Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 30.12.2011, 11:56   #1
brendiee
 
TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Standard

TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe



Hallo,

bei mir hat heute Avira gemeldet, das in der Datei C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe die Malware TR/Crypt.EPACK.Gen2 gefunden wurde.

Das System wurde dann nochmal von Avira gescannt, die Datei in die Quarantäne verschoben und der "Registrierungseintrag <HKEY_USERS\S-1-5-21-2937210064-2139763926-4095325878-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ofiz.exe> wurde erfolgreich repariert."

Da ich schon im Forum ein wenig gelesen habe und die Datei bei virustotal scannen lassen wollte, habe ich die Datei nochmal aus der Quarantäne wiederhergestellt. Dabei kam die Meldung Datei bereits vorhanden! Der log von Virustotal:

file name: ofiz.exe
Submission date:
2011-12-30 09:32:59 (UTC)
Current status:
finished
Result:
10/ 43 (23.3%)

Antivirus Version Last Update Result
AhnLab-V3 2011.12.30.00 2011.12.30 -
AntiVir 7.11.20.90 2011.12.30 TR/Crypt.EPACK.Gen2
Antiy-AVL 2.0.3.7 2011.12.30 -
Avast 6.0.1289.0 2011.12.29 Win32:Spyware-gen [Spy]
AVG 10.0.0.1190 2011.12.30 -
BitDefender 7.2 2011.12.30 Gen:Variant.Kazy.50946
ByteHero 1.0.0.1 2011.12.07 -
CAT-QuickHeal 12.00 2011.12.30 (Suspicious) - DNAScan
ClamAV 0.97.3.0 2011.12.29 -
Commtouch 5.3.2.6 2011.12.29 -
Comodo 11137 2011.12.30 -
DrWeb 5.0.2.03300 2011.12.30 Trojan.PWS.Panda.1505
Emsisoft 5.1.0.11 2011.12.30 -
eSafe 7.0.17.0 2011.12.29 Suspicious File
eTrust-Vet 37.0.9654 2011.12.30 -
F-Prot 4.6.5.141 2011.12.29 -
F-Secure 9.0.16440.0 2011.12.30 Gen:Variant.Kazy.50946
Fortinet 4.3.388.0 2011.12.30 -
GData 22 2011.12.30 Gen:Variant.Kazy.50946
Ikarus T3.1.1.109.0 2011.12.30 -
Jiangmin 13.0.900 2011.12.29 -
K7AntiVirus 9.120.5806 2011.12.29 -
Kaspersky 9.0.0.837 2011.12.30 Trojan-Spy.Win32.Zbot.dcjl
McAfee 5.400.0.1158 2011.12.30 -
McAfee-GW-Edition 2010.1E 2011.12.30 -
Microsoft 1.7903 2011.12.30 -
NOD32 6753 2011.12.30 -
Norman 6.07.13 2011.12.30 -
nProtect 2011-12-30.01 2011.12.30 -
Panda 10.0.3.5 2011.12.29 Malicious Packer
PCTools 8.0.0.5 2011.12.30 -
Prevx 3.0 2011.12.30 -
Rising 23.90.04.02 2011.12.30 -
Sophos 4.72.0 2011.12.30 -
SUPERAntiSpyware 4.40.0.1006 2011.12.29 -
Symantec 20111.2.0.82 2011.12.30 -
TheHacker 6.7.0.1.367 2011.12.29 -
TrendMicro 9.500.0.1008 2011.12.30 -
TrendMicro-HouseCall 9.500.0.1008 2011.12.30 -
VBA32 3.12.16.4 2011.12.29 -
VIPRE 11324 2011.12.30 -
ViRobot 2011.12.30.4855 2011.12.30 -
VirusBuster 14.1.140.0 2011.12.29 -


Habe OTL 3.2.31.0 runtergeladen und OTL.exe als Administrator ausgeführt, Minimal Output gewählt, SafeList war überall voreingestellt, scanne alle Benutzer.

Hier die beiden logs:

OTL logfile created on: 30.12.2011 11:07:18 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Surfer\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1013,23 Mb Total Physical Memory | 328,99 Mb Available Physical Memory | 32,47% Memory free
2,38 Gb Paging File | 1,67 Gb Available in Paging File | 70,13% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 139,39 Gb Total Space | 103,94 Gb Free Space | 74,57% Space Free | Partition Type: NTFS
Drive D: | 9,65 Gb Total Space | 2,97 Gb Free Space | 30,75% Space Free | Partition Type: FAT32

Computer Name: SUBNOTE1 | User Name: Bummi | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - C:\Dokumente und Einstellungen\Surfer\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avcenter.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
PRC - C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
PRC - C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe (Check Point Software Technologies)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\RALINK\Common\RaUI.exe (Ralink Technology, Corp.)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
PRC - C:\Programme\System Control Manager\MGSysCtrl.exe (Mirco-Star International CO., LTD.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\System Control Manager\MSIService.exe ()
PRC - C:\WINDOWS\system32\PSIService.exe ()
PRC - C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe (AVM Berlin)


========== Modules (No Company Name) ==========

MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.ServiceProce#\70a1400affdc775d7c7398e036359286\System.ServiceProcess.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Management\6e563a58e6fc0117070d5b8fd59e4e1b\System.Management.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Security\de9cd25ccb24bcf8a0316756e766721f\System.Security.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\77df2cd21a5b85a1605b335aa9ad9d44\System.Configuration.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\10154dcad2d62f226af2fd4211460a4b\System.Xml.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\e6c79e1d71b0c9000afd7e5e439b5c54\System.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\0309936a8e1672d39b9cf14463ce69f9\mscorlib.ni.dll ()
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\WINDOWS\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll ()
MOD - C:\WINDOWS\assembly\GAC_MSIL\System.ServiceProcess.resources\2.0.0.0_de_b03f5f7f11d50a3a\System.ServiceProcess.resources.dll ()
MOD - C:\Programme\System Control Manager\MSIService.exe ()
MOD - C:\Programme\System Control Manager\MSIWmiAcpi.dll ()
MOD - C:\WINDOWS\system32\PSIService.exe ()


========== Win32 Services (SafeList) ==========

SRV - (HidServ) -- File not found
SRV - (AppMgmt) -- File not found
SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft Limited)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (vsmon) -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe (Check Point Software Technologies LTD)
SRV - (IswSvc) -- C:\Programme\CheckPoint\ZAForceField\IswSvc.exe (Check Point Software Technologies)
SRV - (nosGetPlusHelper) getPlus(R) -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll (NOS Microsystems Ltd.)
SRV - (RalinkRegistryWriter) -- C:\Programme\RALINK\Common\RaRegistry.exe (Ralink Technology, Corp.)
SRV - (VMCService) -- C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
SRV - (Micro Star SCM) -- C:\Programme\System Control Manager\MSIService.exe ()
SRV - (ProtexisLicensing) -- C:\WINDOWS\system32\PSIService.exe ()
SRV - (avmidentd) -- C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe (AVM Berlin)


========== Driver Services (SafeList) ==========

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ISWKL) -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys (Check Point Software Technologies)
DRV - (Lavasoft Kernexplorer) -- C:\Programme\Lavasoft\Ad-Aware\kernexplorer.sys ()
DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Check Point Software Technologies LTD)
DRV - (RT80x86) -- C:\WINDOWS\system32\drivers\rt2860.sys (Ralink Technology, Corp.)
DRV - (ewusbnet) -- C:\WINDOWS\system32\drivers\ewusbnet.sys (Huawei Technologies Co., Ltd.)
DRV - (hwusbfake) -- C:\WINDOWS\system32\drivers\ewusbfake.sys (Huawei Technologies Co., Ltd.)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (Scutum50) -- C:\WINDOWS\system32\drivers\Scutum50.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (hwdatacard) -- C:\WINDOWS\system32\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (tcpipBM) -- C:\WINDOWS\System32\drivers\tcpipBM.sys (Bytemobile, Inc.)
DRV - (RSUSBSTOR) -- C:\WINDOWS\system32\drivers\RTS5121.sys (Realtek Semiconductor Corporation)
DRV - (RTLE8023xp) -- C:\WINDOWS\system32\drivers\Rtenicxp.sys (Realtek Semiconductor Corporation )
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========



IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-2937210064-2139763926-4095325878-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-2937210064-2139763926-4095325878-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-21-2937210064-2139763926-4095325878-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/
IE - HKU\S-1-5-21-2937210064-2139763926-4095325878-1006\..\URLSearchHook: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZone.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-2937210064-2139763926-4095325878-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-21-2937210064-2139763926-4095325878-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-2937210064-2139763926-4095325878-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-21-2937210064-2139763926-4095325878-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/
IE - HKU\S-1-5-21-2937210064-2139763926-4095325878-1008\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.91
FF - prefs.js..extensions.enabledItems: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}:2.7.1.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {FFB96CC1-7EB3-449D-B827-DB661701C6BB}:1.5.265.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..keyword.URL: "chrome://browser-region/locale/region.properties"

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nosltd.com/getPlus+(R),version=1.6.2.91: C:\Programme\NOS\bin\np_gp.dll (NOS Microsystems Ltd.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Programme\CheckPoint\ZAForceField\TrustChecker [2011.04.01 15:08:59 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ff-bmboc@bytemobile.com: C:\Programme\Vodafone\Vodafone Mobile Connect\Optimization Client\addon\ [2011.07.15 10:24:32 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.10.11 12:42:08 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.09.17 14:17:11 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Thunderbird\Extensions\\{380AE6CB-09B9-4373-B360-D01C2462A6E7}: C:\Programme\BullGuard Ltd\BullGuard\backup\thunderbirdbkplugin
FF - HKEY_CURRENT_USER\software\mozilla\Thunderbird\Extensions\\{0E810812-F4BB-4309-942A-755587587A5E}: C:\Programme\BullGuard Ltd\BullGuard\antispam\tbspamfilter

[2008.10.23 19:37:23 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Bummi\Anwendungsdaten\Mozilla\Extensions
[2011.10.11 12:46:39 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Bummi\Anwendungsdaten\Mozilla\Firefox\Profiles\t1kly8xu.default\extensions
[2011.10.11 12:46:39 | 000,000,000 | ---D | M] (ZoneAlarm-Sicherheit Community Toolbar) -- C:\Dokumente und Einstellungen\Bummi\Anwendungsdaten\Mozilla\Firefox\Profiles\t1kly8xu.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}
[2011.05.10 06:30:57 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Bummi\Anwendungsdaten\Mozilla\Firefox\Profiles\t1kly8xu.default\extensions\nostmp
[2011.07.05 19:11:04 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.03.20 11:09:20 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011.04.29 15:50:02 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
[2011.07.05 19:11:04 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2011.03.20 11:09:01 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2009.09.05 11:28:40 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011.10.11 12:42:07 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.05.04 03:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.10.11 12:42:02 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.10.11 12:42:02 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.10.11 12:42:02 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.10.11 12:42:02 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.10.11 12:42:02 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.10.11 12:42:02 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2008.04.14 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZone.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKLM\..\Toolbar: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZone.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-2937210064-2139763926-4095325878-1006\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKU\S-1-5-21-2937210064-2139763926-4095325878-1008\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [ISW] C:\Programme\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)
O4 - HKLM..\Run: [LanguageShortcut] C:\Programme\HomeCinema\PowerDVD\Language\Language.exe ()
O4 - HKLM..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe (Mirco-Star International CO., LTD.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [UCam_Menu] C:\Programme\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [ZoneAlarm Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Check Point Software Technologies LTD)
O4 - HKU\S-1-5-21-2937210064-2139763926-4095325878-1008..\Run: [BullGuard] "C:\Programme\BullGuard Ltd\BullGuard\bullguard.exe" File not found
O4 - HKU\S-1-5-21-2937210064-2139763926-4095325878-1008..\Run: [ofiz.exe] "C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe" File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe (Ralink Technology, Corp.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2937210064-2139763926-4095325878-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2937210064-2139763926-4095325878-1008\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4 File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4 File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - %SystemRoot%\System32\mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - %SystemRoot%\System32\mswsock.dll File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - %SystemRoot%\System32\mswsock.dll File not found
O15 - HKU\S-1-5-21-2937210064-2139763926-4095325878-1006\..Trusted Domains: internet ([]about in Internet)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1218105216062 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1219728850859 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{361CAB18-4F39-41C0-957C-7CE3012795C8}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\MDHG1.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\MDHG1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.08.07 10:29:13 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2007.02.08 10:48:36 | 000,000,655 | RH-- | M] () - D:\AUTOEXEC.BAT -- [ FAT32 ]
O33 - MountPoints2\{1a0f6c1a-aec4-11e0-b97c-002243260464}\Shell - "" = AutoRun
O33 - MountPoints2\{1a0f6c1a-aec4-11e0-b97c-002243260464}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{1a0f6c1a-aec4-11e0-b97c-002243260464}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{1a0f6c1b-aec4-11e0-b97c-002243260464}\Shell - "" = AutoRun
O33 - MountPoints2\{1a0f6c1b-aec4-11e0-b97c-002243260464}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{1a0f6c1b-aec4-11e0-b97c-002243260464}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{42323516-7c7b-11df-b90d-002243260464}\Shell - "" = AutoRun
O33 - MountPoints2\{42323516-7c7b-11df-b90d-002243260464}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{42323516-7c7b-11df-b90d-002243260464}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{4232351a-7c7b-11df-b90d-002243260464}\Shell - "" = AutoRun
O33 - MountPoints2\{4232351a-7c7b-11df-b90d-002243260464}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4232351a-7c7b-11df-b90d-002243260464}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{a78ccc14-cd28-11df-b934-002243260464}\Shell - "" = AutoRun
O33 - MountPoints2\{a78ccc14-cd28-11df-b934-002243260464}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a78ccc14-cd28-11df-b934-002243260464}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{a78ccc18-cd28-11df-b934-002243260464}\Shell - "" = AutoRun
O33 - MountPoints2\{a78ccc18-cd28-11df-b934-002243260464}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{a78ccc18-cd28-11df-b934-002243260464}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{ee4e4846-ae68-11df-b929-002243260464}\Shell - "" = AutoRun
O33 - MountPoints2\{ee4e4846-ae68-11df-b929-002243260464}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ee4e4846-ae68-11df-b929-002243260464}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\Shell - "" = AutoRun
O33 - MountPoints2\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{effb9ad2-6922-11dd-a679-0015afbc7f7a}\Shell\AutoRun\command - "" = E:\LaunchU3.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (lsdelete)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2011.12.14 07:12:42 | 000,000,064 | ---- | M] () -- C:\WINDOWS\System32\rp_stats.dat
[2011.12.14 07:12:42 | 000,000,044 | ---- | M] () -- C:\WINDOWS\System32\rp_rules.dat
[2011.12.14 07:12:31 | 000,000,484 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2011.12.14 07:11:22 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.12.14 07:11:20 | 1062,526,976 | -HS- | M] () -- C:\hiberfil.sys
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.04.29 21:32:43 | 000,000,064 | ---- | C] () -- C:\WINDOWS\System32\rp_stats.dat
[2011.04.29 21:32:43 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\rp_rules.dat
[2010.06.19 15:21:38 | 000,013,931 | ---- | C] () -- C:\WINDOWS\System32\RaCoInst.dat
[2010.06.19 15:10:51 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\DiagFunc.dll
[2010.06.19 15:10:51 | 000,001,191 | ---- | C] () -- C:\WINDOWS\System32\W32N55.INI
[2010.06.19 15:10:51 | 000,000,449 | ---- | C] () -- C:\WINDOWS\System32\DiagFunc.ini
[2010.03.31 09:57:56 | 000,015,880 | ---- | C] () -- C:\WINDOWS\System32\lsdelete.exe
[2009.06.16 12:25:02 | 000,121,512 | R--- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DeviceManager.xml.rc4
[2008.11.20 18:23:07 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat
[2008.11.20 18:22:54 | 000,796,048 | ---- | C] () -- C:\WINDOWS\System32\libeay32_0.9.6l.dll
[2008.10.25 22:43:42 | 000,000,376 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008.10.23 19:37:25 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008.08.15 09:18:37 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2008.08.13 08:41:44 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\Hooks.dll
[2008.08.08 13:43:43 | 000,000,361 | ---- | C] () -- C:\WINDOWS\WISO.INI
[2008.08.08 08:14:00 | 000,002,456 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2008.08.07 11:14:02 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.08.07 11:12:23 | 000,139,648 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008.08.07 11:01:58 | 006,184,960 | ---- | C] () -- C:\WINDOWS\System32\RTS5121icon.dll
[2008.08.07 10:58:43 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2008.08.07 10:51:10 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4906.dll
[2008.08.07 10:32:10 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008.08.07 10:26:18 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.04.14 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008.04.14 13:00:00 | 000,449,492 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008.04.14 13:00:00 | 000,433,138 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008.04.14 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008.04.14 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008.04.14 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008.04.14 13:00:00 | 000,080,754 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008.04.14 13:00:00 | 000,068,094 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008.04.14 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008.04.14 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008.04.14 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008.04.14 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008.04.14 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008.04.14 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2006.11.02 19:40:12 | 000,174,656 | ---- | C] () -- C:\WINDOWS\System32\PSIService.exe
[2001.09.04 14:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.09.04 14:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

< End of report >

OTL Extras logfile created on: 30.12.2011 11:07:18 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Surfer\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

1013,23 Mb Total Physical Memory | 328,99 Mb Available Physical Memory | 32,47% Memory free
2,38 Gb Paging File | 1,67 Gb Available in Paging File | 70,13% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 139,39 Gb Total Space | 103,94 Gb Free Space | 74,57% Space Free | Partition Type: NTFS
Drive D: | 9,65 Gb Total Space | 2,97 Gb Free Space | 30,75% Space Free | Partition Type: FAT32

Computer Name: SUBNOTE1 | User Name: Bummi | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

[HKEY_USERS\S-1-5-21-2937210064-2139763926-4095325878-1006\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[HKEY_USERS\S-1-5-21-2937210064-2139763926-4095325878-1008\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNetisabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNetisabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNetisabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNetisabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNetisabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNetisabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\ZoneLabs\vsmon.exe" = C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:vsmon -- (Check Point Software Technologies LTD)
"C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe" = C:\Programme\FRITZ!Box-Kindersicherung\avmident.exe:*:Enabled:AVM FRITZ!Box Kindersicherung -- (AVM Berlin)


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"_{54DB13F1-0CE0-4BAB-BD5F-7DE150C043C8}" = WordPerfect Office X3
"_{ADDBE07D-95B8-4789-9C76-187FFF9624B4}" = CorelDRAW Essential Edition 3
"{00000409-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{00203668-8170-44A0-BE44-B632FA4D780F}" = Adobe AIR
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java(TM) 6 Update 26
"{2B091530-69AA-442E-AB09-39ED06B58220}" = Windows Live Messenger
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4737AD9F-13AA-4E4C-B86F-B631D557F6A7}" = e-Wörterbücher
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{54DB13F1-0CE0-4BAB-BD5F-7DE150C043C8}" = WordPerfect Office X3
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{76EFFC7C-17A6-479D-9E47-8E658C1695AE}" = Windows-Sicherungsprogramm
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{77DCDCE3-2DED-62F3-8154-05E745472D07}" = Acrobat.com
"{79A64F98-1796-4FA2-B5FF-C90F83D8BACD}" = Vodafone Mobile Connect Lite
"{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}" = Windows Live installer
"{82F2B38B-1426-443D-874C-AC25675E7BEB}" = Windows Live Mail
"{83E2CFA9-E0EB-4E08-9F85-43E577FF3D60}" = Windows Live Anmelde-Assistent
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8FC4F1DD-F7FD-4766-804D-3C8FF1D309AF}" = Ralink RT2860 Wireless LAN Card
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A040AC77-C1AA-4CC9-8931-9F648AF178F6}" = VC 9.0 Runtime
"{A062A15F-9CAC-4B88-98DF-87628A0BD721}" = Corel MediaOne
"{A1D08B90-AE1A-4885-AC29-731496FD397E}" = Windows Live Fotogalerie
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A334F1BA-0A1D-4ED6-B4F9-4066157CA15D}" = DE
"{A47AFECA-7F0F-471A-82A3-68DEB673A311}" = AVM FRITZ!Box-Kindersicherung
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.6 - Deutsch
"{ADDBE07D-95B8-4789-9C76-187FFF9624B4}" = CorelDRAW Essential Edition 3
"{B8D42C3A-3CFF-4A8A-A7DA-4F44474D12C5}" = Windows Live Writer
"{BAC80EF3-E106-4AEA-8C57-F217F9BC7358}" = Microsoft SQL Server 2005 Compact Edition [DEU]
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D10CB652-9332-4242-B7A9-2D61570144F7}" = USB 2.0 Card Reader
"{D8D22773-14BF-4178-A683-3DBA515C2A26}" = WISO Mein Geld 2008 Professional
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware
"{E0091C29-DEE8-4B24-BF65-8C35B5940D77}" = Letstrade
"{E2883E8F-472F-4fb0-9522-AC9BF37916A7}" = Adobe Download Manager
"{ED9C5D25-55DF-48D8-9328-2AC0D75DE5D8}" = System Control Manager
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}" = Visual C++ 2008 x86 Runtime - (v9.0.30729)
"{F333A33D-125C-32A2-8DCE-5C5D14231E27}.vc_x86runtime_30729_01" = Visual C++ 2008 x86 Runtime - v9.0.30729.01
"{F3D92514-CD5D-4E96-BE88-8258EB9BF85A}" = Azurewave Wireless LAN
"{F428D0FB-765D-40EB-BDD8-A1E7F5C597FA}" = Update Manager
"Ad-Aware" = Ad-Aware
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Acrobat.com
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}" = CyberLink YouCam
"LetsTrade" = LetsTrade Komponenten
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 7.0.1 (x86 de)" = Mozilla Firefox 7.0.1 (x86 de)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"ZoneAlarm" = ZoneAlarm
"ZoneAlarm Toolbar" = ZoneAlarm Toolbar

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 07.12.2011 05:57:48 | Computer Name = SUBNOTE1 | Source = Lavasoft Ad-Aware Service | ID = 0
Description =

Error - 07.12.2011 14:14:21 | Computer Name = SUBNOTE1 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: The server name or address could not be resolved
.

Error - 07.12.2011 14:14:44 | Computer Name = SUBNOTE1 | Source = RalinkRegistryWriter | ID = 0
Description =

Error - 07.12.2011 14:14:52 | Computer Name = SUBNOTE1 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue

Error - 12.12.2011 09:57:44 | Computer Name = SUBNOTE1 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue

Error - 14.12.2011 02:12:11 | Computer Name = SUBNOTE1 | Source = RalinkRegistryWriter | ID = 0
Description =

Error - 14.12.2011 02:12:20 | Computer Name = SUBNOTE1 | Source = VMCService | ID = 0
Description = conflictManagerTypeValue

Error - 14.12.2011 02:13:04 | Computer Name = SUBNOTE1 | Source = Lavasoft Ad-Aware Service | ID = 0
Description =

Error - 14.12.2011 05:05:14 | Computer Name = SUBNOTE1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 7.0.1.4288, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Error - 14.12.2011 05:05:24 | Computer Name = SUBNOTE1 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 7.0.1.4288, Stillstandmodul
hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

[ System Events ]
Error - 13.12.2011 15:33:57 | Computer Name = SUBNOTE1 | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst stisvc.

Error - 14.12.2011 02:12:28 | Computer Name = SUBNOTE1 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Ralink Registry Writer" wurde mit folgendem Fehler beendet:
%%231

Error - 14.12.2011 09:28:04 | Computer Name = SUBNOTE1 | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst stisvc.

Error - 18.12.2011 10:15:11 | Computer Name = SUBNOTE1 | Source = BROWSER | ID = 8032
Description = Das Einlesen der Sicherungsliste durch den Suchdienst schlug auf Transport
"\Device\NetBT_Tcpip_{361CAB18-4F39-41C0-957C-7CE3012795C8}" zu oft fehl. Der Sicherungssuchdienst
wird beendet.

Error - 21.12.2011 09:27:06 | Computer Name = SUBNOTE1 | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 21.12.2011 09:27:06 | Computer Name = SUBNOTE1 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 21.12.2011 09:27:06 | Computer Name = SUBNOTE1 | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 21.12.2011 09:27:06 | Computer Name = SUBNOTE1 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

Error - 28.12.2011 09:35:32 | Computer Name = SUBNOTE1 | Source = W32Time | ID = 39452689
Description = Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten
Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15
Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar.
(0x80072751)

Error - 28.12.2011 09:35:32 | Computer Name = SUBNOTE1 | Source = W32Time | ID = 39452701
Description = Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren
Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der
nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle
herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.


< End of report >

Für Hilfe zum Entfernen der Malware wäre ich sehr dankbar. Ebenso für Hinweise, wie sich künftige Infektionen besser vermeiden lassen. Rechner ist eigentlich ausschliesslich als Gast im Internet, die updates führe ich meistens sofort aus.
Vielen Dank,

Alt 30.12.2011, 12:00   #2
markusg
/// Malware-holic
 
TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Standard

TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe



hi,
machst du mit dem pc onlinebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches?
__________________

__________________

Alt 30.12.2011, 12:06   #3
brendiee
 
TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Standard

TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe



Onlinebanking oder Einkäufe seit ca. 1 bis 2 Jahren nicht mehr. Berufliches läuft dagegen manchmal noch auf dem Rechner.
__________________

Alt 30.12.2011, 12:08   #4
markusg
/// Malware-holic
 
TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Standard

TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe



du hast einen trojaner der sensible daten klaut, ich würde daher mit dem pc kurzen prozess machen, ihn neu aufsetzen und absichern, dies bedeutet zwar jetzt relativ viel arbeit, aber dafür bist du in zukunft gut geschützt und hast ne komplette systemsicherung in der rück hand und kannst die bei neuen systemen innerhalb einer viertel stunde zurück spielen.
wenn du die regelmäßig mindestens 1x pro monat machst, ohne viel datenverlusst.
1. Datenrettung:2. Formatieren, Windows neuinstallieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 30.12.2011, 12:42   #5
brendiee
 
TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Standard

TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe



Erstmal vielen Dank für die schnelle Hilfe.

Autorun und die Kopien kriege ich hin, aber auf dem Rechner sind soviele Daten, da räume ich besser gleich mal auf. Schaffe ich heute wahrscheinlich aber nicht mehr.

Computer ist ein Medion E1210. Ist ein subnotebook ohne CD Laufwerk. Auf D: gibts einen Ordner Recover, weisst du da auf Anhieb Bescheid was ich machen muss, kann mir sonst aber auch eine Anleitung suchen.

Dazu noch einige Fragen: 1. dieses Recover kann nicht infiziert sein?
2. ich habe an der Fritz-Box noch einen USB-Stick als Festplatte laufen, der ist als gemeinsamer Zugriff eingestellt! Kann der infiziert sein? Den ziehe ich jetzt mal gleich ab.
3. Auf den Stick greifen auch die anderen Rechner zuhause zu, die sollte ich besser auch scannen? Werde ich auch mal gleich anfangen.
4. Kannst du sehen, wann da was infiziert wurde? Der Ordner Ysev wurde bei mir am 19.12. erstellt, muss aber nicht das Datum sein?

Mal sehen, wie schnell ich die Formatierung hinkriege, dann schreibe ich wieder.

Nochmals vielen Dank,


Alt 30.12.2011, 12:52   #6
markusg
/// Malware-holic
 
TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Standard

TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe



hi, meld dich einfach wenn du die datensicherung durch hast, dann gucke ich mal wegen der recovery funktion, sollte nciht infiziert sein, dass teil überträgt sich nicht auf andere datenträger.
wie lange das da drauf ist kann ich dir leider nicht beantworten sorry.
ja aufräumen ist ja mal nicht schlecht, spart wenigstens speicher :-)
__________________
--> TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe

Alt 31.12.2011, 12:32   #7
brendiee
 
TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Standard

TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe



Hallo,

bin wieder da und habe die Daten gesichert. Zum Netbook habe ich gefunden, dass ich beim Starten F3 drücken soll, dann könnte ich es über ein Menü in den Auslieferungszustand zurückversetzen.

Wenn ich vorher C: formatiere, habe ich gelesen, dass auch die Recover-Funktion wahrscheinlich nicht mehr funktionieren wird. Wie soll ich weitermachen?

Danke,

Geändert von brendiee (31.12.2011 um 13:04 Uhr)

Alt 31.12.2011, 13:03   #8
brendiee
 
TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Standard

TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe



Habe jetzt die Systemwiederherstellung über F3 benutzt und das Netbook in den Auslieferungszustand versetzt. Ist ein Medion Akoya E1210 mit recovery partition.

Falls ich doch vorher nochmal formatieren soll bitte Bescheid geben.
Sonst bitte auch Bescheid sagen, wie es weitergeht.

Alt 02.01.2012, 16:30   #9
markusg
/// Malware-holic
 
TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Standard

TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe



hi, auslieferungszustand ist ok
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
http://www.trojaner-board.de/103809-...i-malware.html
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware

und du kannst vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut wäre avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html
sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
bitte die passage xp abarbeiten.
außer windows dienste, link geht nicht mehr
als browser rate ich dir zu chrome:
https://www.google.com/chrome?hl=de
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung


Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Windows 7 Systemabbild erstellen (Backup)
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 03.01.2012, 08:35   #10
brendiee
 
TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Standard

TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe



Hallo,

danke für die umfangreiche Anleitung.

Recover habe ich wie gesagt schon durchgeführt und XP bin ich auch der Anleitung gefolgt (ausser Dienste sicher starten und DEP). Der Rest wird jetzt eine Weile dauern, bis ich das alles umgesetzt habe (gehe natürlich solange nicht mit dem Rechner ins www).

Das heisst, auf dem Rechner im Ausgangszustand geht das ja noch, aber bei den anderen Rechnern sehe ich Probleme auf mich zukommen. Backups habe ich ziemlich aktuell auf einer externen Festplatte, aber nach Deinstallationen hatte ich oft ziemliche Probleme alles wieder zum Laufen zu kriegen. Da ich schon überall die gleiche Konfiguration nehmen würde, noch die ein oder andere nervige Nachfrage:

Ich würde dann auf Avast umsteigen und nicht Avira nehmen? (evtl. Kommentar von dir lieber als PN).

Als Browser hatte ich bislang immer FF. Geht der auch oder doch lieber Chrome?

Ausserdem nutze ich noch Thunderbird für meine emails. Letzteres würde ich gerne behalten, da ich meine Termine auf meinem Handy (mit dem ich nicht ins Internet gehe) synchronisieren kann. Das geht auch trotz Chrome?

Sandboxie probiere ich aus, wenn das gut geht, kaufe ich mir die Lizenz.

Dann vielen Dank nochmals,

Alt 03.01.2012, 12:28   #11
markusg
/// Malware-holic
 
TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Standard

TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe



hi, ja, entweder avast oder, wie gesagt emsisoft, denke 10 € pro pc ist nicht so teuer.
bzw wenn es relativ viele pcs sind, kann man auf der emsisoft page selbst wegen mengenrabatt gucken da es dann evtl. so billiger wird.
bzw wenn schüler und studenten im haushalt sind gibts da auch extra angebote.
warum hast du dep nicht aktiviert? bitte noch erledigen.
wenn du mit dem chrome klar kommst, würde ich schon eher auf den umsteigen
binde da mal noch adblock ein:
http://filepony.de/download-adblock_chrome/
(werbeblocker)
hmm wenn es bei den andern pcs probleme gibt, solltest du alle neu aufsetzen und so absichern wie beschrieben, dann machst du von den "grund absicherungen" backups und dann halt alle 4 wochen, oder wenn viel gearbeitet wurde, häufiger.

thunderbird ist ok.
sandbox lizenz benötigst du nur eine, wie gesagt, 30 €, lebenslang gültig, auf allen pcs einsetzbar.
aber sieh dir das programm erst mal an.
und, nichts zu danken
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 06.01.2012, 16:38   #12
brendiee
 
TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Standard

TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe



Hallo,

'tschuldigung wegen dem zweiten Thread, das war ein anderer Rechner mit einem anderen Problem. Dachte das gehört nicht hierher.

Ich nehme erstmal Avast. Sagts du nochmal was zu den Einstellungen? Chrome sollte klappen, adblock und Sandboxie mache ich auch. DEP werde ich versuchen, falls es Schwierigkeiten gibt, schreibe ich nochmal.

Wenn ihr Danke nicht wollt, dann thx

Alt 17.01.2012, 16:44   #13
markusg
/// Malware-holic
 
TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Standard

TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe



adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
avast:
bei updater, automatisch instalieren wählen.
übernehmen /ok
http://forum.avadas.de/download/inst...on_avast_6.pdf
bitte bei heuristik, (wirkungsgrad) höchste stufe wählen, updates alle 2 stunden, rest wie in der pdf
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe
0x00000001, ad-aware, avira, bho, checkpoint, conduit, einstellungen, entfernen, error, explorer, fehler, firefox, flash player, format, geld, home, homepage, logfile, malware, mozilla, plug-in, realtek, rundll, sched.exe, software, system, udp, usb 2.0, version=1.0, virus, vodafone, windows, windows internet




Ähnliche Themen: TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe


  1. TR/spy.zBot.kumd in C:/Dokumente und Einstellungen/Laptop/Anwendungsdaten/Eglate
    Log-Analyse und Auswertung - 04.06.2013 (15)
  2. TR/Crypt.EPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 03.01.2013 (5)
  3. TR/Crypt.EPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 19.12.2012 (9)
  4. TR/Crypt.EPACK.Gen2
    Log-Analyse und Auswertung - 06.11.2012 (18)
  5. EXP/CVE-2010-4452.Q in C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deploym
    Plagegeister aller Art und deren Bekämpfung - 07.10.2012 (3)
  6. TR/Crypt.EPACK.Gen2
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (5)
  7. 'TR/Crypt.ZPACK.Gen' in C:\Dokumente und Einstellungen\HP_Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4HYRSHM3\
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (1)
  8. TR/Crypt.XPACK.Gen8 - TR/Crypt.EPACK.Gen2 - TR/ATRAPS.Gen
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (18)
  9. C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\63A624.exe Schädlich?
    Log-Analyse und Auswertung - 06.06.2012 (49)
  10. TR/Crypt.XPACK.Gen3 in C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ndYrhqYltQyAUP.exe
    Plagegeister aller Art und deren Bekämpfung - 19.08.2011 (27)
  11. Java-Exploit (CVE-2010-0840.l) (C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sun\Java\
    Plagegeister aller Art und deren Bekämpfung - 17.08.2011 (3)
  12. Trojan Agent dwm.exe / csrss.exe in C:\Dokumente und Einstellungen\Anwendungsdaten\dwm.exe
    Plagegeister aller Art und deren Bekämpfung - 20.06.2011 (28)
  13. C:\Dokumente und Einstellungen\*****\Anwendungsdaten\jtNGXSbZSBhC.exe
    Plagegeister aller Art und deren Bekämpfung - 04.02.2011 (9)
  14. TR/Crypt.XPACK.Gen3 in C:\Dokumente und Einstellungen\***\Desktop\FLVTube.exe gefunden - Hilfe
    Plagegeister aller Art und deren Bekämpfung - 24.01.2011 (15)
  15. TR/Crypt.ZPACK.Gen in C:/Dokumente und Einstellungen/***/Lokale Einstellungen/Temp
    Plagegeister aller Art und deren Bekämpfung - 26.04.2010 (3)
  16. TR/Crypt.ZPACK.Gen in C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\
    Plagegeister aller Art und deren Bekämpfung - 10.04.2010 (17)
  17. JAVA/Dldr.Agent.D in C:\Dokumente und Einstellungen\Max \Anwendungsdaten\Sun\Java\Dep
    Plagegeister aller Art und deren Bekämpfung - 22.01.2010 (1)

Zum Thema TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe - Hallo, bei mir hat heute Avira gemeldet, das in der Datei C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe die Malware TR/Crypt.EPACK.Gen2 gefunden wurde. Das System wurde dann nochmal von Avira gescannt, die Datei in - TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe...
Archiv
Du betrachtest: TR/Crypt.EPACK.Gen2 in C:\Dokumente und Einstellungen\Surfer\Anwendungsdaten\Ysev\ofiz.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.