Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert

Andy1987 · 01.05.2012, 11:13

Gestern Mittag habe ich einen Emailanhang geöffnet der sich aber nicht öffnen lies habe dann microsoft essential drüber laufen lassen aber leider nix gefunden....
Heute Morgen nach dem hochfahren schwarzer Bildschirm mit weißer Maske:
"Willkommen bei Windows Update
Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert."
- ich denke es dürfte nicht relevant sein den ganzen Text hier einzugeben, zu mal er bereits von einem anderen Geschädigten vollständig abgeschrieben wurde -
Jedenfalls endet das Ganze mit der üblichen Zahlungsaufforderung über Ukash bzw. Paysafe. Ich Trottel hätte auf die offensichtlichen Schreibfehler inder Mail achten sollen.
"trojaner-board" habe ich über google an meinem nicht infizierten Labtop gefunden durch Eingabe der Zeile "Sie haben sich... usw."

Nachdem ich den Thread gelesen habe, habe ich vorischtshalber nichts weiter unternommen, d.h. mein Bildschirm zeigt immer noch diese Meldung.
Ich hoffe auf ihre Hilfe.
Im voraus Danke

System auf dem infizierten Desktoprechner XP Home

markusg · 01.05.2012, 11:49

hi
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade

OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Andy1987 · 01.05.2012, 13:31

ich kann nicht von cd booten da ich im bios ein pw eingeben muss und ich weiss ich hab keins drin also was soll ich nun tun?

Also jetzt hab ich es bestimmt schon 3 mal versucht und jedes mal wenn Reatogo-X-PE startet kommt immer das da eine Datei korruppt ist aber jedes mal eine andere Datei.

kann ich da noch irgendwas anderes machen ausser es immerwieder zu versuchen über die cd zu booten?

also bei mir steht genau:
Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.

Aus Sicherheitsgründen wurde ihr Windowssystem blockiert. Das Besuchen von Seiten mit pornografischen und infizierten Inhalten hat dazu geführt, das ihr System von einem Computerverschlüsselungstrojaner befallen wurde. DiesesVirus verschlüsselt Ihre Festplatte mit einem 2048 Bit PGP-RSA Schlüssel und eine Selbständige Entschlüsselung ist nicht mehr machbar.

Um das System wiederherstelen zu können, müssen Sie ein zusätzliches Sicherheitsupdate herunterladen. Dieses Update ist ein kostenpflichtiges Upgrade für infizierte Windowssysteme. Kostenpflichtig ist es, weil es nicht zum ursprünglichen Windowspaket gehört und nur dafür <entwickelt wurde um Ihnen zu helfen Ihre Daten nicht zu verlieren. Bitte schalten sie Ihren Computer nicht aus, sonst kann es vorkommen das der Virus nicht beseitigt werden kann und Sie Ihre Daten komplett verlieren. Dieses Update beschützt Ihr System vollständig von Virus und Schadprogrammen, stabilisiert Ihr Computersystem und verhindert den Datenverlust.

Damit ihr Computer schnellstens entsperrt wird, nutzen Sie bitte die schnelle und diskrete Zahlungsmöglichkeit Ukash. Diese Karten können Sie an fast jeder Tankstelle oder einen Kiosk in ihrer Nähe kaufen. Diese Codes gibts auch überall da, wo Sie Handyaufladekarten erwerben können. Sofort nach der Eingabe und der Gültigkeitsüberprüfung wird das Update auf ihren Computer automatisch heruntergeladen und installiert. Ihr System wird sofort entschlüsselt und von dem Trojaner befreit.

markusg · 01.05.2012, 17:25

brenn die cd noch mal, auf langsamster stufe.

Andy1987 · 02.05.2012, 16:50

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 5/2/2012 8:43:16 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 92.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97.66 Gb Total Space | 76.16 Gb Free Space | 77.98% Space Free | Partition Type: NTFS
Drive D: | 600.97 Gb Total Space | 564.80 Gb Free Space | 93.98% Space Free | Partition Type: NTFS
Drive E: | 980.72 Mb Total Space | 42.25 Mb Free Space | 4.31% Space Free | Partition Type: FAT
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2012/04/26 05:40:22 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/04/14 09:17:55 | 000,253,088 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/02/29 03:50:48 | 000,158,856 | R--- | M] (Skype Technologies) [Auto] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012/02/26 18:15:42 | 000,055,144 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011/12/13 04:32:32 | 001,527,104 | ---- | M] (TuneUp Software) [Auto] -- C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe -- (TuneUp.UtilitiesSvc)
SRV - [2011/12/13 04:29:16 | 000,029,504 | ---- | M] (TuneUp Software) [Auto] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2011/11/17 12:39:02 | 003,993,576 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand] -- C:\WINDOWS\System32\GameMon.des -- (npggsvc)
SRV - [2011/04/27 10:39:26 | 000,011,736 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)
SRV - [2010/06/21 05:37:32 | 000,499,796 | ---- | M] (Atheros) [Auto] -- C:\WINDOWS\system32\acs.exe -- (ACS)
SRV - [2010/03/04 17:38:00 | 000,071,096 | ---- | M] () [Auto] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - File not found [Kernel | On_Demand] --  -- (ALLOW-IO)
DRV - [2011/12/20 03:39:28 | 000,100,368 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AtihdXP3.sys -- (AtiHDAudioService)
DRV - [2011/12/05 23:42:18 | 007,490,560 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2011/07/07 10:46:56 | 000,010,064 | ---- | M] (TuneUp Software) [Kernel | On_Demand] -- C:\Programme\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv)
DRV - [2010/07/27 23:45:30 | 001,756,384 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\athuw.sys -- (AR9271)
DRV - [2010/06/21 05:37:32 | 000,058,208 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wsimd.sys -- (WSIMD)
DRV - [2010/03/30 19:00:00 | 000,027,760 | ---- | M] () [Kernel | On_Demand] -- C:\Programme\Lavalys\EVEREST Ultimate Edition\kerneld.wnt -- (EverestDriver)
DRV - [2009/11/12 08:48:56 | 000,005,504 | ---- | M] () [File_System | Auto] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2008/01/15 07:17:58 | 004,652,544 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007/12/28 05:51:00 | 000,285,952 | ---- | M] (Marvell) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\yk51x86.sys -- (yukonwxp)
DRV - [2007/05/13 22:12:28 | 003,526,464 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtHDMI.sys -- (RTHDMIAzAudService)
DRV - [2006/12/28 12:44:44 | 000,084,992 | ---- | M] (ATI Research Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AtiHdAud.sys -- (HdAudAddService)
DRV - [2006/07/01 18:30:28 | 000,043,520 | ---- | M] (Advanced Micro Devices) [Kernel | System] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Andy_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Andy_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_233.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Programme\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Programme\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/04/26 05:40:22 | 000,000,000 | ---D | M]
 
[2012/01/21 14:15:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\mozilla\Extensions
[2012/04/30 18:31:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\mozilla\Firefox\Profiles\s834h565.default\extensions
[2012/04/30 18:31:06 | 000,000,000 | ---D | M] (Garmin Communicator) -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\mozilla\Firefox\Profiles\s834h565.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}
[2012/02/12 06:05:38 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) -- 
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ANDY\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\S834H565.DEFAULT\EXTENSIONS\{9AA46F4F-4DC7-4C06-97AF-5035170634FE}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\ANDY\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\S834H565.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2012/04/26 05:40:22 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011/12/21 01:08:50 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/12/21 01:02:40 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011/12/21 01:08:50 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011/12/21 01:08:50 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/12/21 01:08:50 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/12/21 01:08:50 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008/04/14 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [MSC] C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TWCU] C:\Programme\TP-LINK\TP-LINK Wireless Client Utility\TWCU.exe ()
O4 - HKU\.DEFAULT..\Run: [DWQueuedReporting] C:\Programme\Gemeinsame Dateien\Microsoft Shared\DW\DWTRIG20.EXE (Microsoft Corporation)
O4 - HKU\Andy_ON_C..\Run: [C4E10FA1] C:\WINDOWS\system32\45D9C940C4E10FA12537.exe (Pigna colada)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Andy_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Andy_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Andy_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\45D9C940C4E10FA12537.exe) - C:\WINDOWS\system32\45D9C940C4E10FA12537.exe (Pigna colada)
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\TWCU.exe: Debugger - "C:\Programme\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012/01/21 13:34:48 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: UxTuneUp - C:\WINDOWS\system32\uxtuneup.dll (TuneUp Software)
NetSvcs: WmdmPmSp -  File not found
 
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/04/30 18:31:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Garmin
[2012/04/30 11:27:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\21 Grand Casino
[2012/04/30 11:22:28 | 000,000,000 | ---D | C] -- C:\Programme\GoldRock
[2012/04/30 10:07:03 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Andy\Recent
[2012/04/30 10:03:33 | 000,061,440 | ---- | C] (Pigna colada) -- C:\Telekom_PDF.exe
[2012/04/30 10:02:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Xwfqhemdl
[2012/04/30 10:02:15 | 000,061,440 | -H-- | C] (Pigna colada) -- C:\WINDOWS\System32\45D9C940C4E10FA12537.exe
[2012/04/28 12:38:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iTunes
[2012/04/28 12:38:21 | 000,000,000 | ---D | C] -- C:\Programme\iPod
[2012/04/28 12:38:18 | 000,000,000 | ---D | C] -- C:\Programme\iTunes
[2012/04/26 05:40:24 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[2012/04/26 05:40:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla
[2012/04/07 14:14:01 | 000,000,000 | ---D | C] -- C:\coolspot AG
[2012/04/07 14:08:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Utherverse
[2012/04/07 13:44:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andy\Startmen³
[2012/04/07 13:03:17 | 000,000,000 | ---D | C] -- C:\Programme\SecretCity 3DChat
[2012/04/07 13:03:08 | 000,000,000 | ---D | C] -- C:\Programme\Utherverse Digital Inc
[2004/11/24 15:25:52 | 000,335,872 | ---- | C] ( ) -- C:\WINDOWS\System32\drvc.dll
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[42 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[38 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/05/02 13:17:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012/05/02 12:19:02 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2012/05/02 12:14:38 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/05/02 12:14:01 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/02 12:13:59 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/04/30 11:27:41 | 000,001,522 | ---- | M] () -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\21 Grand Casino.lnk
[2012/04/30 11:27:41 | 000,001,504 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\21 Grand Casino.lnk
[2012/04/30 11:27:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\21 Grand Casino
[2012/04/30 10:03:52 | 000,000,022 | ---- | M] () -- C:\__rzi_0.179
[2012/04/30 10:02:15 | 000,061,440 | -H-- | M] (Pigna colada) -- C:\WINDOWS\System32\45D9C940C4E10FA12537.exe
[2012/04/29 14:00:36 | 000,061,440 | ---- | M] (Pigna colada) -- C:\Telekom_PDF.exe
[2012/04/28 12:38:57 | 000,001,522 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2012/04/28 12:38:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\iTunes
[2012/04/28 12:17:01 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2012/04/26 12:38:10 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325
[2012/04/26 12:37:48 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012/04/26 12:36:46 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/04/26 12:34:58 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/04/26 12:33:28 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/04/26 12:32:36 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/04/14 09:17:55 | 000,418,464 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012/04/14 09:17:55 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012/04/11 04:45:16 | 000,492,376 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/04/11 04:45:16 | 000,472,866 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/04/11 04:45:16 | 000,090,766 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/04/11 04:45:16 | 000,075,960 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[42 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[38 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/04/30 11:27:41 | 000,001,522 | ---- | C] () -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\21 Grand Casino.lnk
[2012/04/30 11:27:41 | 000,001,504 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\21 Grand Casino.lnk
[2012/04/30 10:03:52 | 000,000,022 | ---- | C] () -- C:\__rzi_0.179
[2012/04/30 10:02:45 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/04/30 10:02:45 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/04/30 10:02:45 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/04/30 10:02:45 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/04/30 10:02:45 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/04/30 10:02:45 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/04/28 12:38:57 | 000,001,522 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\iTunes.lnk
[2012/03/11 05:30:57 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2012/03/11 05:30:57 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2012/03/11 05:30:07 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf07a.dat
[2012/03/11 05:26:19 | 000,031,664 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2012/02/24 11:16:41 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\Andy\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/02/16 10:58:02 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/02/02 13:32:53 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat
[2012/02/02 13:32:52 | 000,000,003 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat
[2012/01/26 08:35:22 | 000,080,138 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1957994488-879983540-1801674531-1004-0.dat
[2012/01/26 08:35:21 | 000,080,138 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2012/01/26 08:21:01 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2012/01/21 18:26:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin
[2012/01/21 18:26:28 | 000,608,507 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2012/01/21 16:33:43 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2012/01/21 16:01:06 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/01/21 14:00:31 | 000,262,216 | ---- | C] () -- C:\WINDOWS\System32\IPTests.dll
[2012/01/21 14:00:24 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\wgapiloc.dll
[2012/01/21 14:00:23 | 000,422,000 | ---- | C] () -- C:\WINDOWS\System32\wgapi.dll
[2012/01/21 13:36:37 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2012/01/21 13:31:27 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2012/01/21 13:09:19 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2012/01/21 13:05:59 | 000,124,520 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/12/05 17:04:00 | 000,059,904 | ---- | C] () -- C:\WINDOWS\System32\OpenVideo.dll
[2011/12/05 17:03:52 | 000,054,784 | ---- | C] () -- C:\WINDOWS\System32\OVDecode.dll
[2008/12/19 11:15:58 | 004,338,246 | ---- | C] () -- C:\WINDOWS\System32\libavcodec.dll
[2008/12/17 13:41:18 | 000,884,237 | ---- | C] () -- C:\WINDOWS\System32\ff_x264.dll
[2008/12/17 13:22:58 | 000,093,184 | ---- | C] () -- C:\WINDOWS\System32\ff_wmv9.dll
[2008/12/17 13:22:48 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2008/12/17 13:17:34 | 000,239,247 | ---- | C] () -- C:\WINDOWS\System32\ff_theora.dll
[2008/12/17 12:59:54 | 000,560,802 | ---- | C] () -- C:\WINDOWS\System32\libmplayer.dll
[2008/04/14 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008/04/14 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/04/14 08:00:00 | 000,492,376 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/04/14 08:00:00 | 000,472,866 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/04/14 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/04/14 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/04/14 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/04/14 08:00:00 | 000,090,766 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/04/14 08:00:00 | 000,075,960 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/04/14 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/04/14 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/04/14 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/04/14 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/04/14 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008/04/14 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/04/14 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2006/11/02 12:10:16 | 000,080,912 | ---- | C] () -- C:\WINDOWS\System32\sherlock2.exe
[2004/10/03 13:50:54 | 000,129,024 | ---- | C] () -- C:\WINDOWS\System32\ff_mpeg2enc.dll
 
========== LOP Check ==========
 
[2012/01/26 08:21:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Canneverbe Limited
[2012/04/30 18:31:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Garmin
[2012/01/27 18:20:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\MSNInstaller
[2012/01/24 11:04:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Need for Speed World
[2012/02/08 13:16:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\OpenOffice.org
[2012/03/08 18:50:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Origin
[2012/04/30 10:07:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\TS3Client
[2012/01/21 17:27:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\TuneUp Software
[2012/04/07 14:08:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Utherverse
[2012/04/30 10:02:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Xwfqhemdl
[2012/01/24 17:38:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\TuneUp Software
[2012/01/26 08:21:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2012/03/10 08:05:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EA Core
[2012/03/10 08:05:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Electronic Arts
[2012/03/10 08:05:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Origin
[2012/01/21 14:28:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files
[2012/03/11 05:26:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2012/01/21 13:56:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TP-LINK
[2012/01/21 17:27:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2012/01/21 17:26:44 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16}
[2012/01/21 14:42:37 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2012/02/23 14:12:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2012/05/02 12:19:02 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\Tasks\MP Scheduled Scan.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2012/02/02 13:14:06 | 000,000,000 | ---D | M] -- C:\AMD
[2012/01/21 18:09:47 | 000,000,000 | ---D | M] -- C:\ATI
[2012/04/07 14:14:01 | 000,000,000 | ---D | M] -- C:\coolspot AG
[2012/01/21 13:51:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2012/01/21 15:24:13 | 000,000,000 | ---D | M] -- C:\GamesCampus
[2012/01/21 16:00:35 | 000,000,000 | ---D | M] -- C:\Program Files
[2012/04/30 11:22:28 | 000,000,000 | R--D | M] -- C:\Programme
[2012/01/21 14:19:03 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2012/05/01 04:45:09 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2012/05/01 04:45:16 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: %LOCALAPPDATA%\*.exe
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: AGP440.SYS  >
[2008/04/14 08:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2008/04/14 08:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008/04/14 08:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008/04/14 08:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\dllcache\eventlog.dll
[2008/04/14 08:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
 
< MD5 for: EXPLORER.EXE  >
[2008/04/14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008/04/14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe
 
< MD5 for: NETLOGON.DLL  >
[2008/04/14 08:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\dllcache\netlogon.dll
[2008/04/14 08:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008/04/14 08:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\dllcache\scecli.dll
[2008/04/14 08:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2008/04/14 08:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\dllcache\user32.dll
[2008/04/14 08:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008/04/14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008/04/14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2008/04/14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008/04/14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2008/04/14 08:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2008/04/14 08:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2012/01/21 14:05:05 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2012/01/21 14:05:05 | 001,069,056 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2012/01/21 14:05:05 | 000,462,848 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\system32\*.dll /lockedfiles >
[2011/03/03 02:54:43 | 000,149,504 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\dnsapi.dll
[2008/04/14 08:00:00 | 000,280,064 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\mstask.dll
[2008/04/14 08:00:00 | 000,067,072 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\ntdsapi.dll
[2011/11/01 16:35:05 | 001,510,400 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\shdocvw.dll
[2011/01/21 10:44:10 | 008,503,296 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\shell32.dll
[42 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
Invalid Environment Variable: %USERPROFILE%\*.*
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.exe
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.dll
 
Invalid Environment Variable: %USERPROFILE%\Application Data\*.exe
< End of report >

--- --- ---

markusg · 02.05.2012, 17:48

auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code:

ATTFilter

:OTL
O4 - HKU\Andy_ON_C..\Run: [C4E10FA1] C:\WINDOWS\system32\45D9C940C4E10FA12537.exe (Pigna colada)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Andy_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Andy_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\45D9C940C4E10FA12537.exe) - C:\WINDOWS\system32\45D9C940C4E10FA12537.exe (Pigna colada)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\TWCU.exe: Debugger - "C:\Programme\TuneUp Utilities 2011\TUAutoReactivator32.exe" (TuneUp Software)
[2012/04/30 10:03:33 | 000,061,440 | ---- | C] (Pigna colada) -- C:\Telekom_PDF.exe
[2012/04/30 10:02:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Andy\Anwendungsdaten\Xwfqhemdl
:Files
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

Andy1987 · 03.05.2012, 19:21

ist das nicht das gleiche wieder? weil windows ist ganz normal hochgefahren und seither auch keine probleme mehr gehabt

markusg · 03.05.2012, 19:24

du hast mir noch mal otl logs gepostet, bin davon ausgegangen das es nicht geklappt hat.
an der mail mit anhang von unbekanntem absender bin ich interessiert.
wenn du ein mail programm nutzt, dann mail markieren, rechtsklick, speichern unter, typ:
.eml einstellen.
dann mail an:
http://markusg.trojaner-board.de
dort die soeben erstellte datei anhängen.
wenn du deine mails über den browser abrufst, sag mir mal welchen anbieter du nutzt, dann geht das ein bisschen anders.
ebenso mit zukünftigen mails von unbekannten absendern, mit anhang, verfahren.

Andy1987 · 03.05.2012, 19:26

ich öffne meine mails über den browser und nutze msn

markusg · 03.05.2012, 19:30

schau mal ob das so geht:
oben Optionen - Email - Anzeigeeinstellungen
Kopfzeilen auf "erweitert" setzen, mit OK bestätigen und schon siehst du die kompletten Header im Posteingang (wenn du die Mail öffnest)
die dann so an mich weiter leiten, sicherheitshalber den header mal kopieren und extra einfügen.

Andy1987 · 03.05.2012, 19:40

Hotmail-Optionen

Hilfe ▼

Zum Posteingang
Optionen anzeigen für

Windows Live
Hotmail

Angebote

Auf Hotmail Plus aktualisieren

Startseite
Kontakte
Kalender

Konto verwalten

Kontodetails (Kennwort, Aliase, Zeitzone)
E-Mails von anderen E-Mail-Konten aus senden/empfangen
E-Mail-Weiterleitung
Automatisierte Abwesenheitsnotizen senden
POP und Löschen heruntergeladener Nachrichten

E-Mail schreiben

Schriftart und Signatur für Nachrichten
Antwortadresse
Gesendete E-Mails speichern
Bestätigung für gesendete Nachricht
Anlagen

E-Mail lesen

Lesebereicheinstellungen
Aktive Ansicht konfigurieren
Unterhaltungen und schnelleres Lesen
Benachrichtigungen auf mobilen Geräten für neue E-Mails

Junk-E-Mail verhindern

Filter und Berichte
Sichere und blockierte Absender

Hotmail anpassen

Erweiterte Datenschutzeinstellungen
Designs
Sprache
Tastenkombinationen
Regeln zum Sortieren neuer Nachrichten
Windows Live-Startseite konfigurieren
Kennzeichnen
Sofortige Aktionen

Kontakte anpassen

Kontaktliste sortieren
Kontakte importieren
Kontakte exportieren

das sind die optionen die ich habe

hab grad versucht die email so weiter zu leiten aber da kommt immer: Hotmail konnte diesen Auftrag nicht ausführen. Möglicherweise wird sich Microsoft zu den von Ihnen gemeldeten Problemen mit Ihnen in Verbindung setzen.

markusg · 04.05.2012, 13:08

ok, dann belassen wir es so.
in zukunft aber, wenn so was wieder aufschlägt, erneut probieren.
bitte
lade den CCleaner standard:
CCleaner Download - CCleaner 3.18.1707
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Andy1987 · 04.05.2012, 17:19

Marvell Miniport Driver Marvell 04.05.2012 10.51.4.3 notwendig

Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 11.04.2012 417MB 2.2.30729 notwendig

Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 23.01.2012 209MB 3.2.30729 notwendig

Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 23.01.2012
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 11.04.2012 4.0.30319 notwendig

Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 25.02.2012 1 notwendig

Microsoft Security Essentials Microsoft Corporation 03.05.2012 4.0.1526.0 notwendig

Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation 25.02.2012 notwendig

Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 27.01.2012 5,28MB 8.0.61001 notwendig

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 21.01.2012 10,3MB 9.0.30729 notwendig

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 26.01.2012 9,55MB 9.0.30729.4148 notwendig

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 22.01.2012 10,2MB 9.0.30729.6161 notwendig

Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 27.01.2012 15,0MB 10.0.40219 notwendig

Mozilla Firefox 12.0 (x86 de) Mozilla 04.05.2012 12.0 notwendig

Mozilla Maintenance Service Mozilla 04.05.2012 12.0 notwendig

MSXML 4.0 SP2 (KB954430) Microsoft Corporation 22.01.2012 1,42MB 4.20.9870.0 notwendig

MSXML 4.0 SP2 (KB973688) Microsoft Corporation 22.01.2012 2,77MB 4.20.9876.0 notwendig

Need For Speed™ World Electronic Arts 23.01.2012 1.0.0.722 unnötig

OpenOffice.org 3.3 OpenOffice.org 08.02.2012 413MB 3.3.9567 notwendig

Origin Electronic Arts, Inc. 03.05.2012 8.5.0.4554 notwendig

Pando Media Booster Pando Networks Inc. 04.05.2012 2.6.0.1 notwendig

PaperPort Image Printer Nuance Communications, Inc. 11.03.2012 1,98MB 1.00.0000 notwendig

Realtek High Definition Audio Driver Realtek Semiconductor Corp. 21.01.2012 5.10.0.5548 notwendig

ScanSoft PaperPort 11 Nuance Communications, Inc. 11.03.2012 131,4MB 11.1.0000 notwendig

ShotOnline GamesCampus 02.05.2012 1.0 notwendig

Skype™ 5.8 Skype Technologies S.A. 20.03.2012 19,1MB 5.8.158 notwendig

TeamSpeak 3 Client TeamSpeak Systems GmbH 03.05.2012 notwendig

TP-LINK Wireless Client Utility TP-LINK 21.01.2012 notwendig

TuneUp Utilities 2011 TuneUp Software 21.01.2012 10.0.4600.4
Windows Driver Package - ATI Technologies Inc System (03/29/2006 5.10.1000.7) ATI Technologies Inc 03.05.2012 03/29/2006 5.10.1000.7 notwendig

Windows Genuine Advantage Validation Tool (KB892130) Microsoft Corporation 01.02.2012 unbekannt

Windows Live Anmelde-Assistent Microsoft Corporation 26.02.2012 1,93MB 5.000.818.5 notwendig

Windows Live Essentials Microsoft Corporation 26.02.2012 14.0.8117.0416 notwendig

Windows Live-Uploadtool Microsoft Corporation 26.02.2012 0,22MB 14.0.8014.1029 notwendig

Windows Media Format 11 runtime 04.05.2012 notwendig

Windows Media Player 11 04.05.2012 notwendig

WinRAR 4.10 (32-Bit) win.rar GmbH 03.05.2012 4.10.0 notwendig

XP Codec Pack 04.05.2012 notwendig

markusg · 04.05.2012, 17:22

fängt deine liste nicht mit a an? denke die ist unvollständig :-)

Andy1987 · 04.05.2012, 17:28

oh da hats was ned mitkopiert ich schick die fehlenden programme kurz

21 Grand Casino Rival 04.05.2012 1.0 unnötig

Adobe Flash Player 11 ActiveX Adobe Systems Incorporated 04.05.2012 11.2.202.233 notwendig

Adobe Flash Player 11 Plugin Adobe Systems Incorporated 03.05.2012 11.2.202.233 notwendig

AMD Catalyst Install Manager Advanced Micro Devices, Inc. 02.02.2012 20,2MB 3.0.859.0 notwendig

AMD Processor Driver AMD 21.01.2012 1.3.2.0053 notwendig

Apple Application Support Apple Inc. 28.04.2012 62,7MB 2.1.7 notwendig

Apple Mobile Device Support Apple Inc. 28.04.2012 24,4MB 5.1.1.4 notwendig

Apple Software Update Apple Inc. 23.02.2012 2,38MB 2.1.3.127 notwendig

Bonjour Apple Inc. 23.02.2012 1,03MB 3.0.0.10 notwendig

Brother MFL-Pro Suite Brother Industries, Ltd. 11.03.2012 1.00 notwendig

CCleaner Piriform 04.05.2012 3.15 notwendig

CDBurnerXP CDBurnerXP 01.03.2012 4.4.0.2968 notwendig

EVEREST Ultimate Edition v5.50 Lavalys, Inc. 21.01.2012 5.50 unnötig

FIFA 12 Electronic Arts 04.05.2012 1.0.0.0 notwendig

iTunes Apple Inc. 28.04.2012 157,4MB 10.6.1.7 notwendig

Java(TM) 6 Update 30 Oracle 08.02.2012 97,1MB 6.0.300 notwendig

Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert

Log-Analyse und Auswertung: Sie haben sich mit einem Windows-Verschlüsselungs Trojaner infiziert