|
Plagegeister aller Art und deren Bekämpfung: 100€ Windows Verschlüsselungs-TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.05.2012, 18:19 | #1 |
| 100€ Windows Verschlüsselungs-Trojaner Hallo, ich habe bei Web.de mein Mails gelesen und, habe Die zip-Datei im Onlinespeicher aufmachen wollen was nicht ging, auf meinen Desktop gespeichert. es sah aus wie ein Icon was ich mutig auch mit Doppelklick öffnen wollte,um sie zu lesen. nach dem Doppelklick verschwand das Icon (da wußte ich schon das es nichts gutes bedeutet). Kurze Zeit später kam dann Windows-Sicherheitscenter-bla bla bla- ich soll 100€ per Paysafecardcode eingeben. jetzt das Problem: Computer startet normal, XP-Windowslogo, Desktophintergrundbild weg und alles blau, sehr kurze Zeit später kommt dann das Windows-Sicherheitscenter und will das ich bezahle. Habe im abgesicherten Modus probiert zu starten was auch ging, sehr kurze Zeit später rebootet der Computer von alleine und alles fängt von vorne an. Komme zwar in den Bios und habe die Bootreihenfolge geändert (Windows-CD eingelegt). Wollte XP neu aufziehen was nicht ging, es kam dann das XP Logo usw. Beim Ausschalten höre ich den Abmelde-Song von Windows. Habe Malwarebytes-Anti-Malware / Super-AntiSpyware ( Das mit dem Käfer )bereits auf dem Rechner kann es aber nicht starten weil dieses blöde Windows-Sicherheitcenter ständig da ist. Ich weiß jetzt nicht was ich machen soll um wenigstens auf dem Desktop zu kommen um das Antimalewareprogramm zu starten. Bräuchte bitte dringend Hilfestellung und Erklärung das auch ein Laie wie es versteht. Ich bedanke mich schon mal im Vorraus für die Hilfe |
29.05.2012, 14:43 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 100€ Windows Verschlüsselungs-Trojaner Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?
__________________Abgesicherter Modus zur Bereinigung
__________________ |
29.05.2012, 17:05 | #3 |
| 100€ Windows Verschlüsselungs-Trojaner hi,
__________________Erst mal ein Dankeschön für die Antwort. Ich habe es probiert im abgesicherten Modus mit Netzwerktriebern zu Starten versucht. Da kam ein schwarzer Bildschirm wo ganz unten ein Schriftzug zu sehen war multi bla bla windows 32 so und so (was ca.3sec.sichtbar war und in der Kürze nicht komplett lesbar war). Mehrmals probiert. Computer startet neu und ich kam wieder in den abgesicherten Modus zurück. Ich weiß nicht wie aber ich bin jetzt auf dem Desktop (blauer Hintergrund) mit Icons. Marlwarebytes probiert zu Starten kam Meldung - Run-time error 13 Type mismatch. Habe es geschaft eine neue Internetverbindung manuell herzustellen ( alte ging nicht mehr ). Lasse den Computer laufen (weiß nicht ob ich das Teil nochmal zum Laufen bringe ), werde nur die Internetverbindung kappen. |
30.05.2012, 09:12 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 100€ Windows Verschlüsselungs-Trojaner Läuft Malwarebytes nun oder nicht? Wenn nicht müssen wir anders rangehen
__________________ Logfiles bitte immer in CODE-Tags posten |
30.05.2012, 13:16 | #5 |
| 100€ Windows Verschlüsselungs-Trojaner Maleware startet zwar Normal aber wenn ich Scannen will kommt die Errormeldung. Soll ich das Programm neuinstallieren? |
30.05.2012, 13:33 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 100€ Windows Verschlüsselungs-Trojaner Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten: Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
__________________ --> 100€ Windows Verschlüsselungs-Trojaner |
30.05.2012, 17:24 | #7 |
| 100€ Windows Verschlüsselungs-Trojaner OTLPE Icon-Doppelklick "Do you wish to load the remote registry" - Wurde aber nicht gefragt !!!! Es öffnete sich ein kleines Fenster: "Do you wish to load remote user profile(s) for scanning" OTL Logfile: Code:
ATTFilter OTL logfile created on: 5/30/2012 7:02:30 PM - Run OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 88.00% Memory free 2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 298.08 Gb Total Space | 276.57 Gb Free Space | 92.79% Space Free | Partition Type: NTFS Drive D: | 465.76 Gb Total Space | 82.12 Gb Free Space | 17.63% Space Free | Partition Type: NTFS Drive E: | 465.76 Gb Total Space | 25.68 Gb Free Space | 5.51% Space Free | Partition Type: NTFS Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO | User Name: SYSTEM Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days Using ControlSet: ControlSet002 ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled] -- -- (gusvc) SRV - File not found [On_Demand] -- -- (AppMgmt) SRV - [2012/05/10 21:14:16 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012/05/10 21:14:14 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2012/05/05 11:11:09 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2011/05/25 03:25:59 | 002,214,504 | ---- | M] (NVIDIA Corporation) [Auto] -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe -- (nvUpdatusService) SRV - [2010/11/21 05:49:24 | 000,247,608 | ---- | M] () [Auto] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service) SRV - [2010/03/04 17:38:00 | 000,071,096 | ---- | M] () [Auto] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess) SRV - [2008/06/24 09:05:56 | 000,537,896 | ---- | M] (Nero AG) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- (NMIndexingService) SRV - [2006/11/23 10:45:46 | 000,024,072 | ---- | M] (TuneUp Software GmbH) [Auto] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp) SRV - [2005/11/01 05:30:46 | 000,172,032 | ---- | M] (T-Systems International GmbH) [On_Demand] -- C:\Programme\T-Online\DSL-Manager\TODslSvc.exe -- (TODslService) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand] -- -- (WDICA) DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (i2omgmt) DRV - File not found [Kernel | System] -- -- (Changer) DRV - [2012/05/29 20:35:03 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - [2012/05/10 21:14:17 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012/05/10 21:14:17 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2011/10/11 09:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2010/11/06 16:24:30 | 000,019,056 | ---- | M] () [Kernel | On_Demand] -- C:\Programme\PeerBlock\pbfilter.sys -- (pbfilter) DRV - [2010/06/17 09:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010/05/10 14:41:30 | 000,067,656 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System] -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS -- (SASKUTIL) DRV - [2010/02/17 14:25:48 | 000,012,872 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System] -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys -- (SASDIFSV) DRV - [2009/11/12 08:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen) DRV - [2009/08/05 00:16:44 | 000,039,424 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\l1e51x86.sys -- (L1e) DRV - [2008/07/16 06:52:00 | 004,747,776 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2004/08/12 22:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\xxx_xxx_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://reloaded.pennergame.de/ IE - HKU\xxx_xxx_ON_C\..\URLSearchHook: - Reg Error: Key error. File not found IE - HKU\xxx_xxx_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found IE - HKU\xxx_xxx_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\systemprofile_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\UpdatusUser.PRIVAT-MJFGDCTM_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\UpdatusUser_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/05/14 20:07:13 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/04/14 05:16:21 | 000,000,000 | ---D | M] [2012/05/14 20:07:13 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012/03/13 00:38:06 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012/02/18 13:02:25 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2012/03/13 01:23:34 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011/11/03 15:10:54 | 000,002,288 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\babylon.xml [2012/03/13 01:06:36 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012/03/13 01:23:34 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012/03/13 01:23:34 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012/03/13 01:23:34 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012/03/13 01:23:34 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2003/04/02 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll (Google Inc.) O3 - HKLM\..\Toolbar: (WEB.DE Toolbar) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH) O3 - HKU\xxx_xxx_ON_C\..\Toolbar\WebBrowser: (WEB.DE Toolbar) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe () O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [T-Online DSL-Manager] C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (T-Systems International GmbH) O4 - HKU\xxx_xxx_ON_C..\Run: [1und1Dispatcher] C:\Programme\1und1Softwareaktualisierung\SchedDispatcher.exe (1&1 Mail & Media GmbH) O4 - HKU\xxx_xxx_ON_C..\Run: [6CA077EF] C:\WINDOWS\system32\485380036CA077EF9C2B.exe (We bello comè?) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\UpdatusUser.PRIVAT-MJFGDCTM_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\UpdatusUser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.) O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\System32\spacklsp.dll () O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINDOWS\System32\spacklsp.dll () O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINDOWS\System32\spacklsp.dll () O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\WINDOWS\System32\spacklsp.dll () O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\WINDOWS\System32\spacklsp.dll () O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - C:\WINDOWS\System32\spacklsp.dll () O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1307472592611 (WUWebControl Class) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1323484428640 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {9F9AE670-CC3B-48B6-BB33-2EB7BD316D58} hxxp://download.greentube.com/magic/games/sc12/webplayer/plugin/0.9.8/greenwebplayerxp.0.9.8.cab (WebPlayerCtrl Class) O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} hxxp://game.zylom.com/activex/zylomgamesplayer.cab (Zylom Games Player) O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Java Plug-in 1.6.0_04) O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {DF2F1634-A3AA-4E1B-9945-13F2BC455C0C} hxxp://at.sc12.greentube.com/xsl_gamebase/_magic/game_loader/ActiveXInstaller1.2.cab (InstallerCtrl Class) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation) O18 - Protocol\Handler\webde {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\485380036CA077EF9C2B.exe) - C:\WINDOWS\system32\485380036CA077EF9C2B.exe (We bello comè?) O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com) O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2011/06/07 11:45:21 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ========== Files/Folders - Created Within 30 Days ========== [2012/05/29 21:05:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Iron.Sky.DVDRip.Line.Dubbed.German.XviD-VCF [2012/05/29 19:59:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Men.in.Black.3.TS.LD.German.iNTERNAL.XViD-AOE [2012/05/26 14:14:32 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2012/05/26 14:11:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp [2012/05/26 14:11:11 | 000,069,632 | -H-- | C] (We bello comè?) -- C:\WINDOWS\System32\485380036CA077EF9C2B.exe [2012/05/26 14:10:38 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF [2012/05/25 18:09:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Gametwist [2012/05/17 13:56:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\FESTPLATTEN - toolsd [2012/05/17 07:39:38 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip [2012/05/17 07:39:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip [2012/05/15 18:39:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Anwendungsdaten\Abelssoft [2012/05/15 18:39:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CheckDrive [2012/05/15 18:39:27 | 000,000,000 | ---D | C] -- C:\Programme\CheckDrive [2012/05/15 17:01:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\HD Tune Pro [2012/05/15 17:01:28 | 000,000,000 | ---D | C] -- C:\Programme\HD Tune Pro [2012/05/15 17:01:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\HD Tune Pro [2012/05/15 16:42:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Seagate [2012/05/15 15:59:34 | 000,000,000 | ---D | C] -- C:\Programme\Seagate [2012/05/14 20:25:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation [2012/05/14 20:25:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Searches [2012/05/14 20:25:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Contacts [2012/05/14 20:25:47 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Anwendungsdaten\Microsoft [2012/05/14 20:25:47 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\SendTo [2012/05/14 20:25:47 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Anwendungsdaten [2012/05/14 20:25:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Startmenü\Programme\Zubehör [2012/05/14 20:25:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Startmenü [2012/05/14 20:25:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Startmenü\Programme\Autostart [2012/05/14 20:25:47 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Cookies [2012/05/14 20:25:47 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Vorlagen [2012/05/14 20:25:47 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Recent [2012/05/14 20:25:47 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Netzwerkumgebung [2012/05/14 20:25:47 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Lokale Einstellungen [2012/05/14 20:25:47 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Druckumgebung [2012/05/14 20:25:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Lokale Einstellungen\Anwendungsdaten\Microsoft [2012/05/14 20:25:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Favoriten [2012/05/14 20:25:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Desktop [2012/05/14 20:25:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA [2012/05/14 20:25:39 | 000,229,376 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrszhc.dll [2012/05/14 20:25:39 | 000,126,976 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrszht.dll [2012/05/14 20:25:38 | 000,335,872 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsar.dll [2012/05/14 20:25:38 | 000,331,776 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrshe.dll [2012/05/14 20:25:38 | 000,282,624 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsel.dll [2012/05/14 20:25:38 | 000,274,432 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsesm.dll [2012/05/14 20:25:38 | 000,270,336 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsru.dll [2012/05/14 20:25:38 | 000,270,336 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsptb.dll [2012/05/14 20:25:38 | 000,270,336 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsja.dll [2012/05/14 20:25:38 | 000,266,240 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsko.dll [2012/05/14 20:25:38 | 000,262,144 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrshu.dll [2012/05/14 20:25:38 | 000,258,048 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrstr.dll [2012/05/14 20:25:38 | 000,258,048 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrssl.dll [2012/05/14 20:25:38 | 000,258,048 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrssk.dll [2012/05/14 20:25:38 | 000,258,048 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrspl.dll [2012/05/14 20:25:38 | 000,253,952 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsth.dll [2012/05/14 20:25:38 | 000,253,952 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrssv.dll [2012/05/14 20:25:38 | 000,253,952 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsno.dll [2012/05/14 20:25:38 | 000,249,856 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsfi.dll [2012/05/14 20:25:38 | 000,249,856 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrseng.dll [2012/05/14 20:25:38 | 000,249,856 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrscs.dll [2012/05/14 20:25:38 | 000,145,000 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvcolor.exe [2012/05/14 20:25:36 | 000,543,336 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\easyupdatusapiu.dll [2012/05/14 20:25:10 | 000,899,688 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvdispco3220150.dll [2012/05/14 20:25:10 | 000,865,896 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvgenco322090.dll [2012/05/14 20:25:10 | 000,061,440 | ---- | C] (Khronos Group) -- C:\WINDOWS\System32\OpenCL.dll [2012/05/14 20:25:09 | 013,004,800 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvcompiler.dll [2012/05/14 20:25:09 | 005,332,992 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvcuda.dll [2012/05/14 20:25:09 | 002,808,936 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvcuvid.dll [2012/05/14 20:25:09 | 002,082,408 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvcuvenc.dll [2012/05/14 20:13:05 | 000,356,352 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvudisp.exe [2012/05/14 20:13:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\nview [2012/05/13 14:36:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Startmenü\Programme\WinRAR [2012/05/13 14:36:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WinRAR [2012/05/13 10:31:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SmartPCFixer [2012/05/13 10:31:39 | 000,000,000 | ---D | C] -- C:\Programme\SmartPCFixer [2012/05/10 21:27:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Anwendungsdaten\PCHealth [2012/05/10 21:05:03 | 000,000,000 | ---D | C] -- C:\Programme\CDBurnerXP [2012/05/10 20:54:30 | 000,000,000 | ---D | C] -- C:\9ddf4b9c0a4814dc6387a52080e0 [2012/05/10 20:48:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CDBurnerXP [2012/05/10 20:48:43 | 000,000,000 | ---D | C] -- C:\Programme\CDBurnerXP(2) [2011/11/30 11:26:41 | 085,215,144 | ---- | C] (Greentube GmbH) -- C:\Programme\DE-SkiChallenge12.exe [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012/05/30 10:26:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012/05/30 10:11:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2012/05/29 21:05:39 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini [2012/05/29 21:05:38 | 000,039,424 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012/05/29 21:02:08 | 729,781,599 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Iron.Sky.DVDRip.Line.Dubbed.German.XviD-VCF.rar [2012/05/29 20:35:03 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys [2012/05/29 19:51:53 | 732,432,352 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Men.in.Black.3.TS.LD.German.iNTERNAL.XViD-AOE.part2.rar [2012/05/29 19:26:42 | 734,003,200 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Men.in.Black.3.TS.LD.German.iNTERNAL.XViD-AOE.part1.rar [2012/05/29 17:37:29 | 000,000,542 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Alice 2.lnk [2012/05/29 13:43:15 | 000,002,451 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft-Maus.lnk [2012/05/29 11:15:49 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012/05/26 14:11:11 | 000,069,632 | -H-- | M] (We bello comè?) -- C:\WINDOWS\System32\485380036CA077EF9C2B.exe [2012/05/25 11:15:24 | 000,000,406 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job [2012/05/25 08:05:04 | 000,000,211 | ---- | M] () -- C:\boot.ini [2012/05/23 06:08:03 | 000,163,177 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2012/05/22 21:04:36 | 000,583,788 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012/05/22 21:04:36 | 000,553,138 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012/05/22 21:04:36 | 000,123,274 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012/05/22 21:04:36 | 000,101,532 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012/05/21 15:46:04 | 000,273,344 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb0.bin [2012/05/21 15:46:04 | 000,000,001 | ---- | M] () -- C:\WINDOWS\System32\nvdrssel.bin [2012/05/19 10:20:41 | 000,219,061 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\ppeettttddddddxx [2012/05/18 13:59:18 | 000,273,344 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb1.bin [2012/05/18 11:15:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\HD Tune Pro [2012/05/17 07:39:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip [2012/05/15 18:39:29 | 000,001,544 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\CheckDrive.lnk [2012/05/15 18:39:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CheckDrive [2012/05/15 18:39:01 | 014,007,816 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\TTTllDDDDppppppe [2012/05/15 16:42:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Seagate [2012/05/14 20:25:32 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\nvdrswr.lk [2012/05/14 16:09:57 | 000,000,714 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk [2012/05/14 16:09:57 | 000,000,702 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk [2012/05/14 16:09:57 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2012/05/13 14:36:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WinRAR [2012/05/13 10:45:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SmartPCFixer [2012/05/11 15:50:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323 [2012/05/11 15:50:40 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322 [2012/05/11 15:50:32 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321 [2012/05/11 15:50:22 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320 [2012/05/10 21:35:54 | 000,114,176 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012/05/10 21:21:36 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012/05/10 21:14:17 | 000,137,928 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2012/05/10 21:14:17 | 000,083,392 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2012/05/10 21:04:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CDBurnerXP [2012/05/10 11:53:50 | 000,190,464 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\nAoEqLjEqLjAoyn [2012/05/05 11:11:09 | 000,419,488 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe [2012/05/05 11:11:09 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2012/05/05 11:11:08 | 004,140,192 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2012/05/29 21:01:55 | 729,781,599 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Iron.Sky.DVDRip.Line.Dubbed.German.XviD-VCF.rar [2012/05/29 19:50:53 | 732,432,352 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Men.in.Black.3.TS.LD.German.iNTERNAL.XViD-AOE.part2.rar [2012/05/29 19:26:12 | 734,003,200 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Men.in.Black.3.TS.LD.German.iNTERNAL.XViD-AOE.part1.rar [2012/05/29 17:37:29 | 000,000,542 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Alice 2.lnk [2012/05/26 14:12:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325 [2012/05/26 14:12:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324 [2012/05/26 14:12:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323 [2012/05/26 14:12:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322 [2012/05/26 14:12:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321 [2012/05/26 14:12:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320 [2012/05/22 20:57:04 | 000,158,263 | ---- | C] () -- C:\WINDOWS\System32\nvapps.nvb [2012/05/15 18:39:29 | 000,001,544 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\CheckDrive.lnk [2012/05/14 20:25:47 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Startmenü\Programme\Remoteunterstützung.lnk [2012/05/14 20:25:47 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Startmenü\Programme\Windows Media Player.lnk [2012/05/14 20:25:32 | 000,273,344 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin [2012/05/14 20:25:32 | 000,273,344 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin [2012/05/14 20:25:32 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin [2012/05/14 20:25:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\nvdrswr.lk [2012/05/14 20:25:10 | 000,003,249 | ---- | C] () -- C:\WINDOWS\System32\nvinfo.pb [2012/05/14 20:25:09 | 002,123,582 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data [2012/05/14 20:13:06 | 000,163,177 | ---- | C] () -- C:\WINDOWS\System32\nvapps.xml [2012/05/14 20:13:05 | 000,017,737 | ---- | C] () -- C:\WINDOWS\System32\nvdisp.nvu [2012/05/14 16:09:57 | 000,000,714 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk [2012/05/14 16:09:57 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk [2012/05/14 16:09:57 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk [2012/02/16 05:48:03 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011/11/16 06:58:45 | 000,007,860 | ---- | C] () -- C:\WINDOWS\_000004_.tmp.dll [2011/08/22 09:47:41 | 000,160,096 | ---- | C] () -- C:\WINDOWS\hpoins14.dat [2011/08/22 09:47:41 | 000,002,000 | ---- | C] () -- C:\WINDOWS\hpomdl14.dat [2011/07/21 11:52:49 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys [2011/06/10 07:21:51 | 000,175,616 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll [2011/06/10 07:21:50 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini [2011/06/10 07:21:47 | 000,631,808 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll [2011/06/10 07:21:47 | 000,243,200 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll [2011/06/10 07:21:46 | 000,080,896 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll [2011/06/08 19:42:57 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini [2011/06/07 20:22:25 | 000,039,424 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011/06/07 16:40:39 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2011/06/07 15:39:27 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\spacklsp.dll [2011/06/07 15:01:29 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2011/06/07 14:29:37 | 000,033,201 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini [2011/06/07 14:25:36 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe [2011/06/07 14:21:59 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys [2011/06/07 14:21:45 | 000,033,163 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini [2011/06/07 14:21:45 | 000,010,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS [2011/06/07 12:37:46 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2011/06/07 12:36:22 | 000,114,176 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011/06/07 11:46:28 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2011/06/07 11:43:24 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2007/11/06 14:00:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2007/11/06 14:00:00 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe [2007/11/06 14:00:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2007/11/06 14:00:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe [2007/11/06 14:00:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2007/11/06 14:00:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2007/11/06 14:00:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe [2003/04/02 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2003/04/02 08:00:00 | 000,583,788 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2003/04/02 08:00:00 | 000,553,138 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2003/04/02 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2003/04/02 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2003/04/02 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2003/04/02 08:00:00 | 000,123,274 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2003/04/02 08:00:00 | 000,101,532 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2003/04/02 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2003/04/02 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2003/04/02 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2003/04/02 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin [2003/04/02 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2001/09/04 09:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2001/09/04 09:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat [1601/02/13 04:28:18 | 000,001,024 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\oLnAEqnAEqyLjo [1601/02/13 04:28:18 | 000,000,737 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VUdxftdxfssUGVtdxf ========== LOP Check ========== [2011/12/19 13:41:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\1&1 Mail & Media GmbH [2012/05/26 14:18:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Babylon [2011/07/21 11:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Canneverbe Limited [2011/11/09 14:11:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\ElevatedDiagnostics [2012/05/04 20:03:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\FreeVideoConverter [2012/05/26 14:18:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\HD Tune Pro [2012/05/26 14:18:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\ICQ [2012/05/26 14:18:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Nettalk [2012/05/26 14:11:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp [2012/05/29 11:24:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\SimpleScreenshot [2011/06/07 15:40:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\TuneUp Software [2011/06/20 09:52:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Unity [2011/11/16 07:02:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\UpdateStar Drivers [2012/05/26 14:19:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\uTorrent [2012/05/26 14:19:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Vso [2011/07/21 11:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2011/06/19 14:19:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2011/06/07 16:42:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online DSL-Manager [2011/06/07 15:40:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software [2012/05/26 14:31:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UUdb [2011/12/18 21:16:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom [2012/05/25 11:15:24 | 000,000,406 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job ========== Purity Check ========== < End of report > |
30.05.2012, 20:50 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 100€ Windows Verschlüsselungs-Trojaner Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!! Code:
ATTFilter :OTL O4 - HKU\xxx_xxx_ON_C..\Run: [6CA077EF] C:\WINDOWS\system32\485380036CA077EF9C2B.exe (We bello comè?) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\UpdatusUser.PRIVAT-MJFGDCTM_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\UpdatusUser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\485380036CA077EF9C2B.exe) - C:\WINDOWS\system32\485380036CA077EF9C2B.exe (We bello comè?) O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found [2012/05/26 14:11:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp [2012/05/26 14:11:11 | 000,069,632 | -H-- | C] (We bello comè?) -- C:\WINDOWS\System32\485380036CA077EF9C2B.exe :Files C:\WINDOWS\System32\winsh32? C:\WINDOWS\_000004_.tmp.dll C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp :Commands [purity] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann! Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen! 2.) Ordner movedfiles in C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ Logfiles bitte immer in CODE-Tags posten |
31.05.2012, 17:14 | #9 |
| 100€ Windows Verschlüsselungs-Trojaner Super der Rechner startet wieder Normal. Hoffentlich habe ich alles richtig gemacht. ========== OTL ========== Registry key HKEY_USERS\xxx_xxx_ON_C\Software\Microsoft\Windows\CurrentVersion\Run not found. C:\WINDOWS\system32\485380036CA077EF9C2B.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully. Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry key HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found. Registry key HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found. Registry key HKEY_USERS\ xxx_xxx _ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found. Registry key HKEY_USERS\ xxx_xxx _ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System not found. Registry key HKEY_USERS\ xxx_xxx _ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System not found. Registry key HKEY_USERS\ xxx_xxx _ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System not found. Registry key HKEY_USERS\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found. Registry key HKEY_USERS\UpdatusUser.PRIVAT-MJFGDCTM_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found. Registry key HKEY_USERS\UpdatusUser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\485380036CA077EF9C2B.exe deleted successfully. File C:\WINDOWS\system32\485380036CA077EF9C2B.exe not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully. C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp folder moved successfully. File C:\WINDOWS\System32\485380036CA077EF9C2B.exe not found. ========== FILES ========== C:\WINDOWS\System32\winsh320 moved successfully. C:\WINDOWS\System32\winsh321 moved successfully. C:\WINDOWS\System32\winsh322 moved successfully. C:\WINDOWS\System32\winsh323 moved successfully. C:\WINDOWS\System32\winsh324 moved successfully. C:\WINDOWS\System32\winsh325 moved successfully. C:\WINDOWS\_000004_.tmp.dll moved successfully. File\Folder C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp not found. ========== COMMANDS ========== C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTLPE by OldTimer - Version 3.1.48.0 log created on 05312012_210743 |
31.05.2012, 18:46 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 100€ Windows Verschlüsselungs-Trojaner Bitte jetzt routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ Logfiles bitte immer in CODE-Tags posten |
01.06.2012, 16:23 | #11 |
| 100€ Windows Verschlüsselungs-Trojaner Malwarebyte fragt ob ich will das die funde gelöscht werden sollen ? Habe erst mal auf nein geklickt, oder Löschen !?! Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.01.04 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 xxx xxx :: PRIVAT-MJFGDCTM [Administrator] 01.06.2012 20:25:40 mbam-log-2012-06-01 (20-25-40).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 290225 Laufzeit: 37 Minute(n), 38 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\_OTL\MovedFiles\05312012_210743\C_Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp\59C217FA6CA077EF854A.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\_OTL\MovedFiles\05312012_210743\C_WINDOWS\system32\485380036CA077EF9C2B.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) ESET-Scan Code:
ATTFilter ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=4cb76d9efc8e79468e75893eb1fbcc08 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-06-01 06:05:19 # local_time=2012-06-01 08:05:19 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=crash # scanned=81996 # found=7 # cleaned=0 # scan_time=1967 C:\Dokumente und Einstellungen\xxx xxx\desktop\MovedFiles.7z Win32/Trustezeb.B trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CG8K37O6\Mahnung[1].zip Win32/Trustezeb.B trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\INM71Q3R\firstload_com[1].txt HTML/ScrInject.B.Gen virus (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T3W0Y8YP\firstload_com[1].txt HTML/ScrInject.B.Gen virus (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T3W0Y8YP\Mahnung[1].zip Win32/Trustezeb.B trojan (unable to clean) 00000000000000000000000000000000 I C:\_OTL\MovedFiles\05312012_210743\C_Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp\59C217FA6CA077EF854A.exe Win32/Trustezeb.B trojan (unable to clean) 00000000000000000000000000000000 I C:\_OTL\MovedFiles\05312012_210743\C_WINDOWS\system32\485380036CA077EF9C2B.exe Win32/Trustezeb.B trojan (unable to clean) 00000000000000000000000000000000 I |
02.06.2012, 15:56 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 100€ Windows Verschlüsselungs-Trojaner Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________ Logfiles bitte immer in CODE-Tags posten |
02.06.2012, 19:52 | #13 |
| 100€ Windows Verschlüsselungs-Trojaner Zu Frage 1: Habe nach dem Maleware/ESET-Scan Computer ausgeschaltet. Später neu gestartet Tastertur, Maus, Boxen u. Monitor gingen an wobei der Bildschirm schwarz war. ca. 5 min. gewartet dann Neustart ("beeeep beep beep beep" – sorry weiß nicht wie ich das sonst beschreiben soll, macht sonst immer nur 1x beep ) alles ging an bis auf den Monitor (habe aber den Windows-sound gehört) und wieder Neustart und da lief alles glatt (bis auf blauer Hintergrund). Heute gestartet und ging normal an (bis auf blauer Hintergrund). Zu Frage 2: C:/Dokumente und Einstellungen/All Users/Startmenü/Programme – bei Programme ist der Ordner Startmenü ( Größe: 84 bytes) wenn ich den öffne ist der leer auf Eigenschaften geklickt und da steht 1 Datei, 0 Ordner C:Programme- Microsoft ATS, MSXML 4.0 sind Leer (Ich weiß nicht was das ist) (schwach Gelb-versteckte Ordner glaub ich) Uninstall Information, WindowsUpdate sind Leer Weist Du vllt. was das "beeeep beep beep beep" bedeutet und der Monitor sich nicht einschaltet ? |
03.06.2012, 12:37 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | 100€ Windows Verschlüsselungs-Trojaner Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten |
03.06.2012, 21:46 | #15 |
| 100€ Windows Verschlüsselungs-TrojanerCode:
ATTFilter Unhide by Lawrence Abrams (Grinler) hxxp://www.bleepingcomputer.com/ Copyright 2008-2012 BleepingComputer.com More Information about Unhide.exe can be found at this link: hxxp://www.bleepingcomputer.com/forums/topic405109.html Program started at: 06/03/2012 10:31:16 PM Windows Version: Windows XP Please be patient while your files are made visible again. Processing the A:\ drive Finished processing the A:\ drive. 0 files processed. Processing the C:\ drive Finished processing the C:\ drive. 90710 files processed. Processing the D:\ drive Finished processing the D:\ drive. 2399 files processed. Processing the E:\ drive Finished processing the E:\ drive. 3144 files processed. The C:\DOKUME~1\xxx~1\LOKALE~1\Temp\smtmp\ folder does not exist!! Unhide cannot restore your missing shortcuts!! Please see this topic in order to learn how to restore default Start Menu shortcuts: hxxp://www.bleepingcomputer.com/forums/topic405109.html Searching for Windows Registry changes made by FakeHDD rogues. - Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer - Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer - Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System - Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced No registry changes detected. Restarting Explorer.exe in order to apply changes. Program finished at: 06/03/2012 10:31:46 PM Execution time: 0 hours(s), 0 minute(s), and 29 seconds(s) |
Themen zu 100€ Windows Verschlüsselungs-Trojaner |
abgesicherten, ausschalten, bios, blau, blöde, desktop, doppelklick, dringend, erklärung, folge, fängt, geändert, gutes, icon, kurze, mails, modus, neu, nicht starten, nichts, problem, rechner, starten, startet, windows, zip-datei, öffnen |