100€ Windows Verschlüsselungs-Trojaner

Quarks · 27.05.2012, 18:19

Hallo,

ich habe bei Web.de mein Mails gelesen und, habe Die zip-Datei im Onlinespeicher aufmachen wollen was nicht ging, auf meinen Desktop gespeichert.

es sah aus wie ein Icon was ich mutig auch mit Doppelklick öffnen wollte,um sie zu lesen. nach dem Doppelklick verschwand das Icon

(da wußte ich schon das es nichts gutes bedeutet). Kurze Zeit später kam dann Windows-Sicherheitscenter-bla bla bla- ich soll 100€ per Paysafecardcode eingeben.

jetzt das Problem:

Computer startet normal, XP-Windowslogo, Desktophintergrundbild weg und alles blau, sehr kurze Zeit später kommt dann das Windows-Sicherheitscenter und will das ich bezahle.
Habe im abgesicherten Modus probiert zu starten was auch ging, sehr kurze Zeit später rebootet der Computer von alleine und alles fängt von vorne an.
Komme zwar in den Bios und habe die Bootreihenfolge geändert (Windows-CD eingelegt).
Wollte XP neu aufziehen was nicht ging, es kam dann das XP Logo usw.
Beim Ausschalten höre ich den Abmelde-Song von Windows.

Habe Malwarebytes-Anti-Malware / Super-AntiSpyware ( Das mit dem Käfer )bereits auf dem Rechner kann es aber nicht starten weil dieses blöde Windows-Sicherheitcenter ständig da ist.

Ich weiß jetzt nicht was ich machen soll um wenigstens auf dem Desktop zu kommen um das Antimalewareprogramm zu starten.

Bräuchte bitte dringend Hilfestellung und Erklärung das auch ein Laie wie es versteht.
Ich bedanke mich schon mal im Vorraus für die Hilfe

cosinus · 29.05.2012, 14:43

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

Quarks · 29.05.2012, 17:05

hi,

Erst mal ein Dankeschön für die Antwort.
Ich habe es probiert im abgesicherten Modus mit Netzwerktriebern zu Starten versucht. Da kam ein schwarzer Bildschirm wo ganz unten ein Schriftzug zu sehen war multi bla bla windows 32 so und so (was ca.3sec.sichtbar war und in der Kürze nicht komplett lesbar war). Mehrmals probiert. Computer startet neu und ich kam wieder in den abgesicherten Modus zurück.
Ich weiß nicht wie aber ich bin jetzt auf dem Desktop (blauer Hintergrund) mit Icons.
Marlwarebytes probiert zu Starten kam Meldung - Run-time error 13 Type mismatch.

Habe es geschaft eine neue Internetverbindung manuell herzustellen ( alte ging nicht mehr ). Lasse den Computer laufen (weiß nicht ob ich das Teil nochmal zum Laufen bringe ), werde nur die Internetverbindung kappen.

cosinus · 30.05.2012, 09:12

Läuft Malwarebytes nun oder nicht?
Wenn nicht müssen wir anders rangehen

Quarks · 30.05.2012, 13:16

Maleware startet zwar Normal aber wenn ich Scannen will kommt die Errormeldung.
Soll ich das Programm neuinstallieren?

cosinus · 30.05.2012, 13:33

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Quarks · 30.05.2012, 17:24

OTLPE Icon-Doppelklick

"Do you wish to load the remote registry" - Wurde aber nicht gefragt !!!!
Es öffnete sich ein kleines Fenster:
"Do you wish to load remote user profile(s) for scanning"

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 5/30/2012 7:02:30 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 88.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298.08 Gb Total Space | 276.57 Gb Free Space | 92.79% Space Free | Partition Type: NTFS
Drive D: | 465.76 Gb Total Space | 82.12 Gb Free Space | 17.63% Space Free | Partition Type: NTFS
Drive E: | 465.76 Gb Total Space | 25.68 Gb Free Space | 5.51% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled] --  -- (gusvc)
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2012/05/10 21:14:16 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012/05/10 21:14:14 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012/05/05 11:11:09 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2011/05/25 03:25:59 | 002,214,504 | ---- | M] (NVIDIA Corporation) [Auto] -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe -- (nvUpdatusService)
SRV - [2010/11/21 05:49:24 | 000,247,608 | ---- | M] () [Auto] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)
SRV - [2010/03/04 17:38:00 | 000,071,096 | ---- | M] () [Auto] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2008/06/24 09:05:56 | 000,537,896 | ---- | M] (Nero AG) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2006/11/23 10:45:46 | 000,024,072 | ---- | M] (TuneUp Software GmbH) [Auto] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2005/11/01 05:30:46 | 000,172,032 | ---- | M] (T-Systems International GmbH) [On_Demand] -- C:\Programme\T-Online\DSL-Manager\TODslSvc.exe -- (TODslService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2012/05/29 20:35:03 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2012/05/10 21:14:17 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/05/10 21:14:17 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/10/11 09:00:01 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010/11/06 16:24:30 | 000,019,056 | ---- | M] () [Kernel | On_Demand] -- C:\Programme\PeerBlock\pbfilter.sys -- (pbfilter)
DRV - [2010/06/17 09:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/05/10 14:41:30 | 000,067,656 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System] -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS -- (SASKUTIL)
DRV - [2010/02/17 14:25:48 | 000,012,872 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System] -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys -- (SASDIFSV)
DRV - [2009/11/12 08:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2009/08/05 00:16:44 | 000,039,424 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\l1e51x86.sys -- (L1e)
DRV - [2008/07/16 06:52:00 | 004,747,776 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2004/08/12 22:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\xxx_xxx_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://reloaded.pennergame.de/
IE - HKU\xxx_xxx_ON_C\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKU\xxx_xxx_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found
IE - HKU\xxx_xxx_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\systemprofile_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\UpdatusUser.PRIVAT-MJFGDCTM_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\UpdatusUser_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/05/14 20:07:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/04/14 05:16:21 | 000,000,000 | ---D | M]
 
[2012/05/14 20:07:13 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012/03/13 00:38:06 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012/02/18 13:02:25 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2012/03/13 01:23:34 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/11/03 15:10:54 | 000,002,288 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\babylon.xml
[2012/03/13 01:06:36 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/03/13 01:23:34 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/03/13 01:23:34 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/03/13 01:23:34 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/03/13 01:23:34 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2003/04/02 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (WEB.DE Toolbar) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O3 - HKU\xxx_xxx_ON_C\..\Toolbar\WebBrowser: (WEB.DE Toolbar) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [T-Online DSL-Manager] C:\Programme\T-Online\DSL-Manager\TODslMgr.exe (T-Systems International GmbH)
O4 - HKU\xxx_xxx_ON_C..\Run: [1und1Dispatcher] C:\Programme\1und1Softwareaktualisierung\SchedDispatcher.exe (1&1 Mail & Media GmbH)
O4 - HKU\xxx_xxx_ON_C..\Run: [6CA077EF] C:\WINDOWS\system32\485380036CA077EF9C2B.exe (We bello comè?)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\UpdatusUser.PRIVAT-MJFGDCTM_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\UpdatusUser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\System32\spacklsp.dll ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINDOWS\System32\spacklsp.dll ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINDOWS\System32\spacklsp.dll ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\WINDOWS\System32\spacklsp.dll ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\WINDOWS\System32\spacklsp.dll ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - C:\WINDOWS\System32\spacklsp.dll ()
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1307472592611 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1323484428640 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {9F9AE670-CC3B-48B6-BB33-2EB7BD316D58} hxxp://download.greentube.com/magic/games/sc12/webplayer/plugin/0.9.8/greenwebplayerxp.0.9.8.cab (WebPlayerCtrl Class)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} hxxp://game.zylom.com/activex/zylomgamesplayer.cab (Zylom Games Player)
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab (Java Plug-in 1.6.0_04)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {DF2F1634-A3AA-4E1B-9945-13F2BC455C0C} hxxp://at.sc12.greentube.com/xsl_gamebase/_magic/game_loader/ActiveXInstaller1.2.cab (InstallerCtrl Class)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\webde {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - C:\Programme\WEB.DE Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\485380036CA077EF9C2B.exe) - C:\WINDOWS\system32\485380036CA077EF9C2B.exe (We bello comè?)
O20 - Winlogon\Notify\!SASWinLogon: DllName - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/06/07 11:45:21 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/05/29 21:05:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Iron.Sky.DVDRip.Line.Dubbed.German.XviD-VCF
[2012/05/29 19:59:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Men.in.Black.3.TS.LD.German.iNTERNAL.XViD-AOE
[2012/05/26 14:14:32 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2012/05/26 14:11:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp
[2012/05/26 14:11:11 | 000,069,632 | -H-- | C] (We bello comè?) -- C:\WINDOWS\System32\485380036CA077EF9C2B.exe
[2012/05/26 14:10:38 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2012/05/25 18:09:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Gametwist
[2012/05/17 13:56:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\FESTPLATTEN - toolsd
[2012/05/17 07:39:38 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip
[2012/05/17 07:39:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip
[2012/05/15 18:39:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Anwendungsdaten\Abelssoft
[2012/05/15 18:39:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CheckDrive
[2012/05/15 18:39:27 | 000,000,000 | ---D | C] -- C:\Programme\CheckDrive
[2012/05/15 17:01:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\HD Tune Pro
[2012/05/15 17:01:28 | 000,000,000 | ---D | C] -- C:\Programme\HD Tune Pro
[2012/05/15 17:01:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\HD Tune Pro
[2012/05/15 16:42:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Seagate
[2012/05/15 15:59:34 | 000,000,000 | ---D | C] -- C:\Programme\Seagate
[2012/05/14 20:25:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation
[2012/05/14 20:25:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Searches
[2012/05/14 20:25:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Contacts
[2012/05/14 20:25:47 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Anwendungsdaten\Microsoft
[2012/05/14 20:25:47 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\SendTo
[2012/05/14 20:25:47 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Anwendungsdaten
[2012/05/14 20:25:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Startmenü\Programme\Zubehör
[2012/05/14 20:25:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Startmenü
[2012/05/14 20:25:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Startmenü\Programme\Autostart
[2012/05/14 20:25:47 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Cookies
[2012/05/14 20:25:47 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Vorlagen
[2012/05/14 20:25:47 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Recent
[2012/05/14 20:25:47 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Netzwerkumgebung
[2012/05/14 20:25:47 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Lokale Einstellungen
[2012/05/14 20:25:47 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Druckumgebung
[2012/05/14 20:25:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2012/05/14 20:25:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Favoriten
[2012/05/14 20:25:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Desktop
[2012/05/14 20:25:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA
[2012/05/14 20:25:39 | 000,229,376 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrszhc.dll
[2012/05/14 20:25:39 | 000,126,976 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrszht.dll
[2012/05/14 20:25:38 | 000,335,872 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsar.dll
[2012/05/14 20:25:38 | 000,331,776 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrshe.dll
[2012/05/14 20:25:38 | 000,282,624 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsel.dll
[2012/05/14 20:25:38 | 000,274,432 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsesm.dll
[2012/05/14 20:25:38 | 000,270,336 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsru.dll
[2012/05/14 20:25:38 | 000,270,336 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsptb.dll
[2012/05/14 20:25:38 | 000,270,336 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsja.dll
[2012/05/14 20:25:38 | 000,266,240 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsko.dll
[2012/05/14 20:25:38 | 000,262,144 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrshu.dll
[2012/05/14 20:25:38 | 000,258,048 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrstr.dll
[2012/05/14 20:25:38 | 000,258,048 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrssl.dll
[2012/05/14 20:25:38 | 000,258,048 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrssk.dll
[2012/05/14 20:25:38 | 000,258,048 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrspl.dll
[2012/05/14 20:25:38 | 000,253,952 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsth.dll
[2012/05/14 20:25:38 | 000,253,952 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrssv.dll
[2012/05/14 20:25:38 | 000,253,952 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsno.dll
[2012/05/14 20:25:38 | 000,249,856 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrsfi.dll
[2012/05/14 20:25:38 | 000,249,856 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrseng.dll
[2012/05/14 20:25:38 | 000,249,856 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvrscs.dll
[2012/05/14 20:25:38 | 000,145,000 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvcolor.exe
[2012/05/14 20:25:36 | 000,543,336 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\easyupdatusapiu.dll
[2012/05/14 20:25:10 | 000,899,688 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvdispco3220150.dll
[2012/05/14 20:25:10 | 000,865,896 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvgenco322090.dll
[2012/05/14 20:25:10 | 000,061,440 | ---- | C] (Khronos Group) -- C:\WINDOWS\System32\OpenCL.dll
[2012/05/14 20:25:09 | 013,004,800 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvcompiler.dll
[2012/05/14 20:25:09 | 005,332,992 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvcuda.dll
[2012/05/14 20:25:09 | 002,808,936 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvcuvid.dll
[2012/05/14 20:25:09 | 002,082,408 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvcuvenc.dll
[2012/05/14 20:13:05 | 000,356,352 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\nvudisp.exe
[2012/05/14 20:13:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\nview
[2012/05/13 14:36:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Startmenü\Programme\WinRAR
[2012/05/13 14:36:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WinRAR
[2012/05/13 10:31:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SmartPCFixer
[2012/05/13 10:31:39 | 000,000,000 | ---D | C] -- C:\Programme\SmartPCFixer
[2012/05/10 21:27:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Anwendungsdaten\PCHealth
[2012/05/10 21:05:03 | 000,000,000 | ---D | C] -- C:\Programme\CDBurnerXP
[2012/05/10 20:54:30 | 000,000,000 | ---D | C] -- C:\9ddf4b9c0a4814dc6387a52080e0
[2012/05/10 20:48:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CDBurnerXP
[2012/05/10 20:48:43 | 000,000,000 | ---D | C] -- C:\Programme\CDBurnerXP(2)
[2011/11/30 11:26:41 | 085,215,144 | ---- | C] (Greentube GmbH) -- C:\Programme\DE-SkiChallenge12.exe
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/05/30 10:26:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/05/30 10:11:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012/05/29 21:05:39 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2012/05/29 21:05:38 | 000,039,424 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/05/29 21:02:08 | 729,781,599 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Iron.Sky.DVDRip.Line.Dubbed.German.XviD-VCF.rar
[2012/05/29 20:35:03 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2012/05/29 19:51:53 | 732,432,352 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Men.in.Black.3.TS.LD.German.iNTERNAL.XViD-AOE.part2.rar
[2012/05/29 19:26:42 | 734,003,200 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Men.in.Black.3.TS.LD.German.iNTERNAL.XViD-AOE.part1.rar
[2012/05/29 17:37:29 | 000,000,542 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Alice 2.lnk
[2012/05/29 13:43:15 | 000,002,451 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft-Maus.lnk
[2012/05/29 11:15:49 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/26 14:11:11 | 000,069,632 | -H-- | M] (We bello comè?) -- C:\WINDOWS\System32\485380036CA077EF9C2B.exe
[2012/05/25 11:15:24 | 000,000,406 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2012/05/25 08:05:04 | 000,000,211 | ---- | M] () -- C:\boot.ini
[2012/05/23 06:08:03 | 000,163,177 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012/05/22 21:04:36 | 000,583,788 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/05/22 21:04:36 | 000,553,138 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/05/22 21:04:36 | 000,123,274 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/05/22 21:04:36 | 000,101,532 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/05/21 15:46:04 | 000,273,344 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2012/05/21 15:46:04 | 000,000,001 | ---- | M] () -- C:\WINDOWS\System32\nvdrssel.bin
[2012/05/19 10:20:41 | 000,219,061 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\ppeettttddddddxx
[2012/05/18 13:59:18 | 000,273,344 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2012/05/18 11:15:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\HD Tune Pro
[2012/05/17 07:39:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip
[2012/05/15 18:39:29 | 000,001,544 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\CheckDrive.lnk
[2012/05/15 18:39:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CheckDrive
[2012/05/15 18:39:01 | 014,007,816 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\TTTllDDDDppppppe
[2012/05/15 16:42:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Seagate
[2012/05/14 20:25:32 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\nvdrswr.lk
[2012/05/14 16:09:57 | 000,000,714 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2012/05/14 16:09:57 | 000,000,702 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2012/05/14 16:09:57 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2012/05/13 14:36:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WinRAR
[2012/05/13 10:45:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\SmartPCFixer
[2012/05/11 15:50:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/05/11 15:50:40 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/05/11 15:50:32 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/05/11 15:50:22 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/05/10 21:35:54 | 000,114,176 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012/05/10 21:21:36 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012/05/10 21:14:17 | 000,137,928 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2012/05/10 21:14:17 | 000,083,392 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2012/05/10 21:04:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CDBurnerXP
[2012/05/10 11:53:50 | 000,190,464 | ---- | M] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\nAoEqLjEqLjAoyn
[2012/05/05 11:11:09 | 000,419,488 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012/05/05 11:11:09 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012/05/05 11:11:08 | 004,140,192 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/05/29 21:01:55 | 729,781,599 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Iron.Sky.DVDRip.Line.Dubbed.German.XviD-VCF.rar
[2012/05/29 19:50:53 | 732,432,352 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Men.in.Black.3.TS.LD.German.iNTERNAL.XViD-AOE.part2.rar
[2012/05/29 19:26:12 | 734,003,200 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\Men.in.Black.3.TS.LD.German.iNTERNAL.XViD-AOE.part1.rar
[2012/05/29 17:37:29 | 000,000,542 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Alice 2.lnk
[2012/05/26 14:12:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/05/26 14:12:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/05/26 14:12:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/05/26 14:12:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/05/26 14:12:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/05/26 14:12:35 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/05/22 20:57:04 | 000,158,263 | ---- | C] () -- C:\WINDOWS\System32\nvapps.nvb
[2012/05/15 18:39:29 | 000,001,544 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\Desktop\CheckDrive.lnk
[2012/05/14 20:25:47 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Startmenü\Programme\Remoteunterstützung.lnk
[2012/05/14 20:25:47 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\UpdatusUser.PRIVAT-MJFGDCTM\Startmenü\Programme\Windows Media Player.lnk
[2012/05/14 20:25:32 | 000,273,344 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2012/05/14 20:25:32 | 000,273,344 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2012/05/14 20:25:32 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2012/05/14 20:25:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\nvdrswr.lk
[2012/05/14 20:25:10 | 000,003,249 | ---- | C] () -- C:\WINDOWS\System32\nvinfo.pb
[2012/05/14 20:25:09 | 002,123,582 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2012/05/14 20:13:06 | 000,163,177 | ---- | C] () -- C:\WINDOWS\System32\nvapps.xml
[2012/05/14 20:13:05 | 000,017,737 | ---- | C] () -- C:\WINDOWS\System32\nvdisp.nvu
[2012/05/14 16:09:57 | 000,000,714 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2012/05/14 16:09:57 | 000,000,702 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mozilla Firefox.lnk
[2012/05/14 16:09:57 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mozilla Firefox.lnk
[2012/02/16 05:48:03 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/11/16 06:58:45 | 000,007,860 | ---- | C] () -- C:\WINDOWS\_000004_.tmp.dll
[2011/08/22 09:47:41 | 000,160,096 | ---- | C] () -- C:\WINDOWS\hpoins14.dat
[2011/08/22 09:47:41 | 000,002,000 | ---- | C] () -- C:\WINDOWS\hpomdl14.dat
[2011/07/21 11:52:49 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2011/06/10 07:21:51 | 000,175,616 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2011/06/10 07:21:50 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini
[2011/06/10 07:21:47 | 000,631,808 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2011/06/10 07:21:47 | 000,243,200 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2011/06/10 07:21:46 | 000,080,896 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2011/06/08 19:42:57 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2011/06/07 20:22:25 | 000,039,424 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/06/07 16:40:39 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011/06/07 15:39:27 | 000,114,688 | ---- | C] () -- C:\WINDOWS\System32\spacklsp.dll
[2011/06/07 15:01:29 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2011/06/07 14:29:37 | 000,033,201 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini
[2011/06/07 14:25:36 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2011/06/07 14:21:59 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2011/06/07 14:21:45 | 000,033,163 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2011/06/07 14:21:45 | 000,010,296 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2011/06/07 12:37:46 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011/06/07 12:36:22 | 000,114,176 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011/06/07 11:46:28 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011/06/07 11:43:24 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2007/11/06 14:00:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2007/11/06 14:00:00 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2007/11/06 14:00:00 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2007/11/06 14:00:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2007/11/06 14:00:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2007/11/06 14:00:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2007/11/06 14:00:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2003/04/02 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2003/04/02 08:00:00 | 000,583,788 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2003/04/02 08:00:00 | 000,553,138 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2003/04/02 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2003/04/02 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2003/04/02 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2003/04/02 08:00:00 | 000,123,274 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2003/04/02 08:00:00 | 000,101,532 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2003/04/02 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2003/04/02 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2003/04/02 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2003/04/02 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2003/04/02 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2001/09/04 09:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001/09/04 09:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[1601/02/13 04:28:18 | 000,001,024 | ---- | C] () -- C:\Dokumente und Einstellungen\xxx xxx\oLnAEqnAEqyLjo
[1601/02/13 04:28:18 | 000,000,737 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VUdxftdxfssUGVtdxf
 
========== LOP Check ==========
 
[2011/12/19 13:41:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\1&1 Mail & Media GmbH
[2012/05/26 14:18:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Babylon
[2011/07/21 11:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Canneverbe Limited
[2011/11/09 14:11:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\ElevatedDiagnostics
[2012/05/04 20:03:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\FreeVideoConverter
[2012/05/26 14:18:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\HD Tune Pro
[2012/05/26 14:18:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\ICQ
[2012/05/26 14:18:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Nettalk
[2012/05/26 14:11:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp
[2012/05/29 11:24:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\SimpleScreenshot
[2011/06/07 15:40:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\TuneUp Software
[2011/06/20 09:52:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Unity
[2011/11/16 07:02:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\UpdateStar Drivers
[2012/05/26 14:19:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\uTorrent
[2012/05/26 14:19:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Vso
[2011/07/21 11:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2011/06/19 14:19:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2011/06/07 16:42:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online DSL-Manager
[2011/06/07 15:40:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2012/05/26 14:31:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UUdb
[2011/12/18 21:16:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
[2012/05/25 11:15:24 | 000,000,406 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job
 
========== Purity Check ==========
 
 
< End of report >

--- --- ---

cosinus · 30.05.2012, 20:50

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

ATTFilter

:OTL
O4 - HKU\xxx_xxx_ON_C..\Run: [6CA077EF] C:\WINDOWS\system32\485380036CA077EF9C2B.exe (We bello comè?)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\xxx_xxx_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\UpdatusUser.PRIVAT-MJFGDCTM_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\UpdatusUser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\485380036CA077EF9C2B.exe) - C:\WINDOWS\system32\485380036CA077EF9C2B.exe (We bello comè?)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
[2012/05/26 14:11:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp
[2012/05/26 14:11:11 | 000,069,632 | -H-- | C] (We bello comè?) -- C:\WINDOWS\System32\485380036CA077EF9C2B.exe
:Files
C:\WINDOWS\System32\winsh32?
C:\WINDOWS\_000004_.tmp.dll
C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

Quarks · 31.05.2012, 17:14

Super der Rechner startet wieder Normal. Hoffentlich habe ich alles richtig gemacht.

========== OTL ==========
Registry key HKEY_USERS\xxx_xxx_ON_C\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\WINDOWS\system32\485380036CA077EF9C2B.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegedit deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry key HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry key HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry key HKEY_USERS\ xxx_xxx _ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry key HKEY_USERS\ xxx_xxx _ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System not found.
Registry key HKEY_USERS\ xxx_xxx _ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System not found.
Registry key HKEY_USERS\ xxx_xxx _ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System not found.
Registry key HKEY_USERS\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry key HKEY_USERS\UpdatusUser.PRIVAT-MJFGDCTM_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry key HKEY_USERS\UpdatusUser_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\485380036CA077EF9C2B.exe deleted successfully.
File C:\WINDOWS\system32\485380036CA077EF9C2B.exe not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\ deleted successfully.
C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp folder moved successfully.
File C:\WINDOWS\System32\485380036CA077EF9C2B.exe not found.
========== FILES ==========
C:\WINDOWS\System32\winsh320 moved successfully.
C:\WINDOWS\System32\winsh321 moved successfully.
C:\WINDOWS\System32\winsh322 moved successfully.
C:\WINDOWS\System32\winsh323 moved successfully.
C:\WINDOWS\System32\winsh324 moved successfully.
C:\WINDOWS\System32\winsh325 moved successfully.
C:\WINDOWS\_000004_.tmp.dll moved successfully.
File\Folder C:\Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTLPE by OldTimer - Version 3.1.48.0 log created on 05312012_210743

cosinus · 31.05.2012, 18:46

Bitte jetzt routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

Quarks · 01.06.2012, 16:23

Malwarebyte fragt ob ich will das die funde gelöscht werden sollen ?
Habe erst mal auf nein geklickt, oder Löschen !?!

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.01.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
xxx xxx :: PRIVAT-MJFGDCTM [Administrator]

01.06.2012 20:25:40
mbam-log-2012-06-01 (20-25-40).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 290225
Laufzeit: 37 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\_OTL\MovedFiles\05312012_210743\C_Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp\59C217FA6CA077EF854A.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\05312012_210743\C_WINDOWS\system32\485380036CA077EF9C2B.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

ESET-Scan

Code:

ATTFilter

 ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=4cb76d9efc8e79468e75893eb1fbcc08
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-01 06:05:19
# local_time=2012-06-01 08:05:19 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=crash
# scanned=81996
# found=7
# cleaned=0
# scan_time=1967
C:\Dokumente und Einstellungen\xxx xxx\desktop\MovedFiles.7z	Win32/Trustezeb.B trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CG8K37O6\Mahnung[1].zip	Win32/Trustezeb.B trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\INM71Q3R\firstload_com[1].txt	HTML/ScrInject.B.Gen virus (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T3W0Y8YP\firstload_com[1].txt	HTML/ScrInject.B.Gen virus (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\xxx xxx\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T3W0Y8YP\Mahnung[1].zip	Win32/Trustezeb.B trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\05312012_210743\C_Dokumente und Einstellungen\xxx xxx\Anwendungsdaten\Pwmkp\59C217FA6CA077EF854A.exe	Win32/Trustezeb.B trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\05312012_210743\C_WINDOWS\system32\485380036CA077EF9C2B.exe	Win32/Trustezeb.B trojan (unable to clean)	00000000000000000000000000000000	I

cosinus · 02.06.2012, 15:56

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

Quarks · 02.06.2012, 19:52

Zu Frage 1:
Habe nach dem Maleware/ESET-Scan Computer ausgeschaltet. Später neu gestartet Tastertur, Maus, Boxen u. Monitor gingen an wobei der Bildschirm schwarz war. ca. 5 min. gewartet dann Neustart ("beeeep beep beep beep" – sorry weiß nicht wie ich das sonst beschreiben soll, macht sonst immer nur 1x beep ) alles ging an bis auf den Monitor (habe aber den Windows-sound gehört) und wieder Neustart und da lief alles glatt (bis auf blauer Hintergrund). Heute gestartet und ging normal an (bis auf blauer Hintergrund).

Zu Frage 2:

C:/Dokumente und Einstellungen/All Users/Startmenü/Programme – bei Programme ist der Ordner Startmenü ( Größe: 84 bytes) wenn ich den öffne ist der leer auf Eigenschaften geklickt und da steht
1 Datei, 0 Ordner

C:Programme-
Microsoft ATS, MSXML 4.0 sind Leer (Ich weiß nicht was das ist)

(schwach Gelb-versteckte Ordner glaub ich)
Uninstall Information, WindowsUpdate sind Leer

Weist Du vllt. was das "beeeep beep beep beep" bedeutet und der Monitor sich nicht einschaltet ?

cosinus · 03.06.2012, 12:37

Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )

Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen!

Quarks · 03.06.2012, 21:46

Code:

ATTFilter

 Unhide by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2012 BleepingComputer.com
More Information about Unhide.exe can be found at this link:
  hxxp://www.bleepingcomputer.com/forums/topic405109.html

Program started at: 06/03/2012 10:31:16 PM
Windows Version: Windows XP

Please be patient while your files are made visible again.

Processing the A:\ drive
Finished processing the A:\ drive. 0 files processed.

Processing the C:\ drive
Finished processing the C:\ drive. 90710 files processed.

Processing the D:\ drive
Finished processing the D:\ drive. 2399 files processed.

Processing the E:\ drive
Finished processing the E:\ drive. 3144 files processed.

The C:\DOKUME~1\xxx~1\LOKALE~1\Temp\smtmp\ folder does not exist!!
Unhide cannot restore your missing shortcuts!!
Please see this topic in order to learn how to restore default
Start Menu shortcuts: hxxp://www.bleepingcomputer.com/forums/topic405109.html

Searching for Windows Registry changes made by FakeHDD rogues.
 - Checking HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
 - Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
 - Checking HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
 - Checking HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
No registry changes detected.

Restarting Explorer.exe in order to apply changes.

Program finished at: 06/03/2012 10:31:46 PM
Execution time: 0 hours(s), 0 minute(s), and 29 seconds(s)

29.05.2012, 14:43	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	100€ Windows Verschlüsselungs-Trojaner Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung? Abgesicherter Modus zur Bereinigung Windows mit F8-Taste beim Start in den abgesicherten Modus bringen. Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern: __________________ __________________

30.05.2012, 09:12	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	100€ Windows Verschlüsselungs-Trojaner Läuft Malwarebytes nun oder nicht? Wenn nicht müssen wir anders rangehen __________________ Logfiles bitte immer in CODE-Tags posten

02.06.2012, 15:56	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	100€ Windows Verschlüsselungs-Trojaner Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? __________________ Logfiles bitte immer in CODE-Tags posten

03.06.2012, 12:37	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	100€ Windows Verschlüsselungs-Trojaner Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! __________________ Logfiles bitte immer in CODE-Tags posten

100€ Windows Verschlüsselungs-Trojaner

Plagegeister aller Art und deren Bekämpfung: 100€ Windows Verschlüsselungs-Trojaner