| |
| |||||||
Log-Analyse und Auswertung: Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglichWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
15.01.2012, 16:55
| #1 |
 |  Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich Hey, auch mich hat es leider erwischt und ich kann dies hier nur über den abgesicherten Modus schreiben. Ich behalte mir vor, nicht einfach mit irgendwelchen Scans anzufangen und hoffe, dass mir wer hier schnell helfen kann, um dieses Vieh wieder los zu werden. Möglichst ohne Formatierung  Grüße |
|
15.01.2012, 18:18
| #2 |
| /// Malware-holic   | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich hi
__________________Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
__________________ |
|
15.01.2012, 19:22
| #3 |
| | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich Hallo und danke erstmal. Es ist leider etwas sehr schwierig an meinem Laptop im abgesicherten Modus zu arbeiten, weil ich die ganze Zeit vollgemüllt werden von Scareware (Trojan-BNK.Win32.Keylogger.gen sowie alle Meldungen von Windows 7 Antivirus 2012).
__________________Hier OTL: Code:
ATTFilter OTL logfile created on: 15.01.2012 18:55:26 - Run 3 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Users\XXX\Desktop Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 2,54 Gb Available Physical Memory | 84,73% Memory free 5,99 Gb Paging File | 5,57 Gb Available in Paging File | 92,99% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 232,88 Gb Total Space | 124,12 Gb Free Space | 53,30% Space Free | Partition Type: NTFS Computer Name: PC | User Name: XXX | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Users\Christoph\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Users\Christoph\AppData\Local\yec.exe (Microsoft Corporation) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Windows\HelpPane.exe (Microsoft Corporation) ========== Modules (No Company Name) ========== MOD - C:\Programme\WinRAR\RarExt.dll () ========== Win32 Services (SafeList) ========== SRV - (avast! Antivirus) -- C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (AVAST Software) SRV - (nvUpdatusService) -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation) SRV - (tvnserver) -- C:\Program Files\TightVNC\tvnserver.exe (GlavSoft LLC.) SRV - (IAStorDataMgrSvc) Intel(R) -- C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe (Intel Corporation) SRV - (EvtEng) Intel(R) -- C:\Programme\Intel\WiFi\bin\EvtEng.exe (Intel(R) Corporation) SRV - (RegSrvc) Intel(R) -- C:\Programme\Common Files\Intel\WirelessCommon\RegSrvc.exe (Intel(R) Corporation) SRV - (STacSV) -- C:\Programme\IDT\WDM\stacsv.exe (IDT, Inc.) SRV - (npggsvc) -- C:\Windows\System32\GameMon.des (INCA Internet Co., Ltd.) SRV - (ServiceLayer) -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe (Nokia) SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation) SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation) SRV - (AESTFilters) -- C:\Programme\IDT\WDM\AEstSrv.exe (Andrea Electronics Corporation) SRV - (Nero BackItUp Scheduler 4.0) -- C:\Programme\Common Files\Nero\Nero BackItUp 4\NBService.exe (Nero AG) SRV - (OpenSSHd) -- C:\Programme\OpenSSH\bin\cygrunsrv.exe () ========== Driver Services (SafeList) ========== DRV - (aswSnx) -- C:\Windows\System32\drivers\aswSnx.sys (AVAST Software) DRV - (aswSP) -- C:\Windows\System32\drivers\aswSP.sys (AVAST Software) DRV - (aswRdr) -- C:\Windows\System32\drivers\aswRdr.sys (AVAST Software) DRV - (aswTdi) -- C:\Windows\System32\drivers\aswTdi.sys (AVAST Software) DRV - (aswMonFlt) -- C:\Windows\System32\drivers\aswMonFlt.sys (AVAST Software) DRV - (aswFsBlk) -- C:\Windows\System32\drivers\aswFsBlk.sys (AVAST Software) DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation) DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation) DRV - (hpdskflt) -- C:\Windows\system32\DRIVERS\hpdskflt.sys (Hewlett-Packard Company) DRV - (Accelerometer) -- C:\Windows\System32\drivers\Accelerometer.sys (Hewlett-Packard Company) DRV - (JMCR) -- C:\Windows\System32\drivers\jmcr.sys (JMicron Technology Corporation) DRV - (NETwNs32) ___ Intel(R) -- C:\Windows\System32\drivers\NETwNs32.sys (Intel Corporation) DRV - (STHDA) -- C:\Windows\System32\drivers\stwrt.sys (IDT, Inc.) DRV - (SCR3XX2K) -- C:\Windows\System32\drivers\SCR3XX2K.sys (SCM Microsystems Inc.) DRV - (NETw5s32) Intel(R) -- C:\Windows\System32\drivers\NETw5s32.sys (Intel Corporation) DRV - (SASKUTIL) -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS (SUPERAdBlocker.com and SUPERAntiSpyware.com) DRV - (UsbserFilt) -- C:\Windows\System32\drivers\usbser_lowerfltj.sys (Nokia) DRV - (upperdev) -- C:\Windows\System32\drivers\usbser_lowerflt.sys (Nokia) DRV - (nmwcdc) -- C:\Windows\System32\drivers\ccdcmbo.sys (Nokia) DRV - (nmwcd) -- C:\Windows\System32\drivers\ccdcmb.sys (Nokia) DRV - (SASDIFSV) -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys (SUPERAdBlocker.com and SUPERAntiSpyware.com) DRV - (johci) -- C:\Windows\system32\DRIVERS\johci.sys (JMicron ) DRV - (vmbus) -- C:\Windows\system32\DRIVERS\vmbus.sys (Microsoft Corporation) DRV - (storflt) -- C:\Windows\system32\DRIVERS\vmstorfl.sys (Microsoft Corporation) DRV - (storvsc) -- C:\Windows\system32\DRIVERS\storvsc.sys (Microsoft Corporation) DRV - (vwifimp) -- C:\Windows\System32\drivers\vwifimp.sys (Microsoft Corporation) DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation) DRV - (s3cap) -- C:\Windows\system32\DRIVERS\vms3cap.sys (Microsoft Corporation) DRV - (VMBusHID) -- C:\Windows\system32\DRIVERS\VMBusHID.sys (Microsoft Corporation) DRV - (tdx) -- C:\Windows\System32\drivers\tdx.sys () DRV - (netw5v32) Intel(R) -- C:\Windows\System32\drivers\netw5v32.sys (Intel Corporation) DRV - (RTL2832U_IRHID) -- C:\Windows\System32\drivers\RTL2832U_IRHID.sys (Realtek) DRV - (RTL2832UUSB) -- C:\Windows\System32\drivers\RTL2832UUSB.sys (REALTEK SEMICONDUCTOR Corp.) DRV - (RTL2832UBDA) -- C:\Windows\System32\drivers\RTL2832UBDA.sys (REALTEK SEMICONDUCTOR Corp.) DRV - (enecir) -- C:\Windows\System32\drivers\enecir.sys (ENE TECHNOLOGY INC.) DRV - (iscFlash) -- C:\swsetup\sp45138\iscflash.sys (Insyde Software) DRV - (HpqKbFiltr) -- C:\Windows\System32\drivers\HpqKbFiltr.sys (Hewlett-Packard Development Company, L.P.) DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.) DRV - (pccsmcfd) -- C:\Windows\System32\drivers\pccsmcfd.sys (Nokia) DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.) DRV - (Afc) -- C:\Windows\System32\drivers\afc.sys (Arcsoft, Inc.) DRV - (speedfan) -- C:\Windows\system32\speedfan.sys (Windows (R) 2000 DDK provider) DRV - (DgiVecp) -- C:\Windows\System32\drivers\DGIVECP.SYS (DeviceGuys, Inc.) DRV - (giveio) -- C:\Windows\system32\giveio.sys () ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Preserve IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local;*.local IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 131.247.2.247:3124 ========== FireFox ========== FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@pages.tvunetworks.com/WebPlayer: C:\Program Files\TVUPlayer\npTVUAx.dll (TVU networks) FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: C:\Program Files\Veetle\plugins\npVeetle.dll (Veetle Inc) FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Program Files\Veetle\Player\npvlc.dll (Veetle Inc) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Program Files\DivX\DivX Plus Web Player\firefox\DivXHTML5 [2011.12.20 14:03:13 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.08.16 19:11:59 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 6.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.01.07 18:43:27 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\finder@meingutscheincode.de: C:\Program Files\Mein Gutscheincode Finder\Firefox [2010.11.30 16:32:21 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Christoph\AppData\Roaming\mozilla\Extensions [2011.04.29 14:14:11 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Christoph\AppData\Roaming\mozilla\Firefox\Profiles\tvicafjp.default\extensions [2011.01.22 15:26:22 | 000,000,000 | ---D | M] (TVU Web Player) -- C:\Users\Christoph\AppData\Roaming\mozilla\Firefox\Profiles\tvicafjp.default\extensions\firefox@tvunetworks.com [2010.12.05 15:41:33 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Christoph\AppData\Roaming\mozilla\Firefox\Profiles\tvicafjp.default\extensions\vshare@toolbar [2011.12.27 12:27:28 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Christoph\AppData\Roaming\mozilla\Firefox\Profiles\yqsjzsks.Christoph\extensions [2010.12.05 15:29:57 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Christoph\AppData\Roaming\mozilla\Firefox\Profiles\yqsjzsks.Christoph\extensions\vshare@toolbar [2011.07.20 20:31:37 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2010.11.06 21:46:24 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2011.01.12 09:24:35 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} [2011.03.19 11:06:46 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} [2010.11.06 21:46:24 | 000,000,000 | ---D | M] (Java Console) -- C:\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} [2011.08.16 19:11:59 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll [2010.03.27 18:06:04 | 000,067,032 | ---- | M] (Adobe Systems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npContribute.dll [2011.02.02 21:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll [2010.01.12 21:03:50 | 000,063,488 | ---- | M] (Nullsoft, Inc.) -- C:\Program Files\mozilla firefox\plugins\npwachk.dll [2011.09.14 14:13:23 | 000,001,400 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.09.14 14:13:23 | 000,001,679 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml [2011.09.14 14:13:23 | 000,000,947 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2011.09.14 14:13:23 | 000,006,818 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2011.08.25 15:39:38 | 000,001,272 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2011.09.14 14:13:23 | 000,000,903 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011.01.13 11:23:00 | 000,000,100 | ---- | M]) - C:\Windows\System32\drivers\etc\Hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O1 - Hosts: O2 - BHO: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Programme\vShare\vshare_toolbar.dll () O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll (DivX, LLC) O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O2 - BHO: (WOT Helper) - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Programme\WOT\WOT.dll () O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Programme\vShare\vshare_toolbar.dll () O3 - HKLM\..\Toolbar: (WOT) - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Programme\WOT\WOT.dll () O3 - HKCU\..\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Programme\vShare\vshare_toolbar.dll () O3 - HKCU\..\Toolbar\WebBrowser: (WOT) - {71576546-354D-41C9-AAE8-31F2EC22BF0D} - C:\Programme\WOT\WOT.dll () O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avast5] C:\Program Files\Alwil Software\Avast5\avastUI.exe (AVAST Software) O4 - HKLM..\Run: [IAStorIcon] C:\Programme\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe (Intel Corporation) O4 - HKLM..\Run: [mspd] C:\Windows\System32\mspd.exe () O4 - HKLM..\Run: [SysTrayApp] C:\Programme\IDT\WDM\sttray.exe (IDT, Inc.) O4 - HKCU..\Run: [Smad] C:\Users\Christoph\AppData\Local\SanctionedMedia\Smad\Smad.exe (SanctionedMedia) O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware (cleanup)] C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll (Malwarebytes Corporation) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SoftwareSASGeneration = 1 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: QuickLaunchEnabled = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Programme\ICQ7.6\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Programme\ICQ7.6\ICQ.exe (ICQ, LLC.) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O15 - HKCU\..Trusted Domains: kino.to ([]https in Vertrauenswürdige Sites) O15 - HKCU\..Trusted Domains: web.de ([www] https in Vertrauenswürdige Sites) O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/sites/production/ieawsdc32.cab (Microsoft Office Template and Media Control) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {1851174C-97BD-4217-A0CC-E908F60D5B7A} https://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISDataManager.CAB (Hewlett-Packard Online Support Services) O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class) O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab (HP Download Manager) O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection2.cab (GMNRev Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.4.24.0.cab (SysInfo Class) O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} hxxp://3dlifeplayer.dl.3dvia.com/player/install/3DVIA_player_installer.exe (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O16 - DPF: {E6F480FC-BD44-4CBA-B74A-89AF7842937D} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.4.26.0.cab (SysInfo Class) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7325BC76-0D62-4F0E-99B7-BE30FE7A5D0E}: DhcpNameServer = 192.168.178.1 O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Programme\vShare\vshare_toolbar.dll () O18 - Protocol\Handler\wot {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Programme\WOT\WOT.dll () O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) -C:\Windows\System32\userinit.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) -C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation) O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found O20 - Winlogon\Notify\ScCertProp: DllName - (wlnotify.dll) - File not found O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No CLSID value found. O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O37 - HKCU\...exe [@ = sxie] -- "C:\Users\Christoph\AppData\Local\yec.exe" -a "%1" %* (Microsoft Corporation) ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Microsoft VM ActiveX: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "C:\Program Files\Common Files\LightScribe\LSRunOnce.exe" ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0 ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {2D46B6DC-2207-486B-B523-A557E6D54B47} - C:\Windows\system32\cmd.exe /D /C start C:\Windows\system32\ie4uinit.exe -ClearIconCache ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7 ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP NetSvcs: FastUserSwitchingCompatibility - File not found NetSvcs: Ias - C:\Windows\System32\ias.dll (Microsoft Corporation) NetSvcs: Nla - File not found NetSvcs: Ntmssvc - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: SRService - File not found NetSvcs: WmdmPmSp - File not found NetSvcs: LogonHours - File not found NetSvcs: PCAudit - File not found NetSvcs: helpsvc - File not found NetSvcs: uploadmgr - File not found MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^phase-6 Reminder.lnk - C:\Programme\phase-6\phase-6\reminder\reminder.exe - (phase-6) MsConfig - StartUpFolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^TMMonitor.lnk - C:\Programme\ArcSoft\TotalMedia 3\TMMonitor.exe - (ArcSoft, Inc.) MsConfig - StartUpFolder: C:^Users^Christoph^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^klickTel OEM 2008 - Schnellstarter.lnk - - File not found MsConfig - StartUpFolder: C:^Users^Christoph^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE - (Microsoft Corporation) MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: AdobeAAMUpdater-1.0 - hkey= - key= - C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: AdobeCS5ServiceManager - hkey= - key= - File not found MsConfig - StartUpReg: ArcSoft Connection Service - hkey= - key= - File not found MsConfig - StartUpReg: DivXUpdate - hkey= - key= - C:\Program Files\DivX\DivX Update\DivXUpdate.exe () MsConfig - StartUpReg: FILSHtray - hkey= - key= - C:\Program Files\YouTube_Video_Downloader\FILSHtray.exe (FILSH Media GmbH) MsConfig - StartUpReg: GrooveMonitor - hkey= - key= - C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation) MsConfig - StartUpReg: iTunesHelper - hkey= - key= - C:\Program Files\iTunes\iTunesHelper.exe (Apple Inc.) MsConfig - StartUpReg: LightScribe Control Panel - hkey= - key= - C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe (Hewlett-Packard Company) MsConfig - StartUpReg: NokiaMServer - hkey= - key= - C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe (Nokia) MsConfig - StartUpReg: NokiaOviSuite2 - hkey= - key= - C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe (Nokia) MsConfig - StartUpReg: PDFPrint - hkey= - key= - C:\Programme\pdf24\pdf24.exe (Geek Software GmbH) MsConfig - StartUpReg: PDVD8LanguageShortcut - hkey= - key= - C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe () MsConfig - StartUpReg: QuickTime Task - hkey= - key= - C:\Program Files\QuickTime\QTTask.exe (Apple Inc.) MsConfig - StartUpReg: RemoteControl8 - hkey= - key= - C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe (Cyberlink Corp.) MsConfig - StartUpReg: Samsung Common SM - hkey= - key= - C:\Windows\Samsung\ComSMMgr\ssmmgr.exe (Samsung Electronics.) MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Program Files\Common Files\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) MsConfig - StartUpReg: SwitchBoard - hkey= - key= - File not found MsConfig - StartUpReg: tvncontrol - hkey= - key= - C:\Program Files\TightVNC\tvnserver.exe (GlavSoft LLC.) MsConfig - StartUpReg: uTorrent - hkey= - key= - C:\Program Files\uTorrent\uTorrent.exe (BitTorrent, Inc.) MsConfig - StartUpReg: VeohPlugin - hkey= - key= - File not found MsConfig - StartUpReg: XboxStat - hkey= - key= - C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe (Microsoft Corporation) MsConfig - State: "startup" - 2 CREATERESTOREPOINT Error creating restore point. ========== Files/Folders - Created Within 30 Days ========== [2012.01.15 18:50:56 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Users\Christoph\Desktop\OTL.exe [2012.01.15 16:57:35 | 000,000,000 | ---D | C] -- C:\Users\Christoph\AppData\Local\SanctionedMedia [2012.01.15 16:57:34 | 000,286,208 | ---- | C] (Microsoft Corporation) -- C:\Users\Christoph\AppData\Local\yec.exe [2012.01.15 16:45:54 | 000,000,000 | ---D | C] -- C:\Windows\Sun [2012.01.14 22:25:39 | 000,000,000 | ---D | C] -- C:\Windows\XSxS [2012.01.14 22:25:39 | 000,000,000 | ---D | C] -- C:\Program Files\Xenocode [2012.01.14 22:23:30 | 000,000,000 | ---D | C] -- C:\Users\Christoph\Portable CorelDRAW Graphic Suite 12-12.0.0.458 [2012.01.13 20:15:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenSSH for Windows [2012.01.13 20:14:23 | 000,000,000 | ---D | C] -- C:\Program Files\OpenSSH [2012.01.09 20:15:31 | 000,000,000 | ---D | C] -- C:\Users\Christoph\AppData\Roaming\redsn0w [2012.01.09 00:37:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes [2012.01.09 00:36:38 | 000,000,000 | ---D | C] -- C:\Program Files\iPod [2012.01.09 00:36:37 | 000,000,000 | ---D | C] -- C:\Program Files\iTunes [2012.01.09 00:34:35 | 000,000,000 | ---D | C] -- C:\Program Files\Bonjour [2012.01.09 00:27:43 | 000,000,000 | ---D | C] -- C:\Program Files\Apple Software Update [2012.01.07 18:26:49 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2011.12.24 15:12:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlashMute [2011.12.24 15:12:30 | 000,000,000 | ---D | C] -- C:\Program Files\FlashMute [2011.12.20 14:04:17 | 000,000,000 | ---D | C] -- C:\Users\Christoph\AppData\Local\DDMSettings [2011.12.20 13:48:05 | 000,000,000 | ---D | C] -- C:\Users\Christoph\AppData\Roaming\GetRightToGo [2011.12.20 13:48:05 | 000,000,000 | ---D | C] -- C:\Users\Christoph\Documents\Downloads [2011.12.19 12:13:22 | 000,000,000 | ---D | C] -- C:\ProgramData\UUdb [2011.12.19 12:13:22 | 000,000,000 | ---D | C] -- C:\Program Files\1und1Softwareaktualisierung [2011.12.19 12:13:21 | 000,000,000 | ---D | C] -- C:\Users\Christoph\AppData\Roaming\1&1 Mail & Media GmbH [2011.12.18 11:55:06 | 000,000,000 | ---D | C] -- C:\Users\Christoph\Documents\FILSHtray [2011.12.18 11:55:06 | 000,000,000 | ---D | C] -- C:\Users\Christoph\AppData\Local\FILSH_Media_GmbH [2011.12.18 11:55:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Video Downloader [2011.12.18 11:55:02 | 000,000,000 | ---D | C] -- C:\Program Files\YouTube_Video_Downloader [2011.12.17 22:38:46 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\Softwrap [2011.12.17 22:38:46 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\Fonts [2011.12.17 22:38:46 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\Config [2011.12.17 22:35:12 | 000,000,000 | ---D | C] -- C:\Users\Christoph\Documents\ArcSoft ToGo [2011.12.17 22:34:05 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArcSoft TotalMedia 3 [2011.12.17 22:33:20 | 000,212,480 | ---- | C] (Eastman Kodak) -- C:\Windows\PCDLIB32.DLL [2011.12.17 22:33:20 | 000,000,000 | ---D | C] -- C:\Program Files\ArcSoft [2011.12.17 21:39:25 | 000,000,000 | ---D | C] -- C:\Users\Christoph\Documents\ArcSoft [2011.12.17 21:06:01 | 000,037,280 | ---- | C] (Realtek) -- C:\Windows\System32\drivers\RTL2832U_IRHID.sys [2011.12.17 21:05:56 | 000,000,000 | ---D | C] -- C:\Program Files\NewSoft [2011.12.17 21:05:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\REALTEK DTV USB DEVICE ========== Files - Modified Within 30 Days ========== [2012.01.15 18:51:01 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Users\Christoph\Desktop\OTL.exe [2012.01.15 18:43:32 | 000,009,343 | ---- | M] () -- C:\Users\Christoph\AppData\Local\5f87db78 [2012.01.15 18:43:32 | 000,009,244 | ---- | M] () -- C:\Users\Christoph\AppData\Roaming\6a1641f8 [2012.01.15 18:43:32 | 000,009,217 | ---- | M] () -- C:\ProgramData\fb6df46a [2012.01.15 18:42:52 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2012.01.15 18:42:46 | 2413,719,552 | -HS- | M] () -- C:\hiberfil.sys [2012.01.15 13:28:55 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2012.01.15 13:28:55 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2012.01.15 13:28:55 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2012.01.15 13:28:55 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2012.01.14 15:35:41 | 000,000,600 | ---- | M] () -- C:\Users\Christoph\AppData\Roaming\winscp.rnd [2012.01.14 15:27:21 | 000,014,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 [2012.01.14 15:27:21 | 000,014,016 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 [2012.01.11 21:51:25 | 414,467,058 | ---- | M] () -- C:\Users\Christoph\RF 12-v1.0.2-vend3tta101-AppleGuider.ipa [2012.01.09 00:37:17 | 000,001,753 | ---- | M] () -- C:\Users\Public\Desktop\iTunes.lnk [2011.12.17 22:38:52 | 000,002,429 | ---- | M] () -- C:\Users\Public\Documents\Global.sw2 [2011.12.17 22:38:46 | 000,000,000 | -H-- | M] () -- C:\Windows\SwSys2.bmp [2011.12.17 22:38:46 | 000,000,000 | -H-- | M] () -- C:\Windows\SwSys1.bmp ========== Files Created - No Company Name ========== [2012.01.15 16:57:34 | 000,009,343 | ---- | C] () -- C:\Users\Christoph\AppData\Local\5f87db78 [2012.01.15 16:57:34 | 000,009,244 | ---- | C] () -- C:\Users\Christoph\AppData\Roaming\6a1641f8 [2012.01.15 16:57:34 | 000,009,217 | ---- | C] () -- C:\ProgramData\fb6df46a [2012.01.11 21:51:16 | 414,467,058 | ---- | C] () -- C:\Users\Christoph\RF 12-v1.0.2-vend3tta101-AppleGuider.ipa [2012.01.09 00:37:17 | 000,001,753 | ---- | C] () -- C:\Users\Public\Desktop\iTunes.lnk [2011.12.17 22:38:46 | 000,002,429 | ---- | C] () -- C:\Users\Public\Documents\Global.sw2 [2011.12.17 22:38:46 | 000,000,000 | -H-- | C] () -- C:\Windows\SwSys2.bmp [2011.12.17 22:38:46 | 000,000,000 | -H-- | C] () -- C:\Windows\SwSys1.bmp [2011.12.17 21:05:56 | 000,127,085 | ---- | C] () -- C:\Windows\System32\RTKFMSOURCE.dll [2011.12.17 18:26:54 | 000,002,441 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader 9.lnk [2011.10.23 10:57:52 | 000,000,600 | ---- | C] () -- C:\Users\Christoph\AppData\Roaming\winscp.rnd [2011.02.27 08:54:11 | 000,389,632 | ---- | C] () -- C:\Windows\System32\mspd.exe [2010.12.01 13:05:49 | 000,089,088 | ---- | C] () -- C:\Windows\MBR.exe [2010.12.01 13:05:48 | 000,256,512 | ---- | C] () -- C:\Windows\PEV.exe [2010.12.01 13:05:48 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe [2010.12.01 13:05:48 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe [2010.12.01 13:05:48 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe [2010.09.17 19:07:30 | 000,000,880 | ---- | C] () -- C:\Windows\HBCIKRNL.INI [2010.08.21 14:58:32 | 000,000,017 | ---- | C] () -- C:\Windows\ktel.ini [2010.07.25 20:41:46 | 000,003,584 | ---- | C] () -- C:\Users\Christoph\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2010.06.07 17:47:34 | 000,258,142 | ---- | C] () -- C:\Windows\System32\nvcoproc.bin [2010.04.19 19:02:47 | 000,000,000 | ---- | C] () -- C:\Windows\iSnooker.INI [2010.04.16 22:59:09 | 000,017,408 | ---- | C] () -- C:\Users\Christoph\AppData\Local\WebpageIcons.db [2009.12.03 08:27:30 | 000,080,416 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll [2009.09.01 04:31:56 | 000,022,723 | ---- | C] () -- C:\Windows\System32\ssp2ml3.dll [2009.07.14 09:47:43 | 000,653,928 | ---- | C] () -- C:\Windows\System32\perfh007.dat [2009.07.14 09:47:43 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat [2009.07.14 09:47:43 | 000,129,800 | ---- | C] () -- C:\Windows\System32\perfc007.dat [2009.07.14 09:47:43 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat [2009.07.14 05:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat [2009.07.14 05:33:53 | 003,763,520 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT [2009.07.14 03:05:48 | 000,615,810 | ---- | C] () -- C:\Windows\System32\perfh009.dat [2009.07.14 03:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat [2009.07.14 03:05:48 | 000,106,190 | ---- | C] () -- C:\Windows\System32\perfc009.dat [2009.07.14 03:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat [2009.07.14 03:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT [2009.07.14 03:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat [2009.07.14 01:19:49 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe [2009.07.14 00:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin [2009.07.14 00:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll [2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll [2009.07.14 00:12:11 | 000,074,240 | ---- | C] () -- C:\Windows\System32\drivers\tdx.sys [2009.06.10 22:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat [2008.01.14 16:47:06 | 000,099,712 | ---- | C] () -- C:\Windows\HPBroker.dll [2007.01.16 12:25:48 | 000,022,723 | ---- | C] () -- C:\Windows\System32\clpa1l3.dll [2006.03.09 08:58:00 | 001,060,424 | ---- | C] () -- C:\Windows\System32\WdfCoInstaller01000.dll [2005.08.26 14:28:34 | 000,143,360 | ---- | C] () -- C:\Windows\unzip.exe [2005.08.26 14:28:20 | 000,024,576 | ---- | C] () -- C:\Windows\shortcut.exe [2005.08.26 14:27:58 | 000,045,056 | ---- | C] () -- C:\Windows\devenum.exe [1996.04.03 20:33:26 | 000,005,248 | ---- | C] () -- C:\Windows\System32\giveio.sys ========== LOP Check ========== [2010.10.28 12:28:04 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\.purple [2011.12.19 12:13:21 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\1&1 Mail & Media GmbH [2011.09.26 12:30:48 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\DAEMON Tools Lite [2011.08.24 18:46:12 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\DesktopIconForAmazon [2011.11.11 16:16:48 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Dropbox [2010.08.27 01:13:39 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Easeware [2011.12.20 13:48:30 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\GetRightToGo [2010.10.28 12:25:08 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\gtk-2.0 [2012.01.15 12:46:08 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\ICQ [2010.08.21 14:01:44 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\klickTel [2010.10.28 12:13:11 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Miranda [2010.07.12 14:23:46 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Nokia [2011.08.25 15:39:33 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\OCS [2011.08.25 15:39:38 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\Opera [2010.07.12 14:28:10 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\PC Suite [2012.01.09 20:20:43 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\redsn0w [2010.05.04 12:03:54 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\SharePod [2010.04.19 17:19:37 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\StreamTorrent [2011.10.22 20:08:28 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\TightVNC [2012.01.08 01:10:11 | 000,000,000 | ---D | M] -- C:\Users\Christoph\AppData\Roaming\uTorrent [2011.08.24 18:08:04 | 000,000,414 | ---- | M] () -- C:\Windows\Tasks\DriverEasy Scheduled Scan.job [2011.11.16 16:40:11 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2010.12.03 21:44:14 | 000,000,000 | -HSD | M] -- C:\$RECYCLE.BIN [2010.04.16 18:51:23 | 000,000,000 | ---D | M] -- C:\Boot [2010.12.03 21:37:19 | 000,000,000 | ---D | M] -- C:\ComboFix [2010.12.03 21:44:44 | 000,000,000 | ---D | M] -- C:\confi [2012.01.11 22:43:31 | 000,000,000 | -HSD | M] -- C:\Config.Msi [2010.08.27 01:37:11 | 000,000,000 | ---D | M] -- C:\dell [2010.04.16 17:56:54 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen [2010.11.30 13:15:05 | 000,000,000 | ---D | M] -- C:\Drivers [2010.04.19 18:41:34 | 000,000,000 | ---D | M] -- C:\Games [2010.04.16 18:41:32 | 000,000,000 | ---D | M] -- C:\HP [2010.04.16 18:39:24 | 000,000,000 | ---D | M] -- C:\Intel [2010.04.16 22:38:55 | 000,000,000 | R--D | M] -- C:\MSOCache [2010.06.15 11:15:36 | 000,000,000 | ---D | M] -- C:\NVIDIA [2009.07.14 03:37:05 | 000,000,000 | ---D | M] -- C:\PerfLogs [2012.01.14 22:25:39 | 000,000,000 | R--D | M] -- C:\Program Files [2012.01.15 16:57:34 | 000,000,000 | ---D | M] -- C:\ProgramData [2010.04.16 17:56:54 | 000,000,000 | -HSD | M] -- C:\Programme [2010.12.03 21:44:43 | 000,000,000 | ---D | M] -- C:\Qoobox [2010.04.16 17:56:54 | 000,000,000 | ---D | M] -- C:\Recovery [2011.08.24 16:38:51 | 000,000,000 | ---D | M] -- C:\swsetup [2012.01.13 20:37:27 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2011.08.22 12:40:57 | 000,000,000 | R--D | M] -- C:\Users [2012.01.15 16:57:31 | 000,000,000 | ---D | M] -- C:\Windows [2010.12.03 11:13:34 | 000,000,000 | ---D | M] -- C:\_OTL < %PROGRAMFILES%\*.exe > < %LOCALAPPDATA%\*.exe > [2012.01.15 16:57:34 | 000,286,208 | ---- | M] (Microsoft Corporation) -- C:\Users\Christoph\AppData\Local\yec.exe < %systemroot%\*. /mp /s > < MD5 for: AGP440.SYS > [2009.07.14 02:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\ERDNT\cache\AGP440.sys [2009.07.14 02:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\System32\drivers\AGP440.sys [2009.07.14 02:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_x86_neutral_65848c2d7375a720\AGP440.sys [2009.07.14 02:26:15 | 000,053,312 | ---- | M] (Microsoft Corporation) MD5=507812C3054C21CEF746B6EE3D04DD6E -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.1.7600.16385_none_b9e9435f20046eeb\AGP440.sys < MD5 for: ATAPI.SYS > [2009.07.14 02:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\ERDNT\cache\atapi.sys [2009.07.14 02:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\drivers\atapi.sys [2009.07.14 02:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys [2009.07.14 02:26:15 | 000,021,584 | ---- | M] (Microsoft Corporation) MD5=338C86357871C167A96AB976519BF59E -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.1.7600.16385_none_dd0e7e3d82dd640d\atapi.sys < MD5 for: CNGAUDIT.DLL > [2009.07.14 02:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\ERDNT\cache\cngaudit.dll [2009.07.14 02:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\System32\cngaudit.dll [2009.07.14 02:15:06 | 000,012,288 | ---- | M] (Microsoft Corporation) MD5=50BA656134F78AF64E4DD3C8B6FEFD7E -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.1.7600.16385_none_e83a414890e8132b\cngaudit.dll < MD5 for: EXPLORER.EXE > [2009.07.14 02:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe [2009.10.31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\ERDNT\cache\explorer.exe [2009.10.31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\explorer.exe [2009.10.31 06:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe [2009.08.03 06:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe [2009.08.03 06:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe [2009.10.31 07:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe < MD5 for: IASTOR.SYS > [2011.04.26 09:57:06 | 000,461,080 | ---- | M] (Intel Corporation) MD5=9615DAF540B2C04DC871D10D7AE59F38 -- C:\Windows\System32\drivers\iaStor.sys [2011.04.26 09:57:06 | 000,461,080 | ---- | M] (Intel Corporation) MD5=9615DAF540B2C04DC871D10D7AE59F38 -- C:\Windows\System32\DriverStore\FileRepository\iaahci.inf_x86_neutral_868c7a2987d8afc0\iaStor.sys < MD5 for: IASTORV.SYS > [2009.07.14 02:20:36 | 000,332,352 | ---- | M] (Intel Corporation) MD5=934AF4D7C5F457B9F0743F4299B77B67 -- C:\Windows\System32\drivers\iaStorV.sys [2009.07.14 02:20:36 | 000,332,352 | ---- | M] (Intel Corporation) MD5=934AF4D7C5F457B9F0743F4299B77B67 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_x86_neutral_18cccb83b34e1453\iaStorV.sys [2009.07.14 02:20:36 | 000,332,352 | ---- | M] (Intel Corporation) MD5=934AF4D7C5F457B9F0743F4299B77B67 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.1.7600.16385_none_aee7a89be91b9000\iaStorV.sys < MD5 for: NETLOGON.DLL > [2009.07.14 02:16:02 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=EAA75D9000B71F10EEC04D2AE6C60E81 -- C:\Windows\ERDNT\cache\netlogon.dll [2009.07.14 02:16:02 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=EAA75D9000B71F10EEC04D2AE6C60E81 -- C:\Windows\System32\netlogon.dll [2009.07.14 02:16:02 | 000,563,712 | ---- | M] (Microsoft Corporation) MD5=EAA75D9000B71F10EEC04D2AE6C60E81 -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.16385_none_fd8e0d66994d7dc8\netlogon.dll < MD5 for: NVSTOR.SYS > [2009.07.14 02:20:44 | 000,142,416 | ---- | M] (NVIDIA Corporation) MD5=C99F251A5DE63C6F129CF71933ACED0F -- C:\Windows\System32\drivers\nvstor.sys [2009.07.14 02:20:44 | 000,142,416 | ---- | M] (NVIDIA Corporation) MD5=C99F251A5DE63C6F129CF71933ACED0F -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_x86_neutral_5bde3fe2945bce9e\nvstor.sys [2009.07.14 02:20:44 | 000,142,416 | ---- | M] (NVIDIA Corporation) MD5=C99F251A5DE63C6F129CF71933ACED0F -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.1.7600.16385_none_39b1194b205239d8\nvstor.sys < MD5 for: NVSTOR32.SYS > [2008.06.07 02:13:10 | 000,145,440 | ---- | M] (NVIDIA Corporation) MD5=D05F6E26AC960474494356FE703D61BE -- C:\Drivers\Chipset_9.46\nvstor32.sys [2008.06.07 02:13:10 | 000,145,440 | ---- | M] (NVIDIA Corporation) MD5=D05F6E26AC960474494356FE703D61BE -- C:\Windows\System32\DriverStore\FileRepository\nvrd32.inf_x86_neutral_18c69887da9918de\nvstor32.sys [2008.06.07 02:13:10 | 000,145,440 | ---- | M] (NVIDIA Corporation) MD5=D05F6E26AC960474494356FE703D61BE -- C:\Windows\System32\DriverStore\FileRepository\nvstor32.inf_x86_neutral_74ff7dcd014d100b\nvstor32.sys < MD5 for: SCECLI.DLL > [2009.07.14 02:16:13 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=26073302DAEA83CC5B944C546D6B47D2 -- C:\Windows\ERDNT\cache\scecli.dll [2009.07.14 02:16:13 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=26073302DAEA83CC5B944C546D6B47D2 -- C:\Windows\System32\scecli.dll [2009.07.14 02:16:13 | 000,175,616 | ---- | M] (Microsoft Corporation) MD5=26073302DAEA83CC5B944C546D6B47D2 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.1.7600.16385_none_37e4387f3a6f0483\scecli.dll < MD5 for: USER32.DLL > [2009.07.14 02:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\ERDNT\cache\user32.dll [2009.07.14 02:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\System32\user32.dll [2009.07.14 02:16:17 | 000,811,520 | ---- | M] (Microsoft Corporation) MD5=34B7E222E81FAFA885F0C5F2CFA56861 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_cd0ec264ceb014a3\user32.dll < MD5 for: USERINIT.EXE > [2009.07.14 02:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\ERDNT\cache\userinit.exe [2009.07.14 02:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\System32\userinit.exe [2009.07.14 02:14:43 | 000,026,112 | ---- | M] (Microsoft Corporation) MD5=6DE80F60D7DE9CE6B8C2DDFDF79EF175 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe < MD5 for: WINLOGON.EXE > [2009.10.28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\ERDNT\cache\winlogon.exe [2009.10.28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\System32\winlogon.exe [2009.10.28 07:17:59 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=37CDB7E72EB66BA85A87CBE37E7F03FD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16447_none_6fc699643622d177\winlogon.exe [2009.10.28 06:52:08 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=3BABE6767C78FBF5FB8435FEED187F30 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.20560_none_703394514f56f7c2\winlogon.exe [2009.07.14 02:14:45 | 000,285,696 | ---- | M] (Microsoft Corporation) MD5=8EC6A4AB12B8F3759E21F8E3A388F2CF -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe [2011.12.24 17:50:20 | 000,182,856 | ---- | M] () MD5=B382935AB01B27D0E14F267DBF288896 -- C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe < MD5 for: WS2IFSL.SYS > [2009.07.14 00:55:02 | 000,016,384 | ---- | M] (Microsoft Corporation) MD5=6DB3276587B853BF886B69528FDB048C -- C:\Windows\System32\drivers\ws2ifsl.sys [2009.07.14 00:55:02 | 000,016,384 | ---- | M] (Microsoft Corporation) MD5=6DB3276587B853BF886B69528FDB048C -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.1.7600.16385_none_4f5cf6f829213bb2\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > < %systemroot%\system32\*.dll /lockedfiles > < %USERPROFILE%\*.* > [2012.01.15 18:55:27 | 007,602,176 | -HS- | M] () -- C:\Users\Christoph\NTUSER.DAT [2012.01.15 18:55:27 | 000,262,144 | -HS- | M] () -- C:\Users\Christoph\ntuser.dat.LOG1 [2010.04.16 18:00:16 | 000,000,000 | -HS- | M] () -- C:\Users\Christoph\ntuser.dat.LOG2 [2010.04.16 22:08:00 | 000,065,536 | -HS- | M] () -- C:\Users\Christoph\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf [2010.04.16 22:08:00 | 000,524,288 | -HS- | M] () -- C:\Users\Christoph\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms [2010.04.16 22:08:00 | 000,524,288 | -HS- | M] () -- C:\Users\Christoph\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms [2010.04.16 18:00:16 | 000,000,020 | -HS- | M] () -- C:\Users\Christoph\ntuser.ini [2010.04.22 15:26:50 | 000,000,488 | RHS- | M] () -- C:\Users\Christoph\ntuser.pol [2011.01.07 13:20:19 | 000,000,600 | ---- | M] () -- C:\Users\Christoph\PUTTY.RND [2012.01.11 21:51:25 | 414,467,058 | ---- | M] () -- C:\Users\Christoph\RF 12-v1.0.2-vend3tta101-AppleGuider.ipa < %USERPROFILE%\Local Settings\Temp\*.exe > < %USERPROFILE%\Local Settings\Temp\*.dll > < %USERPROFILE%\Application Data\*.exe > < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16 ========== Hard Links - Junction Points - Mount Points - Symbolic Links ========== [C:\Windows\$NtUninstallKB47072$] -> Error: Cannot create file handle -> Unknown point type < End of report > Gruß |
|
15.01.2012, 21:21
| #4 |
| /// Malware-holic | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglichCombofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
15.01.2012, 23:07
| #5 |
| | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich so... 1.) ich musste avast deinstallieren, weil mir combofix immer anzeigte, dass avast noch aktiv sei, obwohl alles aus war. selbst nach der deinstallation hat er das noch angezeigt. 2.) er hat ein zero.access rootkit gefunden und zwei durchgänge laufen lassen hier hast du die log datei: Code:
ATTFilter ComboFix 12-01-15.01 - Christoph 15.01.2012 22:45:16.3.2 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.49.1031.18.3069.2491 [GMT 1:00]
ausgeführt von:: c:\users\Christoph\Desktop\ComboFix.exe
AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Roaming
c:\users\Christoph\AppData\Local\yec.exe
c:\windows\$NtUninstallKB47072$
c:\windows\$NtUninstallKB47072$\1382785983
c:\windows\XSxS
.
Infizierte Kopie von c:\windows\system32\drivers\tdx.sys wurde gefunden und desinfiziert
Kopie von - The cat found it :) wurde wiederhergestellt
.
((((((((((((((((((((((( Dateien erstellt von 2011-12-15 bis 2012-01-15 ))))))))))))))))))))))))))))))
.
.
2012-01-15 21:58 . 2012-01-15 21:58 -------- d--h--w- c:\windows\system32\Settings
2012-01-15 21:56 . 2012-01-15 21:58 -------- d-----w- c:\users\Christoph\AppData\Local\temp
2012-01-15 21:56 . 2012-01-15 21:56 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp
2012-01-15 21:56 . 2012-01-15 21:56 -------- d-----w- c:\users\Public\AppData\Local\temp
2012-01-15 21:56 . 2012-01-15 21:56 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-01-15 21:41 . 2009-07-13 23:12 74240 ----a-w- c:\windows\system32\drivers\tdx.sys
2012-01-15 15:57 . 2012-01-15 15:57 -------- d-----w- c:\users\Christoph\AppData\Local\SanctionedMedia
2012-01-15 15:45 . 2012-01-15 15:45 -------- d-----w- c:\windows\Sun
2012-01-14 21:25 . 2012-01-14 21:25 -------- d-----w- c:\program files\Xenocode
2012-01-14 21:23 . 2012-01-14 21:26 -------- d-----w- c:\users\Christoph\Portable CorelDRAW Graphic Suite 12-12.0.0.458
2012-01-13 19:37 . 2011-11-21 10:47 6823496 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{E671E2E5-F1B3-4775-810A-875B3C34DA07}\mpengine.dll
2012-01-13 19:14 . 2012-01-13 19:15 -------- d-----w- c:\program files\OpenSSH
2012-01-13 17:55 . 2011-11-17 05:48 134000 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
2012-01-13 17:55 . 2011-11-17 05:39 224768 ----a-w- c:\windows\system32\schannel.dll
2012-01-13 17:55 . 2011-11-17 05:38 1037312 ----a-w- c:\windows\system32\lsasrv.dll
2012-01-13 17:55 . 2011-11-17 05:48 67440 ----a-w- c:\windows\system32\drivers\ksecdd.sys
2012-01-13 17:55 . 2011-11-17 05:42 369352 ----a-w- c:\windows\system32\drivers\cng.sys
2012-01-13 17:55 . 2011-11-17 05:39 314368 ----a-w- c:\windows\system32\webio.dll
2012-01-13 17:55 . 2011-11-17 05:39 99840 ----a-w- c:\windows\system32\sspicli.dll
2012-01-13 17:55 . 2011-11-17 05:39 15360 ----a-w- c:\windows\system32\sspisrv.dll
2012-01-13 17:55 . 2011-11-17 05:39 22016 ----a-w- c:\windows\system32\secur32.dll
2012-01-13 17:55 . 2011-11-17 05:36 22528 ----a-w- c:\windows\system32\lsass.exe
2012-01-11 21:42 . 2011-11-17 05:41 1288984 ----a-w- c:\windows\system32\ntdll.dll
2012-01-11 21:42 . 2011-10-26 04:28 1328640 ----a-w- c:\windows\system32\quartz.dll
2012-01-11 21:42 . 2011-10-26 04:28 514560 ----a-w- c:\windows\system32\qdvd.dll
2012-01-11 21:42 . 2011-11-19 14:06 67072 ----a-w- c:\windows\system32\packager.dll
2012-01-09 19:15 . 2012-01-09 19:20 -------- d-----w- c:\users\Christoph\AppData\Roaming\redsn0w
2012-01-08 23:36 . 2012-01-08 23:36 -------- d-----w- c:\program files\iPod
2012-01-08 23:36 . 2012-01-08 23:37 -------- d-----w- c:\program files\iTunes
2012-01-08 23:34 . 2012-01-08 23:34 -------- d-----w- c:\program files\Bonjour
2012-01-08 23:27 . 2012-01-08 23:27 -------- d-----w- c:\program files\Apple Software Update
2011-12-24 14:12 . 2011-12-27 11:24 -------- d-----w- c:\program files\FlashMute
2011-12-20 13:04 . 2011-12-20 13:04 -------- d-----w- c:\users\Christoph\AppData\Local\DDMSettings
2011-12-20 12:48 . 2011-12-20 12:48 -------- d-----w- c:\users\Christoph\AppData\Roaming\GetRightToGo
2011-12-19 11:13 . 2011-12-19 11:13 -------- d-----w- c:\programdata\UUdb
2011-12-19 11:13 . 2011-12-19 11:13 -------- d-----w- c:\program files\1und1Softwareaktualisierung
2011-12-19 11:13 . 2011-12-19 11:13 -------- d-----w- c:\users\Christoph\AppData\Roaming\1&1 Mail & Media GmbH
2011-12-18 10:55 . 2011-12-18 10:55 -------- d-----w- c:\users\Christoph\AppData\Local\FILSH_Media_GmbH
2011-12-18 10:55 . 2011-12-18 10:55 -------- d-----w- c:\program files\YouTube_Video_Downloader
2011-12-17 21:33 . 2011-12-17 21:33 -------- d-----w- c:\program files\ArcSoft
2011-12-17 21:33 . 2004-12-06 18:11 258352 ----a-w- c:\windows\system32\unicows.dll
2011-12-17 21:33 . 1995-07-31 12:44 212480 ----a-w- c:\windows\PCDLIB32.DLL
2011-12-17 20:06 . 2009-07-13 14:46 37280 ----a-w- c:\windows\system32\drivers\RTL2832U_IRHID.sys
2011-12-17 20:06 . 2009-07-06 16:37 32800 ----a-w- c:\windows\system32\drivers\RTL2832UUSB.sys
2011-12-17 20:06 . 2009-07-06 16:36 91168 ----a-w- c:\windows\system32\drivers\RTL2832UBDA.sys
2011-12-17 20:05 . 2011-12-17 20:05 -------- d-----w- c:\program files\NewSoft
2011-12-17 20:05 . 2009-04-02 13:22 127085 ----a-w- c:\windows\system32\RTKFMSOURCE.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-10 14:24 . 2010-11-30 18:41 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-12-08 10:35 . 2009-10-14 02:21 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-11-25 21:04 . 2011-06-04 08:03 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-24 04:23 . 2011-12-14 10:56 2340352 ----a-w- c:\windows\system32\win32k.sys
2011-11-05 04:35 . 2011-12-14 10:56 981504 ----a-w- c:\windows\system32\wininet.dll
2011-11-05 04:34 . 2011-12-14 10:56 44544 ----a-w- c:\windows\system32\licmgr10.dll
2011-11-05 03:28 . 2011-12-14 10:56 386048 ----a-w- c:\windows\system32\html.iec
2011-11-05 02:55 . 2011-12-14 10:56 1638912 ----a-w- c:\windows\system32\mshtml.tlb
2011-10-26 04:42 . 2011-12-14 10:55 3901808 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-10-26 04:42 . 2011-12-14 10:55 3957104 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-10-26 04:25 . 2011-12-14 10:56 38912 ----a-w- c:\windows\system32\csrsrv.dll
2011-10-20 23:26 . 2011-10-20 23:26 94208 ----a-w- c:\windows\system32\dpl100.dll
2011-08-16 18:11 . 2011-05-06 13:22 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"Smad"="c:\users\Christoph\AppData\Local\SanctionedMedia\Smad\Smad.exe" [2012-01-15 37376]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-07-27 321080]
"IAStorIcon"="c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2011-04-29 284440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-05-27 1721640]
"mspd"="c:\windows\system32\mspd.exe" [2003-08-27 389632]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2010-12-17 536668]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-12-08 421736]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"SoftwareSASGeneration"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"QuickLaunchEnabled"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^phase-6 Reminder.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\phase-6 Reminder.lnk
backup=c:\windows\pss\phase-6 Reminder.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^TMMonitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\TMMonitor.lnk
backup=c:\windows\pss\TMMonitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Christoph^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^klickTel OEM 2008 - Schnellstarter.lnk]
path=c:\users\Christoph\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\klickTel OEM 2008 - Schnellstarter.lnk
backup=c:\windows\pss\klickTel OEM 2008 - Schnellstarter.lnk.Startup
backupExtension=.Startup
.
[HKLM\~\startupfolder\C:^Users^Christoph^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\users\Christoph\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
c:\program files\Common Files\Nokia\MPlatform\NokiaMServer [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-03-30 04:59 937920 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-09-07 22:58 37296 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2010-03-06 02:44 500208 ------w- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-07-28 23:08 1259376 ----a-w- c:\program files\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FILSHtray]
2011-12-16 01:09 596992 ----a-w- c:\program files\YouTube_Video_Downloader\FILSHtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2008-10-25 09:44 31072 ----a-w- c:\program files\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-12-08 00:36 421736 ----a-w- c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
2009-08-20 11:25 2363392 ----a-w- c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaOviSuite2]
2010-07-02 10:20 671608 ----a-w- c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2011-04-28 07:59 220552 ----a-w- c:\program files\pdf24\pdf24.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]
2007-12-14 09:36 50472 ------w- c:\program files\CyberLink\PowerDVD8\Language\Language.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-11-29 16:38 421888 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]
2008-03-20 18:23 83240 ------w- c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Samsung Common SM]
2005-07-03 07:20 372736 ------w- c:\windows\Samsung\ComSMMgr\SSMMgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-10-29 13:49 249064 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tvncontrol]
2011-08-03 13:23 828944 ----a-w- c:\program files\TightVNC\tvnserver.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2011-05-09 19:09 399736 ----a-w- c:\program files\uTorrent\uTorrent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\XboxStat]
2007-09-27 01:05 734264 ----a-w- c:\program files\Microsoft Xbox 360 Accessories\XBoxStat.exe
.
R1 ArcSec;archlp;c:\windows\system32\drivers\ArcSec.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 OpenSSHd;OpenSSH Server;c:\program files\OpenSSH\bin\cygrunsrv.exe [2004-04-18 36864]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2009-05-05 228408]
R3 iscFlash;iscFlash;c:\swsetup\sp45138\iscflash.sys [2009-06-16 13312]
R3 NETw5s32;Intel(R) Wireless WiFi Link der Serie 5000 Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETw5s32.sys [2010-05-31 6766080]
R3 netw5v32;Intel(R) Wireless WiFi Link 5000-Serie - Adaptertreiber für Windows Vista 32 Bit;c:\windows\system32\DRIVERS\netw5v32.sys [2009-07-13 4231168]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2010-09-29 4032992]
R3 RTL2832U_IRHID;HID Infrared Remote Receiver;c:\windows\system32\DRIVERS\RTL2832U_IRHID.sys [2009-07-13 37280]
R3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [2009-07-06 91168]
R3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\Drivers\RTL2832UUSB.sys [2009-07-06 32800]
R3 SCR3XX2K;SCR3xx USB SmartCardReader;c:\windows\system32\DRIVERS\SCR3XX2K.sys [2010-11-11 59136]
S0 johci;JMicron 1394 Filter Driver;c:\windows\system32\DRIVERS\johci.sys [2009-11-10 17320]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-10 67656]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AESTFilters;Andrea ST Filters Service;c:\program files\IDT\WDM\aestsrv.exe [2009-03-03 81920]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2011-05-13 26168]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2011-04-29 13592]
S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-10-15 2253120]
S2 tvnserver;TightVNC Server;c:\program files\TightVNC\tvnserver.exe [2011-08-03 828944]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2009-06-28 59904]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2011-01-31 144472]
S3 NETwNs32;___ Intel(R) Wireless WiFi Link der Serie 5000 Adaptertreiber für Windows 7 32-Bit;c:\windows\system32\DRIVERS\NETwNs32.sys [2011-01-19 7087616]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2011-07-07 139880]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2010-06-23 275048]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-08-20 11:24 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners
.
2011-08-24 c:\windows\Tasks\DriverEasy Scheduled Scan.job
- c:\program files\Easeware\DriverEasy\DriverEasy.exe [2010-08-27 07:06]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = local;*.local
uInternet Settings,ProxyServer = 131.247.2.247:3124
IE: {{7644E42D-B096-457F-8B5B-901238FC81AE} - c:\program files\ICQ7.6\ICQ.exe
Trusted Zone: kino.to
Trusted Zone: web.de\www
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\users\Christoph\AppData\Roaming\Mozilla\Firefox\Profiles\yqsjzsks.Christoph\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - prefs.js: network.proxy.http - 62.49.41.147
FF - prefs.js: network.proxy.http_port - 80
FF - prefs.js: network.proxy.type - 0
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{C424171E-592A-415A-9EB1-DFD6D95D3530} - (no file)
MSConfigStartUp-AdobeCS5ServiceManager - c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe
MSConfigStartUp-ArcSoft Connection Service - c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
MSConfigStartUp-SwitchBoard - c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
MSConfigStartUp-VeohPlugin - c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\.tdx]
"ImagePath"="\?"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-556683703-228710120-2652249240-1000\Software\SecuROM\License information*]
"datasecu"=hex:9c,9c,33,0f,77,5e,62,ba,56,bc,ca,95,68,76,ec,1a,a4,69,a4,96,45,
7b,b4,40,8a,f1,2f,51,14,d6,75,39,84,57,9f,d9,e8,ad,aa,81,34,8b,ba,7e,1d,b8,\
"rkeysecu"=hex:45,c8,fc,17,d2,ed,65,93,76,f8,a0,0b,d5,cb,9a,08
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(3952)
c:\program files\WinSCP\DragExt.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\IDT\WDM\STacSV.exe
c:\windows\system32\WLANExt.exe
c:\windows\system32\conhost.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
c:\windows\system32\sppsvc.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\NVIDIA Corporation\Display\nvxdsync.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\NVIDIA Corporation\Display\nvtray.exe
c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-01-15 23:02:46 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2012-01-15 22:02
ComboFix2.txt 2010-12-03 20:44
ComboFix3.txt 2010-12-03 10:03
.
Vor Suchlauf: 18 Verzeichnis(se), 132.837.097.472 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 132.893.532.160 Bytes frei
.
- - End Of File - - A14C474D70EC5A511CA9A7C91DA0C372
 schon mal ein erfolg! |
|
16.01.2012, 12:22
| #6 |
| /// Malware-holic | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich öffne bitte computer, c: qoobox. rechtsklick quarantain, mit winrar oder anderem programm packen, archiv hochladen. http://www.trojaner-board.de/54791-a...ner-board.html
__________________ --> Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich |
|
16.01.2012, 20:03
| #7 |
| | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich So... ich habs hochgeladen und hoffe, dass ich es richtig gemacht hab mit dem packen, da er beim packen das angehängte bild angezeigt hat. gruß |
|
17.01.2012, 21:13
| #8 |
| | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich nur mal als zwischenfrage: hängt euer server die hochgeladenen dateien automatisch an? und wie lang dauert sowas? oder hab ich da doch was falsch gemacht? gruß |
|
17.01.2012, 21:17
| #9 |
| /// Malware-holic | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich sorry deinen post übersehen nutzt du das system für onlinebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtiges?
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
17.01.2012, 22:10
| #10 |
| | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich ja aber unregelmäßig... einmal pro monat die miete und evtl hin und wieder mal ebay oder amazon. das aber eher wenig. habe gestern schon für jedes online-shopping portal sowie für online banking und email die passwörter geändert. gruß |
|
18.01.2012, 12:23
| #11 |
| /// Malware-holic | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich ich hoffe nicht von dem pc, denn das wäre ziemlich sinnlos. wie oft du onlinebanking machst ist unerheblich. du hast das zero access rootkit auf dem pc, dieser muss neu aufgesetzt werden. 1. Datenrettung:
4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
18.01.2012, 12:30
| #12 |
| | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich nein, nicht von dem PC, sondern von nem Apple... ich habe gehofft, du würdest mir eine bessere Nachricht schreiben  Zwei Fragen: 1) Reicht die Formatierung, welche Windows7 bei der Installation von der CD durchführt? Das ist ja quasi die Standardformatierung. 2) Wenn ich Autoplay deaktiviere und der die externe Festplatte nicht mehr automatisch öffnet, warum kann ich dann Dateien einfach auf die Festplatte verschieben, auch wenn sie evtl. noch versucht sein könnten? Warum ist das nicht zu gefährlich? Gruß |
|
18.01.2012, 12:35
| #13 |
| /// Malware-holic | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich hi, 1. die reicht. also bei start der cd auf benutzerdefiniert, dann bis zur partitions auswahl, dann optionen und die partition verschieben. 2. da du nur einige datei typen sicherst, wie bilder dokumente.... ist die gefahr geringer. außerdem werden wir ja das system noch absichern, und danach erst wird die platte angeschlossen und geprüft. die gefahr sollte also sehr gering sein. edit: wegen der guten nachicht, dir ist kein finanzieller schaden entstanden, ist das nicht schon mal was? :-)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
18.01.2012, 12:52
| #14 |
| | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich so kann man es auch sehen...danke erstmal soweit, ich werde damit wohl morgen anfangen. ich habe aber mal zwei fragen nebenbei: 1) warum glaubst du, dass zurzeit so unglaublich viele leute sich diesen trojaner einfangen? ich war schockiert, als ich vor einigen tagen hier in dieses forum guckte. 2) ich hab bis jetzt immer nur avast benutzt und halt parallel den windows defender und die firewall. reicht das in zukunft auch noch? oder welche aktionen sollte ich regelmäßig durchführen, zur kontrolle und prävention der festplatte? gruß |
|
18.01.2012, 13:15
| #15 |
| /// Malware-holic | Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich hi, 1. und damit will ich keinem zu nahe treten, das sind einfach erfahrungswerte. besuch von streaming seiten, wie zb kino streams, serien streams und sport streams. diese sind, bekanntermaßen nicht grad legal, und das nutzen kriminelle, ich kann nur immer wieder sagen, auch wenn ihr denkt, das es dort das zeug kostenlos ist, dem ist nicht so, es werden millionen durch werbung dort verdient und auch durch das verbreiten von malware. pornoseiten währen natürlich auch ein üblicher verbreitungsweg. auf solchen seiten wird dann häufig das blackhole exploit kit genutzt, welches verschiedenste programme auf sicherheitslücken prüft, hat es dann eine gefunden, wird dann schadcode geladen. also ist ein teil des übels natürlich auch, schlecht gewartete software. 2. werde ich dir aufzeigen, wie du das system absicherst. wenn du einverstanden bist, möchte ich das aber erst machen, wenn wir beim formatieren angelangt sind, da ich die erfahrung gemacht hab das es besser ist lieber alles in ruhe nacheinander abzuarbeiten.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Windows ebenfalls blockiert. Nur noch abgesicherter Modus möglich |
| abgesicherte, abgesicherten, abgesicherten modus, abgesicherter, abgesicherter modus, abgesicherter modus möglich, ebenfalls, einfach, erwischt, formatierung, hoffe, modus, scans, schnell, windows |
Linear-Darstellung
