|
Plagegeister aller Art und deren Bekämpfung: Virus nimmt Desktop einWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.05.2012, 12:21 | #1 |
| Virus nimmt Desktop ein Hi Hab seit gestern ein programm oder einen virus am laptop und ich kann echt nichts mehr machen. Die hälfte vom desktop ist weiß und es steht "bitte warten sie während die verbindung hergestellt wird" dort. Mit dem mauszeiger komm ich auch nicht über die weiße hälfte. Was kann das sein und wie kann ich das problem lösen? System ist Windows XP. Danke |
15.05.2012, 12:47 | #2 |
/// Helfer-Team | Virus nimmt Desktop ein geht der "abgesicherte Modus" noch?
__________________beim start des rechners F8 drücken und dann im auswahlmenue "abgesicherter modus mit eingabeaufforderung" wählen wenn das geht bitte msconfig eingeben und im reiter systemstart schauen ob eine datei geladen wird die im User ---> appdata ordner oder ähnlich geladen wird wenn ja dann sagen wie die heißt |
15.05.2012, 12:59 | #3 |
| Virus nimmt Desktop ein danke für den tip
__________________war gerade im abgesichertem modus und wollte msconfig eingeben doch plötzlich tauchte das programm wieder auf aber diesmal über den ganzen bildschirm |
15.05.2012, 13:02 | #4 |
/// Helfer-Team | Virus nimmt Desktop ein bist du im abgesicherten modus oder im abgesicherten modus mit eingabeaufforderung? |
15.05.2012, 13:07 | #5 | |
| Virus nimmt Desktop einZitat:
habs jetzt gschaft msconfig einzugeben aber bekamm dann die meldung nicht gefunden und dann war das programm wieder da halbe minute max. kann ich in dem modus bleiben bis das programm wieder auftaucht |
15.05.2012, 13:13 | #6 |
/// Helfer-Team | Virus nimmt Desktop ein dann mal hier eine Anleitung von markusg zum erstellen einer boot cd und dem weiteren werdegang: Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten: Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD. Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Bebilderte Anleitung: OTLpe-Scan
__________________ Wenn Ihr uns unterstützen möchtet |
15.05.2012, 16:04 | #7 |
| Virus nimmt Desktop ein ich hoff das ist richtig so danke Code:
ATTFilter %SYSTEMDRIVE%\*. %PROGRAMFILES%\*.exe %LOCALAPPDATA%\*.exe %systemroot%\*. /mp /s /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\system32\*.dll /lockedfiles %USERPROFILE%\*.* %USERPROFILE%\Local Settings\Temp\*.exe %USERPROFILE%\Local Settings\Temp\*.dll %USERPROFILE%\Application Data\*.exe Code:
ATTFilter OTL logfile created on: 5/15/2012 6:42:57 PM - Run OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM Internet Explorer (Version = 6.0.2900.2180) Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy 509.00 Mb Total Physical Memory | 292.00 Mb Available Physical Memory | 57.00% Memory free 457.00 Mb Paging File | 314.00 Mb Available in Paging File | 69.00% Paging File free Paging file location(s): C:\pagefile.sys 768 1536 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74.52 Gb Total Space | 26.16 Gb Free Space | 35.11% Space Free | Partition Type: NTFS Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO | User Name: SYSTEM Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days Using ControlSet: ControlSet002 ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled] -- -- (AppMgmt) SRV - [2012/05/03 06:14:38 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2010/06/02 10:58:20 | 000,246,520 | ---- | M] () [Disabled] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service) SRV - [2007/09/04 05:14:34 | 000,087,344 | ---- | M] (AVM Berlin) [Disabled] -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE -- (IGDCTRL) SRV - [2006/10/16 10:10:58 | 000,023,856 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\WINDOWS\system32\spupdsvc.exe -- (spupdsvc) SRV - [2004/07/26 00:20:44 | 000,918,792 | ---- | M] (Zone Labs Inc.) [Auto] -- C:\WINDOWS\System32\ZoneLabs\vsmon.exe -- (vsmon) SRV - [2003/11/26 17:44:19 | 000,061,440 | ---- | M] (CrypKey (Canada) Ltd.) [Disabled] -- C:\WINDOWS\System32\Crypserv.exe -- (Crypkey License) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | On_Demand] -- -- (LEX_AS_NIC_SERVICE_YNOS) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | System] -- -- (Changer) DRV - [2010/09/19 00:52:13 | 000,000,000 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\oopuhnpkpjv.sys -- (khqlmxop) DRV - [2009/05/12 19:47:36 | 000,027,136 | ---- | M] (NCH Swift Sound) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nchssvad.sys -- (NCHSSVAD) DRV - [2009/02/24 12:42:14 | 000,116,736 | ---- | M] (MagicISO, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mcdbus.sys -- (mcdbus) DRV - [2007/12/28 09:02:12 | 000,287,232 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wg111v3.sys -- (RTL8187B) DRV - [2006/12/09 19:08:32 | 000,018,944 | ---- | M] (TASCAM) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nstation.sys -- (NSTATION) DRV - [2006/12/09 19:08:30 | 001,447,040 | ---- | M] (TASCAM) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ew.sys -- (EWAVE) DRV - [2006/12/09 19:08:30 | 000,026,992 | ---- | M] (TASCAM) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\filespy.sys -- (FILESPY) DRV - [2005/05/11 02:02:08 | 000,009,216 | R--- | M] (Creative Technology Ltd.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\pfmodnt.sys -- (PfModNT) DRV - [2005/05/11 01:54:50 | 000,007,168 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ctprxy2k.sys -- (ctprxy2k) DRV - [2005/05/11 01:54:48 | 000,436,224 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ctaud2k.sys -- (ctaud2k) Creative Audio Driver (WDM) DRV - [2005/05/11 01:54:32 | 000,744,448 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ha10kx2k.sys -- (ha10kx2k) DRV - [2005/05/11 01:54:30 | 000,116,224 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ctoss2k.sys -- (ossrv) DRV - [2005/05/11 01:54:24 | 000,145,408 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ctsfm2k.sys -- (ctsfm2k) DRV - [2005/05/11 01:54:24 | 000,076,800 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\emupia2k.sys -- (emupia) DRV - [2005/05/11 01:54:20 | 000,503,296 | R--- | M] (Creative Technology Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ctac32k.sys -- (ctac32k) DRV - [2004/07/26 00:20:32 | 000,271,216 | ---- | M] (Zone Labs Inc.) [Kernel | System] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant) DRV - [2003/10/09 11:20:54 | 000,244,496 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\stac97.sys -- (STAC97) Audio Driver (WDM) DRV - [2003/08/01 05:52:25 | 001,106,944 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_DP.sys -- (HSF_DP) DRV - [2003/08/01 05:52:25 | 000,622,592 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf) DRV - [2003/08/01 05:52:25 | 000,156,288 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSFHWSIS.sys -- (HSFHWSIS) DRV - [2003/07/29 02:18:32 | 000,028,518 | ---- | M] () [Kernel | System] -- C:\WINDOWS\system32\ckldrv.sys -- (NetworkX) DRV - [2003/06/10 15:35:58 | 000,093,700 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Apfiltr.sys -- (ApfiltrService) DRV - [2002/12/24 09:09:48 | 000,030,848 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\SISAGPX.SYS -- (SISAGP) DRV - [2002/11/24 23:46:16 | 000,016,896 | ---- | M] (Syncrosoft GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\synasUSB.sys -- (SynasUSB) DRV - [2002/08/20 05:59:32 | 000,071,961 | ---- | M] (Sony Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SonyPI.sys -- (SPI) DRV - [2002/08/08 07:54:02 | 000,012,273 | ---- | M] (AKAI professional M.I. Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\DPS24USB.sys -- (DPS24USB) DRV - [2002/07/17 02:05:10 | 000,016,512 | ---- | M] (Adaptec) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASPI32.SYS -- (ASPI) DRV - [2002/07/10 17:39:34 | 000,032,256 | ---- | M] (SiS Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC) DRV - [2001/04/08 23:03:56 | 000,017,784 | ---- | M] (Syncrosoft Hard- und Software GmbH) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\NSynas32.sys -- (Nsynas32) DRV - [2000/12/05 09:18:02 | 000,003,952 | ---- | M] (Sony Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\DMICall.sys -- (DMICall) DRV - [2000/11/09 13:15:08 | 000,048,896 | ---- | M] (Sony Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\SonyNC.sys -- (SNC) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.club-vaio.sony-europe.com/ IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.sony-europe.com/ IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.sony-europe.com/ IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.sony-europe.com/ IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\yo_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com IE - HKU\yo_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.linkury.com/newtab.html IE - HKU\yo_ON_C\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com IE - HKU\yo_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://cloud-search.linkury.com/results.htm?cx=partner-pub-7890126930977991:1926905636&cof=FORID:11&q={searchTerms}&sa=Search&siteurl=search.linkury.com IE - HKU\yo_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\wrc@avast.com: C:\Programme\AVAST Software\Avast\WebRep\FF FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/05/03 06:14:38 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/05/06 21:09:48 | 000,000,000 | ---D | M] [2011/11/09 22:19:40 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012/05/03 06:14:38 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012/02/01 20:00:58 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012/02/01 20:00:58 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012/02/01 20:00:58 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012/02/01 20:00:58 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012/02/01 20:00:58 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012/02/01 20:00:58 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2011/06/22 08:10:44 | 000,000,098 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\Hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation) O3 - HKU\yo_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O4 - HKLM..\Run: [A2F0dnfEgERcY31] C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe () O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe (Zone Labs Inc.) O4 - HKU\NetworkService_ON_C..\Run: [4E3E0230AEBB4E96] File not found O4 - HKU\yo_ON_C..\Run: [A2F0dnfEgERcY31] C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe () O4 - HKLM..\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found O4 - HKLM..\RunOnceEx: [Title] File not found O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\yo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 95 O7 - HKU\yo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1 O7 - HKU\yo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\yo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.) O9 - Extra Button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe () O9 - Extra 'Tools' menuitem : PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\PartyGaming\PartyCasino\RunApp.exe () O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe () O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe () O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe) - C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe () O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe) - C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe () O20 - HKU\yo_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe) - C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe () O20 - HKU\yo_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe) - C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe () O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2003/08/01 06:20:44 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O34 - HKLM BootExecute: (MACHINE BootExecut) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Microsoft VM ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608555} - Internet Explorer Classes for Java ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015C} - Microsoft DirectX ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install ActiveX: {8b15971b-5355-4c82-8c07-7e181ea07608} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung ActiveX: {94de52c8-2d59-4f1b-883e-79663d2d9a8c} - rundll32.exe C:\WINDOWS\System32\Setup\FxsOcm.dll,XP_UninstallProvider ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player ActiveX: {DBB3C81D-3C91-4a1e-BDDF-905B61C7CEDF} - Security Update for the Microsoft VM ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: {F5776D81-AE53-4935-8E84-B0B283D8BCEF} - Q330994 ActiveX: {f5de1b93-9d38-416b-b09e-aa85a8e84309} - Q818529 ActiveX: {VACshg1c-nRbb-H9BT-0r1B-iU5eIcds0ZgB} - ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found MsConfig - Services: "spupdsvc" MsConfig - Services: "wuauserv" MsConfig - Services: "wscsvc" MsConfig - Services: "usnjsvc" MsConfig - Services: "mnmsrvc" MsConfig - Services: "dmserver" MsConfig - Services: "dmadmin" MsConfig - Services: "BITS" MsConfig - Services: "AppMgmt" MsConfig - Services: "WMPNetworkSvc" MsConfig - Services: "WmdmPmSN" MsConfig - Services: "aspnet_state" MsConfig - Services: "CiSvc" MsConfig - Services: "helpsvc" MsConfig - Services: "ICQ Service" MsConfig - Services: "ERSvc" MsConfig - Services: "Crypkey License" MsConfig - Services: "Themes" MsConfig - Services: "lanmanworkstation" MsConfig - Services: "IGDCTRL" MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^yo^Startmenü^Programme^Autostart^Adobe Media Player.lnk - C:\Programme\Adobe\Adobe Media Player\Adobe Media Player.exe - () MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^yo^Startmenü^Programme^Autostart^MagicDisc.lnk - C:\Programme\MagicDisc\MagicDisc.exe - (MagicISO, Inc.) MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^yo^Startmenü^Programme^Autostart^sysrda32.exe - - File not found MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: Apoint - hkey= - key= - C:\Programme\Apoint\Apoint.exe (Alps Electric Co., Ltd.) MsConfig - StartUpReg: CTHelper - hkey= - key= - C:\WINDOWS\CTHELPER.EXE (Creative Technology Ltd) MsConfig - StartUpReg: EW Message Server - hkey= - key= - File not found MsConfig - StartUpReg: ezShieldProtector for Px - hkey= - key= - File not found MsConfig - StartUpReg: ICQ - hkey= - key= - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.) MsConfig - StartUpReg: KernelFaultCheck - hkey= - key= - File not found MsConfig - StartUpReg: Linkury Chrome Smartbar - hkey= - key= - C:\Dokumente und Einstellungen\yo\Lokale Einstellungen\Anwendungsdaten\Linkury\Application\Linkury.exe () MsConfig - StartUpReg: Mouse Suite 98 Daemon - hkey= - key= - File not found MsConfig - StartUpReg: MsnMsgr - hkey= - key= - C:\Programme\Windows Live\Messenger\msnmsgr.exe (Microsoft Corporation) MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found MsConfig - StartUpReg: QuickTime Task - hkey= - key= - C:\Programme\QuickTime\QTTask.exe (Apple Inc.) MsConfig - StartUpReg: SetDefaultMIDI - hkey= - key= - C:\WINDOWS\MIDIDEF.EXE (Creative Technology Ltd) MsConfig - StartUpReg: SigmaTel StacMon - hkey= - key= - C:\Programme\SigmaTel\C-Major Audio\stacmon.exe (SigmaTel Inc.) MsConfig - StartUpReg: Skype - hkey= - key= - C:\Programme\Skype\Phone\Skype.exe (Skype Technologies S.A.) MsConfig - StartUpReg: SMSTray - hkey= - key= - C:\Programme\Samsung\Samsung Media Studio 5\SMSTray.exe (SAMSUNG ELECTRONICS) MsConfig - StartUpReg: Sony Ericsson PC Companion - hkey= - key= - C:\Programme\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe (Sony Ericsson Mobile Communications AB) MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.) MsConfig - StartUpReg: UnHackMe Monitor - hkey= - key= - File not found MsConfig - StartUpReg: UpdReg - hkey= - key= - C:\WINDOWS\Updreg.EXE (Creative Technology Ltd.) MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 2 MsConfig - State: "startup" - 2 ========== Files/Folders - Created Within 30 Days ========== [2012/05/03 06:14:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla [2012/05/03 06:14:40 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service [2012/04/24 08:27:40 | 000,000,000 | ---D | C] -- C:\Programme\AVAST Software [2012/04/24 08:27:40 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software [2005/05/11 01:52:06 | 000,009,216 | ---- | C] ( ) -- C:\WINDOWS\System32\KILLAPPS.EXE ========== Files - Modified Within 30 Days ========== [2012/05/15 08:42:28 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012/05/15 08:42:24 | 534,302,720 | -HS- | M] () -- C:\hiberfil.sys [2012/05/14 21:28:39 | 000,011,564 | ---- | M] () -- C:\WINDOWS\System32\DVCState-{00000081-00000000-00000000-00001102-00000008-42011102}.rfx [2012/05/14 21:28:39 | 000,000,924 | ---- | M] () -- C:\WINDOWS\System32\BMXCtrlState-{00000081-00000000-00000000-00001102-00000008-42011102}.rfx [2012/05/14 21:28:39 | 000,000,924 | ---- | M] () -- C:\WINDOWS\System32\BMXBkpCtrlState-{00000081-00000000-00000000-00001102-00000008-42011102}.rfx [2012/05/14 21:28:39 | 000,000,064 | ---- | M] () -- C:\WINDOWS\System32\BMXStateBkp-{00000081-00000000-00000000-00001102-00000008-42011102}.rfx [2012/05/14 21:28:39 | 000,000,064 | ---- | M] () -- C:\WINDOWS\System32\BMXState-{00000081-00000000-00000000-00001102-00000008-42011102}.rfx [2012/05/14 21:20:20 | 000,274,432 | ---- | M] () -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe [2012/05/06 06:36:08 | 000,419,488 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe [2012/05/06 06:36:08 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2012/05/02 19:51:37 | 000,006,530 | ---- | M] () -- C:\Dokumente und Einstellungen\yo\Desktop\#.jpg [2012/04/24 11:16:08 | 000,002,953 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT ========== Files Created - No Company Name ========== [2012/05/15 08:35:45 | 534,302,720 | -HS- | C] () -- C:\hiberfil.sys [2012/05/14 21:20:24 | 000,274,432 | ---- | C] () -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe [2012/05/02 19:51:37 | 000,006,530 | ---- | C] () -- C:\Dokumente und Einstellungen\yo\Desktop\#.jpg [2011/03/27 11:43:34 | 000,034,308 | ---- | C] () -- C:\WINDOWS\System32\BASSMOD.dll [2011/02/20 03:54:42 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll [2010/09/08 14:17:07 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\drivers\str.sys [2010/09/08 14:17:05 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\drivers\oopuhnpkpjv.sys [2010/09/08 14:17:00 | 000,000,016 | ---- | C] () -- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\hngmfc.dat [2010/09/08 14:16:56 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\avdrn.dat [2010/07/14 06:57:03 | 041,864,883 | ---- | C] () -- C:\Dokumente und Einstellungen\yo\__rzi_00.218 [2010/05/31 20:30:06 | 000,331,263 | ---- | C] () -- C:\WINDOWS\LOOP.exe [2010/05/07 16:16:53 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat [2010/04/20 03:02:52 | 000,000,043 | ---- | C] () -- C:\WINDOWS\Crypkey.ini [2010/04/20 03:02:45 | 000,028,518 | ---- | C] () -- C:\WINDOWS\System32\Ckldrv.sys [2010/04/20 03:02:38 | 000,027,648 | R--- | C] () -- C:\WINDOWS\Setup_ck.exe [2010/04/20 03:02:38 | 000,018,432 | ---- | C] () -- C:\WINDOWS\Setup_ck.dll [2010/04/20 03:02:38 | 000,011,776 | ---- | C] () -- C:\WINDOWS\Ckrfresh.exe [2010/04/20 02:59:05 | 000,000,037 | ---- | C] () -- C:\WINDOWS\PerformanceTool.INI [2010/02/17 10:37:30 | 000,000,130 | RHS- | C] () -- C:\WINDOWS\Regbak.dat [2009/05/15 16:09:27 | 000,017,884 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat [2009/03/05 12:36:50 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll [2009/03/03 17:55:35 | 000,000,065 | ---- | C] () -- C:\WINDOWS\FISHUI.INI [2009/03/03 17:28:06 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll [2009/03/03 17:28:06 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\OggDS.dll [2009/03/03 17:28:06 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll [2009/03/03 17:28:06 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\Ogg.dll [2009/02/25 11:34:53 | 000,124,240 | ---- | C] () -- C:\WINDOWS\GXTranscoder v2 Uninstaller.exe [2009/02/22 09:18:52 | 000,000,049 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2009/02/13 09:09:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2009/02/13 08:59:30 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2009/02/13 08:58:35 | 000,265,066 | R--- | C] () -- C:\WINDOWS\System32\ctsbas2w.dat [2009/02/13 08:58:35 | 000,140,643 | R--- | C] () -- C:\WINDOWS\System32\ctbas2w.dat [2009/02/13 08:58:33 | 000,053,932 | R--- | C] () -- C:\WINDOWS\System32\ctdaught.dat [2009/02/13 08:58:32 | 000,313,207 | R--- | C] () -- C:\WINDOWS\System32\ctstatic.dat [2009/02/13 08:58:32 | 000,293,446 | R--- | C] () -- C:\WINDOWS\System32\ctdlang.dat [2009/02/13 08:57:35 | 000,044,092 | R--- | C] () -- C:\WINDOWS\System32\e10kxwdm.ini [2009/02/13 08:57:35 | 000,000,193 | R--- | C] () -- C:\WINDOWS\System32\ctzapxx.ini [2009/02/13 08:40:01 | 000,004,212 | -H-- | C] () -- C:\WINDOWS\System32\zllictbl.dat [2009/02/13 08:26:50 | 000,053,760 | ---- | C] () -- C:\Dokumente und Einstellungen\yo\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2005/05/11 02:04:50 | 000,070,656 | ---- | C] () -- C:\WINDOWS\System32\CTMMACTL.DLL [2005/05/11 02:02:56 | 000,038,912 | ---- | C] () -- C:\WINDOWS\System32\CTBURST.DLL [2005/05/11 02:01:16 | 000,034,304 | ---- | C] () -- C:\WINDOWS\PSCONV.EXE [2005/05/11 01:54:22 | 000,033,280 | ---- | C] () -- C:\WINDOWS\System32\REGPLIB.EXE [2005/05/11 01:52:26 | 000,231,821 | ---- | C] () -- C:\WINDOWS\System32\CTSBASW.DAT [2005/05/11 01:52:26 | 000,113,221 | ---- | C] () -- C:\WINDOWS\System32\CTBASICW.DAT [2004/08/02 09:20:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2003/08/07 15:01:50 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll [2003/08/01 11:44:06 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini [2003/08/01 11:16:29 | 000,000,072 | ---- | C] () -- C:\WINDOWS\AcrobatSetupStatus.ini [2003/08/01 09:28:21 | 000,006,550 | ---- | C] () -- C:\WINDOWS\jautoexp.dat [2003/08/01 08:51:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PcfEdit.INI [2003/08/01 07:13:28 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2003/08/01 07:12:33 | 000,116,560 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2003/08/01 06:26:00 | 000,000,849 | ---- | C] () -- C:\WINDOWS\orun32.ini [2003/08/01 06:22:41 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2003/08/01 06:18:45 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2003/08/01 05:56:16 | 000,002,860 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini [2003/08/01 05:56:06 | 000,406,868 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2003/08/01 05:56:06 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2003/08/01 05:56:06 | 000,071,650 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2003/08/01 05:56:06 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2003/08/01 05:55:49 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys [2003/08/01 05:55:47 | 000,393,836 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2003/08/01 05:55:47 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2003/08/01 05:55:47 | 000,059,466 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2003/08/01 05:55:47 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2003/08/01 05:55:46 | 000,004,530 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [2003/08/01 05:55:44 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2003/08/01 05:55:42 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2003/08/01 05:55:37 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2003/08/01 05:55:37 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2003/08/01 05:55:30 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2003/08/01 05:55:16 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2003/03/21 05:56:10 | 000,000,194 | ---- | C] () -- C:\WINDOWS\System32\KILL.INI [2003/03/11 11:53:00 | 000,001,796 | ---- | C] () -- C:\WINDOWS\System32\SNDefs.dat ========== LOP Check ========== [2003/08/01 11:16:29 | 000,000,000 | ---D | M] -- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\InterTrust [2009/10/02 04:54:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\Any Video Converter [2010/06/25 03:58:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\calibre [2009/03/03 17:27:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\DataCast [2010/10/11 05:04:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\Edison [2009/02/13 08:57:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\EmuPatchMixDSP [2009/12/18 18:29:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\FRITZ! [2011/11/27 16:31:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\ICQ [2003/08/01 11:16:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\InterTrust [2009/11/04 02:43:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\mquadr.at [2011/06/24 14:14:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\NCH Swift Sound [2012/01/06 14:00:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\OpenCandy [2010/05/31 20:30:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\Propellerhead Software [2009/10/01 13:43:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\Sony [2009/10/01 14:25:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\Sony Setup [2011/06/02 09:25:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\Steinberg [2012/04/26 09:46:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\yo\Anwendungsdaten\uTorrent [2012/04/24 08:27:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software [2010/06/18 12:08:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2011/06/24 14:35:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound [2010/05/31 20:30:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Propellerhead Software [2009/12/18 18:45:23 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{4893E9D3-90A5-46EA-9E22-F86C85D159B8} ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2010/07/03 05:42:54 | 000,000,000 | ---D | M] -- C:\ConvertedFiles [2012/05/15 08:34:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2011/01/15 02:50:26 | 000,000,000 | ---D | M] -- C:\Downloads [2003/08/01 12:52:01 | 000,000,000 | ---D | M] -- C:\Drivers [2012/05/03 06:14:40 | 000,000,000 | R--D | M] -- C:\Programme [2011/06/22 13:50:48 | 000,000,000 | -H-D | M] -- C:\Recycle.Bin [2009/02/13 08:37:01 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2009/03/05 13:14:55 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2003/08/01 10:47:03 | 000,000,000 | ---D | M] -- C:\Utils [2012/05/14 21:31:43 | 000,000,000 | ---D | M] -- C:\WINDOWS [2009/02/13 08:27:09 | 000,000,000 | ---D | M] -- C:\WUTemp [2011/06/22 08:10:42 | 000,000,000 | ---D | M] -- C:\_OTL < %PROGRAMFILES%\*.exe > Invalid Environment Variable: %LOCALAPPDATA%\*.exe < %systemroot%\*. /mp /s > < MD5 for: AGP440.SYS > [2004/08/03 20:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys [2004/08/03 20:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:AGP440.sys [2004/08/03 18:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys [2004/08/03 18:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\system32\dllcache\agp440.sys [2004/08/03 18:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\system32\drivers\agp440.sys < MD5 for: ATAPI.SYS > [2002/08/29 08:00:00 | 010,180,476 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp1.cab:atapi.sys [2004/08/03 20:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2002/08/29 08:00:00 | 010,180,476 | ---- | M] () .cab file -- C:\WINDOWS\I386\sp1.cab:atapi.sys [2004/08/03 20:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:atapi.sys [2002/08/29 08:00:00 | 000,086,912 | ---- | M] (Microsoft Corporation) MD5=95B858761A00E1D4F81F79A0DA019ACA -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys [2004/08/03 17:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2004/08/03 17:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\drivers\atapi.sys < MD5 for: EVENTLOG.DLL > [2004/08/03 19:57:20 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll [2004/08/03 19:57:20 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\eventlog.dll [2002/08/29 08:00:00 | 000,049,152 | ---- | M] (Microsoft Corporation) MD5=B9358A1FB66CF656328FD8B792B2CCC4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll < MD5 for: EXPLORER.EXE > [2002/08/29 08:00:00 | 001,007,104 | ---- | M] (Microsoft Corporation) MD5=22B0A56E6C5847292437078B484EC61B -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe [2004/08/03 19:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\explorer.exe [2004/08/03 19:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe < MD5 for: NETLOGON.DLL > [2002/08/29 08:00:00 | 000,399,360 | ---- | M] (Microsoft Corporation) MD5=BCA549B21E651111CE7BAD0FC8C45F4B -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll [2004/08/03 19:57:32 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll [2004/08/03 19:57:32 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\system32\netlogon.dll < MD5 for: SCECLI.DLL > [2004/08/03 19:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll [2004/08/03 19:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\scecli.dll [2002/08/29 08:00:00 | 000,181,248 | ---- | M] (Microsoft Corporation) MD5=ADD49C10F5DADFA81912D124FE1C9A99 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll < MD5 for: USER32.DLL > [2004/08/03 19:57:38 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\ServicePackFiles\i386\user32.dll [2004/08/03 19:57:38 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\system32\user32.dll [2002/11/22 06:28:16 | 000,530,432 | ---- | M] (Microsoft Corporation) MD5=DB15B2FE24ECCE331EA3A954F6F90448 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll < MD5 for: USERINIT.EXE > [2002/08/29 08:00:00 | 000,022,528 | ---- | M] (Microsoft Corporation) MD5=BEBD3F08461F9A88E5ABCE0CB9707000 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe [2004/08/03 19:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe [2004/08/03 19:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2004/08/03 19:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2004/08/03 19:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe [2002/08/29 08:00:00 | 000,521,728 | ---- | M] (Microsoft Corporation) MD5=616896B708286DA98D6A099293F181D7 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe < MD5 for: WS2IFSL.SYS > [2002/08/29 08:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2002/08/29 08:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2003/08/01 08:12:06 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav [2003/08/01 08:12:06 | 000,606,208 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav [2003/08/01 08:12:06 | 000,401,408 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav < %systemroot%\system32\*.dll /lockedfiles > [2004/08/03 19:57:18 | 000,148,480 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\dnsapi.dll [2004/08/03 19:57:30 | 000,280,064 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\mstask.dll [2004/08/03 19:57:32 | 000,067,072 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\ntdsapi.dll [2004/08/03 19:57:34 | 001,483,776 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\shdocvw.dll [2004/08/03 19:57:34 | 008,424,960 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\shell32.dll Invalid Environment Variable: %USERPROFILE%\*.* Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.exe Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.dll Invalid Environment Variable: %USERPROFILE%\Application Data\*.exe < End of report > Geändert von AK1 (15.05.2012 um 16:12 Uhr) |
15.05.2012, 16:29 | #8 |
/// Malware-holic | Virus nimmt Desktop ein na dann erobern wir ihn mal zurück :-) auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein: Code:
ATTFilter :OTL O4 - HKU\NetworkService_ON_C..\Run: [4E3E0230AEBB4E96] File not found O4 - HKU\yo_ON_C..\Run: [A2F0dnfEgERcY31] C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe () O4 - HKLM..\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found O4 - HKLM..\RunOnceEx: [Title] File not found O7 - HKU\yo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1 O7 - HKU\yo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\yo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe) - C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe () O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe) - C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe () O20 - HKU\yo_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe) - C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe () O20 - HKU\yo_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe) - C:\Dokumente und Einstellungen\yo\Anwendungsdaten\spoolsrv.exe () :Files :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] dieses speicherst du auf nem usb stick als fix.txt nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die + E Taste.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
15.05.2012, 16:32 | #9 |
/// Helfer-Team | Virus nimmt Desktop ein Danke markus |
15.05.2012, 19:17 | #10 |
| Virus nimmt Desktop ein Danke jungs!! windows hat normal gestartet aber die log datei konnte ich nicht finden das mit dem UpChannel hab ich gemacht Danke nochmals und weiter so!! |
16.05.2012, 17:11 | #11 | |
/// Malware-holic | Virus nimmt Desktop ein hi wir sind nicht durch. danke fürs hoch laden. Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu Virus nimmt Desktop ein |
bitte warten, bitte warten sie während die verbindung hergestellt wird, desktop, gestern, hergestellt, hälfte, laptop, lösen, mauszeiger, nichts, problem, programm, verbindung, virus, weiße, windows |