14:37	--------	d-----w-	c:\programme\Emsisoft HiJackFree
2011-11-13 10:44 . 2011-11-24 16:49	--------	d-----w-	c:\windows\system32\NtmsData
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-06 08:47 . 2010-11-03 14:41	90112	----a-w-	c:\windows\DUMP3846.tmp
2011-11-09 16:27 . 2011-10-06 14:40	134104	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
Kryptografiedienst Fehler !!
.
(((((((((((((((((((((((((((((   SnapShot@2011-11-29_21.05.40   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-03-04 17:19 . 2011-11-29 21:33	90112              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\xlicons.exe
- 2011-03-04 17:19 . 2011-11-29 20:44	90112              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\xlicons.exe
- 2011-03-04 17:19 . 2011-11-29 20:44	45056              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\wordicon.exe
+ 2011-03-04 17:19 . 2011-11-29 21:33	45056              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\wordicon.exe
- 2011-03-04 17:19 . 2011-11-29 20:44	22528              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\unbndico.exe
+ 2011-03-04 17:19 . 2011-11-29 21:33	22528              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\unbndico.exe
+ 2011-03-04 17:19 . 2011-11-29 21:33	30720              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\pptico.exe
- 2011-03-04 17:19 . 2011-11-29 20:44	30720              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\pptico.exe
+ 2011-03-04 17:19 . 2011-11-29 21:33	16384              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\PEicons.exe
- 2011-03-04 17:19 . 2011-11-29 20:44	16384              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\PEicons.exe
+ 2011-03-04 17:19 . 2011-11-29 21:33	34304              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\misc.exe
- 2011-03-04 17:19 . 2011-11-29 20:44	34304              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\misc.exe
+ 2011-03-04 17:19 . 2011-11-29 21:33	81920              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\fpicon.exe
- 2011-03-04 17:19 . 2011-11-29 20:44	81920              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\fpicon.exe
+ 2011-06-06 11:55 . 2011-06-06 11:55	17304              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\ViewerPS.dll
+ 2011-06-06 11:55 . 2011-06-06 11:55	35736              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\reader_sl.exe
+ 2011-06-06 11:55 . 2011-06-06 11:55	88992              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\PDFPrevHndlr.dll
+ 2011-06-06 11:55 . 2011-06-06 11:55	94608              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\eula.exe
+ 2011-06-06 11:55 . 2011-06-06 11:55	49064              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\acrotextextractor.exe
+ 2011-06-06 11:55 . 2011-06-06 11:55	17824              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\AcroRd32Info.exe
+ 2011-06-06 11:55 . 2011-06-06 11:55	63912              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\acroiehelpershim.dll
+ 2011-06-06 11:55 . 2011-06-06 11:55	64928              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\AcroIEHelper.dll
+ 2011-06-06 11:55 . 2011-06-06 11:55	63384              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\Acrofx32.dll
- 2011-03-04 17:19 . 2011-11-29 20:44	3584              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\opwicon.exe
+ 2011-03-04 17:19 . 2011-11-29 21:33	3584              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\opwicon.exe
+ 2011-03-04 17:19 . 2011-11-29 21:33	8192              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\mspicons.exe
- 2011-03-04 17:19 . 2011-11-29 20:44	8192              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\mspicons.exe
+ 2011-03-04 17:19 . 2011-11-29 21:33	2560              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\cagicon.exe
- 2011-03-04 17:19 . 2011-11-29 20:44	2560              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\cagicon.exe
+ 2011-03-04 17:19 . 2011-11-29 21:33	114688              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\outicon.exe
- 2011-03-04 17:19 . 2011-11-29 20:44	114688              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\outicon.exe
- 2011-03-04 17:19 . 2011-11-29 20:44	167936              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\accicons.exe
+ 2011-03-04 17:19 . 2011-11-29 21:33	167936              c:\windows\Installer\{90280407-6000-11D3-8CFE-0050048383C9}\accicons.exe
+ 2011-06-06 11:55 . 2011-06-06 11:55	249232              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\sqlite.dll
+ 2011-06-06 11:55 . 2011-06-06 11:55	394136              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\pdfshell.dll
+ 2011-06-06 11:55 . 2011-06-06 11:55	103848              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\PDFPrevHndlrShim.exe
+ 2011-06-06 11:55 . 2011-06-06 11:55	183696              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\nppdf32.dll
+ 2011-06-06 11:55 . 2011-06-06 11:55	104344              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\AiodLite.dll
+ 2011-06-06 11:55 . 2011-06-06 11:55	102808              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\AcroRdIF.dll
+ 2011-06-06 11:55 . 2011-06-06 11:55	755088              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\AcroPDF.dll
+ 2011-06-06 11:55 . 2011-06-06 11:55	296344              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\acrobroker.exe
+ 2011-06-06 11:55 . 2011-06-06 11:55	205720              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\a3dutils.dll
+ 2011-11-29 23:07 . 2011-11-29 23:07	2310656              c:\windows\Installer\11936ff.msi
+ 2011-06-06 11:55 . 2011-06-06 11:55	2215312              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\rt3d.dll
+ 2011-06-06 11:55 . 2011-06-06 11:55	6543768              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\authplay.dll
+ 2011-06-06 11:55 . 2011-06-06 11:55	1240992              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\AdobeCollabSync.exe
+ 2011-06-06 11:55 . 2011-06-06 11:55	1480600              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\AcroRd32.exe
+ 2011-09-05 21:51 . 2011-09-05 21:51	13135872              c:\windows\Installer\1193700.msp
+ 2011-06-06 11:55 . 2011-06-06 11:55	24731544              c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA71301B744AA0100000010\10.1.0\AcroRd32.dll
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PRISMSTA.EXE"="PRISMSTA.EXE START" [X]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-07 281768]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
McAfee Security Scan Plus.lnk - c:\programme\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programme\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
.
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [x]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\programme\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 pqr3_d.sys;pqr3_d.sys;c:\windows\system32\drivers\pqr3_d.sys [x]
R3 PRISM_A00;PRISM 802.11g Driver;c:\windows\system32\DRIVERS\PRISMA00.sys [2003-08-07 362688]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2011-04-27 136360]
S3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\DRIVERS\PhTVTune.sys [2003-06-12 24704]
S3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys [x]
S3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPService	REG_MULTI_SZ   	HPSLPSVC
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://web.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: DhcpNameServer = 82.212.62.62 78.42.43.62
FF - ProfilePath - c:\dokumente und einstellungen\Harald\Anwendungsdaten\Mozilla\Firefox\Profiles\t0uk3u4a.default\
FF - prefs.js: browser.startup.homepage - hxxp://web.de/
FF - prefs.js: network.proxy.type - 0
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-11-30 12:40
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-11-30  12:41:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-11-30 11:41
ComboFix2.txt  2011-11-29 21:45
ComboFix3.txt  2011-11-29 21:06
.
Vor Suchlauf: 9 Verzeichnis(se), 67.588.374.528 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 67.673.497.600 Bytes frei
.
- - End Of File - - 428BB8A58C9E04F5D8A7F39328C8497E
--- --- ---
Alt 30.11.2011, 13:01   #24
Larusso
/// Selecta Jahrusso
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


Weil Combofix Avira ausschaltet wenn du es nicht, wie in den Anleitungen beschrieben, machst.

Gibt aber Dinge, um die wir uns jetzt vorher kümmern müssen.


Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument
Code:
ATTFilter
@echo off
sc query CryptSvc > "%temp%\crypt.txt"
notepad "%temp%\crypt.txt"
del %0
  • Wähle Datei --> Speichern unter
  • Dateiname: look.bat
  • Dateityp: Wähle Alle Dateien (*.*)
  • Speichere die Datei auf deinem Desktop.

    Es sollte nun ungefähr so aussehen
  • Starte die look.bat.
Vista und Win7 User: Mit Rechtsklick "als Administrator starten"


Es wird sich ein Textdokument öffnen, poste den Inhalt bitte hier.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 30.11.2011, 13:14   #25
lala181
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


Zur Info - hatte Avira deaktiviert!! Egal

Hier das Log

SERVICE_NAME: CryptSvc
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE,NOT_PAUSABLE,ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

Alt 30.11.2011, 13:25   #26
Larusso
/// Selecta Jahrusso
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


Update bitte Malwarebytes und lass einen Quickscan laufen.

Poste das Log in deiner nächsten Antwort
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 30.11.2011, 13:40   #27
lala181
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


Gefällt mir!!!

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8277

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

30.11.2011 13:36:38
mbam-log-2011-11-30 (13-36-38).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 155778
Laufzeit: 2 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 30.11.2011, 13:44   #28
Larusso
/// Selecta Jahrusso
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


Sehr gut.

Deinstalliere bitte ersteinmal Avira.
Starte den Rechner neu auf.

Wir müssen auf deinem System das Sp3 installieren.
Detail Seite Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler


Wenn das getan wurde.


Starte bitte OTL.exe und drücke den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread.



Bitte poste in deiner nächsten Antwort
OTL.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Alt 30.11.2011, 14:16   #29
lala181
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


Habe es heruntergeladen und beim Auführen kommt die MEldung es sei keine zulässige Win32 anwendung (WindowsXP-KB936929-SP3-x86-DEU.exe)
Hat es überhaupt vollständig heruntergeladen weil als Quickinfo kommt es dauert fast 13h

Alt 30.11.2011, 14:18   #30
Larusso
/// Selecta Jahrusso
 
Virus stolen.data system32 xmldm spy.banker - Standard

Virus stolen.data system32 xmldm spy.banker


Dann ist der Download möglicherweise fehlerhaft. Lade die Datei neu herunter
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie
Antwort
Seite 2 von 4 1 2 34

Themen zu Virus stolen.data system32 xmldm spy.banker
.dll, anti-malware, banker, browser, bösartige, data, dateien, explorer, helper, hijack.userinit, logdatei, malware.gen, mehrere trojaner, microsoft, minute, rechner, service, software, spy, spy.banker, stolen data, system, system32, trojan.passwords, trojan.ransomp.gen, trojaner, userinit, version, virus, winlogon, xmldm


« Ist mein MBR verseucht? | Vista lässt sich nur im abgesicherten Modus bedienen »


Ähnliche Themen: Virus stolen.data system32 xmldm spy.banker


  1. stolen.data gefunden
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (13)
  2. Stolen.data
    Plagegeister aller Art und deren Bekämpfung - 20.07.2014 (13)
  3. Stolen.Data in Roaming/dclogs gefunden.
    Log-Analyse und Auswertung - 12.03.2014 (3)
  4. WinXp Trojan.Agent/Gen-Reputation Stolen.Data Trojan.Agent/Gen-DunDun Win32/Spy.Banker.YPK trojan
    Log-Analyse und Auswertung - 29.10.2013 (7)
  5. Stolen.Data in Quarantäne gestellt, was soll ich jetzt tun?
    Log-Analyse und Auswertung - 16.05.2013 (7)
  6. stolen.data virus system 32 xmldm kann nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 25.03.2013 (23)
  7. Wie schlimm ist diese Meldung? C:\WINDOWS\system32\xmldm\serial.dbg (Stolen.Data) -> Keine Aktion durchgeführt.
    Log-Analyse und Auswertung - 03.03.2013 (13)
  8. Worm.Dorkbot ; Malware.Trace ; Stolen.Data was ist damit zu tun?
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (3)
  9. Trojan.Banker, Trojan.Agent, Stolen.Data, Malware.Trace, was nun?
    Log-Analyse und Auswertung - 07.10.2012 (1)
  10. von acroiehelpe.dll jetzt zu C:\WINDOWS\system32\xmldm (Stolen.Data)
    Plagegeister aller Art und deren Bekämpfung - 21.04.2012 (26)
  11. Stolen.Data in D:\WINDOWS\System32\xmldm
    Log-Analyse und Auswertung - 29.03.2012 (5)
  12. mehrere Trojaner (Spy Banker, Stolen Data, Malware Gen/Trace, Trojan Passwords, Zbot)
    Log-Analyse und Auswertung - 20.12.2011 (21)
  13. Mehrere Hundert infizierte Dateien - Stolen Data
    Plagegeister aller Art und deren Bekämpfung - 27.10.2011 (20)
  14. Stolen.Data False Positive oder Malware?
    Log-Analyse und Auswertung - 15.09.2011 (29)
  15. stolen.data richtig entfernt? bzw. weitere Viren/Trojaner auf system?
    Plagegeister aller Art und deren Bekämpfung - 07.08.2011 (23)
  16. Firefox loggt alle Zugriffsdaten im Verzeichnis windows/system32/xmldm
    Plagegeister aller Art und deren Bekämpfung - 12.11.2010 (32)
  17. mein pc ist mit viren übersat ! Trojan.Banker, Stolen.Data , Hijack.Userlnit
    Log-Analyse und Auswertung - 12.11.2010 (21)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Virus stolen.data system32 xmldm spy.banker - He Glaubst du nicht ich hab anderes zu tun ? Ich liege hier mit 39 Grad Fieber und nehm meinen Kopf denoch her um dir zu helfen !! Also hör - Virus stolen.data system32 xmldm spy.banker...
Archiv
Du betrachtest: Virus stolen.data system32 xmldm spy.banker auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55