| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Windows Update Trojaner (ukash, 256Bit AES, 100€)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.06.2012, 15:07
| #1 |
| |  Windows Update Trojaner (ukash, 256Bit AES, 100€) hallo, der laptop meiner tante hat offensichtlich ein "kleines" malware problem, das ich für sie lösen soll. sie hat (trotz meiner eindringlichen warnung) den anhang einer email von einem ihr nicht bekannten absender geöffnet. das resultat daraus ist, dass sofort nach dem windows boot ein splash screen aufpoppt der sinngemäß folgende aussage hat: die dateien auf deinem pc wurden mit AES 256 bit verschlüsselt, wenn du wieder zugang haben möchtest zahle 100€ über ukash um den unlock code zu bekommen. mit knoppix konnte ich verifizieren, dass die dateien nicht wirklich verschlüsselt sind. keine der mir bekannten tastenkombinationen (strg+alt+entf, alt+f4, strg+shift+esc, win+d, win+r, alt+tab, ...) bewirken dass das fenster verschwindet. der abgesicherte modus funktioniert auch nicht mehr (sieht so aus als ob der pc versucht im abgesicherten modus zu starten, dann einen bluescreen bekommt und neu startet) kaspersky rescue disk hat zwei dateien gefunden und gelöscht (sorry ich habe nicht gewusst, dass ihr an den dateien interessiert seid). der splash screen ist trotzdem nicht weg. nach weiterer recherche bin ich dann auf dieses forum gestoßen und möchte nun euch trojaner-profis um hilfe bitten. hier nun gleich mal das otl log (extra.txt ist nach dem scannen nicht erstellt worden) Code:
ATTFilter OTL logfile created on: 6/6/2012 12:57:25 AM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
953.00 Mb Total Physical Memory | 754.00 Mb Available Physical Memory | 79.00% Memory free
852.00 Mb Paging File | 767.00 Mb Available in Paging File | 90.00% Paging File free
Paging file location(s): C:\pagefile.sys 1428 2856 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 10.00 Gb Total Space | 4.05 Gb Free Space | 40.56% Space Free | Partition Type: NTFS
Drive D: | 1.90 Gb Total Space | 1.21 Gb Free Space | 63.40% Space Free | Partition Type: FAT
Drive E: | 139.04 Gb Total Space | 138.73 Gb Free Space | 99.77% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet003
========== Win32 Services (SafeList) ==========
SRV - [2012/05/14 02:07:21 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2009/05/27 14:03:00 | 000,692,496 | ---- | M] () [Auto] -- C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent)
SRV - [2009/03/03 08:53:08 | 000,033,176 | ---- | M] (NOS Microsystems Ltd.) [On_Demand] -- C:\Programme\NOS\bin\getPlus_HelperSvc.exe -- (getPlus(R) Helper) getPlus(R)
SRV - [2007/02/12 04:43:44 | 000,065,536 | ---- | M] (O2Micro International) [Auto] -- C:\Programme\O2Micro Flash Memory Card Driver\o2flash.exe -- (o2flash)
SRV - [2003/07/28 06:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
========== Driver Services (SafeList) ==========
DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | Auto] -- -- (SSPORT)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | Auto] -- -- (DgiVecp)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2009/05/27 14:03:02 | 000,132,640 | ---- | M] (COMODO) [File_System | System] -- C:\WINDOWS\system32\drivers\cmdguard.sys -- (cmdGuard)
DRV - [2009/05/27 14:03:02 | 000,082,080 | ---- | M] (COMODO) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\inspect.sys -- (Inspect)
DRV - [2009/05/27 14:03:02 | 000,024,096 | ---- | M] (COMODO) [Kernel | System] -- C:\WINDOWS\system32\drivers\cmdhlp.sys -- (cmdHlp)
DRV - [2009/05/27 13:55:31 | 000,611,064 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
DRV - [2008/06/11 21:30:12 | 000,043,608 | ---- | M] (O2Micro ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\o2sd.sys -- (O2SDRDR)
DRV - [2008/05/20 20:53:00 | 004,800,000 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/05/19 23:42:56 | 000,912,384 | R--- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\athr.sys -- (athr)
DRV - [2008/05/13 00:49:12 | 000,051,288 | ---- | M] (O2Micro ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\o2media.sys -- (O2MDRDR)
DRV - [2008/04/29 19:09:56 | 000,108,032 | R--- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\IntcHdmi.sys -- (IntcHdmiAddService) Intel(R)
DRV - [2008/04/08 12:45:42 | 001,309,504 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)
DRV - [2008/03/19 17:26:24 | 000,175,104 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2006/12/22 14:56:44 | 000,988,800 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)
DRV - [2006/12/22 14:56:00 | 000,209,664 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL)
DRV - [2006/12/22 14:55:56 | 000,730,112 | R--- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2006/06/09 12:38:24 | 000,006,909 | R--- | M] (Conexant Systems, Inc) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\UIUSYS.SYS -- (UIUSys)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.yahoo.com
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Marlene_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://de.rd.yahoo.com/customize/ycomp/defaults/sp/*hxxp://de.yahoo.com
IE - HKU\Marlene_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com
IE - HKU\Marlene_ON_C\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
IE - HKU\Marlene_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\Marlene_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/05/14 02:07:21 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/02/15 06:01:33 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 12.0.1\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012/03/08 04:44:14 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 12.0.1\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
[2012/02/15 05:44:25 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011/09/18 09:16:19 | 000,000,000 | ---D | M] (Click to call with Skype) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012/05/14 02:07:21 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012/02/20 05:06:14 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/02/20 05:06:14 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/02/20 05:06:14 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/02/20 05:06:14 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/02/20 05:06:14 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/02/20 05:06:14 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
O1 HOSTS File: ([2008/04/14 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (TBSB03968 Class) - {AA61DE26-FA67-4575-9033-918671094293} - File not found
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (Toolbar fuer eBay) - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - File not found
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3 - HKU\Marlene_ON_C\..\Toolbar\WebBrowser: (Toolbar fuer eBay) - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - File not found
O3 - HKU\Marlene_ON_C\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\InstallShield\AzMixerSel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [COMODO Internet Security] C:\Programme\COMODO\COMODO Internet Security\cfp.exe ()
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [LManager] C:\Programme\Launch Manager\LManager.exe (Dritek System Inc.)
O4 - HKLM..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe ()
O4 - HKLM..\Run: [YSearchProtection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc)
O4 - HKU\Marlene_ON_C..\Run: [D8344546] C:\WINDOWS\system32\F7DE18C2D83445464D5A.exe (The Code::Blocks Team)
O4 - HKU\Marlene_ON_C..\Run: [Search Protection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 95
O7 - HKU\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Marlene_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/05/27 13:03:11 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2012/06/05 15:04:55 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012/06/04 11:08:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Samsung Printers
[2012/06/04 11:08:03 | 000,000,000 | ---D | C] -- C:\Programme\SamsungPrinterLiveUpdate
[2012/06/04 11:08:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\Samsung
[2012/06/04 11:07:32 | 000,082,432 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msxml4r.dll
[2012/06/04 11:07:32 | 000,081,920 | ---- | C] (Samsung Electronics) -- C:\WINDOWS\System32\ssdevm.dll
[2012/06/04 11:07:32 | 000,049,152 | ---- | C] (Samsung Electronics) -- C:\WINDOWS\System32\ssusbpn.dll
[2012/06/04 11:07:32 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msxml4a.dll
[2012/06/04 11:07:31 | 000,021,776 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msxml2a.dll
[2012/06/04 11:06:16 | 000,000,000 | ---D | C] -- C:\Programme\Samsung
[2012/06/04 11:03:30 | 000,151,552 | ---- | C] (SS) -- C:\WINDOWS\System32\ssp6mci.exe
[2012/06/04 11:03:29 | 000,065,536 | ---- | C] (SS) -- C:\WINDOWS\System32\ssp6mci.dll
[2012/05/21 04:34:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marlene\Desktop\Unterlagen pdf
[2012/05/20 12:07:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Ojnqoftd
[2012/05/20 12:07:29 | 000,034,477 | -H-- | C] (The Code::Blocks Team) -- C:\WINDOWS\System32\F7DE18C2D83445464D5A.exe
[2012/05/20 12:07:08 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2012/05/14 02:07:23 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[2012/05/14 02:07:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla
[2012/05/12 08:18:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marlene\Lokale Einstellungen\Anwendungsdaten\FreePDF_XP
[2012/05/12 08:17:51 | 000,000,000 | ---D | C] -- C:\Programme\FreePDF_XP
[2012/05/12 08:17:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\FreePDF
[2012/05/12 08:17:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FreePDF
[2012/05/12 08:17:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ghostscript
[2012/05/12 08:17:19 | 000,000,000 | ---D | C] -- C:\Programme\gs
[2012/05/07 04:53:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Marlene\Desktop\Bewerbungsunterlagen original
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2012/06/05 16:59:13 | 001,391,408 | ---- | M] () -- C:\WINDOWS\System32\drivers\sfi.dat
[2012/06/05 16:59:12 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/06/05 16:44:55 | 000,320,332 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/06/05 16:44:55 | 000,314,706 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/06/05 16:44:55 | 000,049,372 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/06/05 16:44:55 | 000,041,034 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/06/04 11:08:05 | 000,000,276 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SAMSUNG Dr.Printer.url
[2012/06/04 11:08:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Samsung Printers
[2012/06/04 10:25:02 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/31 02:17:16 | 000,030,710 | ---- | M] () -- C:\Dokumente und Einstellungen\Marlene\Desktop\Bescheid.pdf
[2012/05/20 12:14:22 | 000,001,039 | ---- | M] () -- C:\WINDOWS\cdplayer.ini
[2012/05/20 12:07:29 | 000,034,477 | -H-- | M] (The Code::Blocks Team) -- C:\WINDOWS\System32\F7DE18C2D83445464D5A.exe
[2012/05/12 08:17:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\FreePDF
[2012/05/12 08:17:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Ghostscript
[2012/05/11 15:50:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/05/11 15:50:40 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/05/11 15:50:32 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/05/11 15:50:22 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
========== Files Created - No Company Name ==========
[2012/06/04 14:38:07 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/06/04 14:38:07 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/06/04 14:38:07 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/06/04 14:38:07 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/06/04 14:38:07 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/06/04 14:38:06 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/06/04 11:08:05 | 000,000,276 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\SAMSUNG Dr.Printer.url
[2012/06/04 11:08:04 | 000,482,408 | ---- | C] () -- C:\WINDOWS\ssndii.exe
[2012/06/04 11:03:29 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\ssp6ml3.dll
[2012/06/04 11:03:29 | 000,000,361 | ---- | C] () -- C:\WINDOWS\System32\ssp6ml3.smt
[2012/05/31 02:17:14 | 000,030,710 | ---- | C] () -- C:\Dokumente und Einstellungen\Marlene\Desktop\Bescheid.pdf
[2012/05/12 08:17:52 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2012/05/12 08:17:52 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2011/02/13 06:12:58 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009/06/23 15:40:49 | 000,005,632 | ---- | C] () -- C:\Dokumente und Einstellungen\Marlene\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/05/27 15:41:28 | 000,001,039 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2009/05/27 14:55:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009/05/27 14:05:13 | 001,391,408 | ---- | C] () -- C:\WINDOWS\System32\drivers\sfi.dat
[2009/05/27 14:03:07 | 000,168,208 | ---- | C] () -- C:\WINDOWS\System32\guard32.dll
[2009/05/27 13:58:48 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009/05/27 13:52:29 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009/05/27 13:51:13 | 000,188,200 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009/05/27 13:22:59 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2009/05/27 13:22:48 | 000,000,520 | R--- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX1.dat
[2009/05/27 13:22:48 | 000,000,520 | R--- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX0.dat
[2009/05/27 13:22:48 | 000,000,008 | R--- | C] () -- C:\WINDOWS\System32\drivers\rtkhdaud.dat
[2009/05/27 13:21:19 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4957.dll
[2009/05/27 13:21:18 | 001,991,464 | R--- | C] () -- C:\WINDOWS\System32\igkrng500.bin
[2009/05/27 13:21:18 | 000,432,400 | R--- | C] () -- C:\WINDOWS\System32\igcompkrng500.bin
[2009/05/27 13:05:22 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009/05/27 13:00:01 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/04/14 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008/04/14 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/04/14 08:00:00 | 000,320,332 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/04/14 08:00:00 | 000,314,706 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/04/14 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/04/14 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/04/14 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/04/14 08:00:00 | 000,049,372 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/04/14 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/04/14 08:00:00 | 000,041,034 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/04/14 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/04/14 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/04/14 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/04/14 08:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008/04/14 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/04/14 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003/02/20 11:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
========== LOP Check ==========
[2011/02/07 13:58:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Babylon
[2009/05/27 13:49:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Desktopicon
[2012/05/12 08:17:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\FreePDF
[2010/01/29 15:22:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\mquadr.at
[2012/05/20 12:07:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Ojnqoftd
[2010/11/03 13:52:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Thunderbird
[2009/05/27 13:49:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Marlene\Anwendungsdaten\Toolbars
[2011/02/07 13:58:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
[2010/02/02 14:52:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IM
[2010/02/02 14:49:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail
[2010/01/29 15:22:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\m2backup
[2010/01/29 15:22:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mquadr.at
[2010/01/29 14:38:22 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{121AD2BC-C528-40F6-AA74-A5E1962657DF}
[2010/01/29 14:37:59 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{7FDC9DDA-8828-4A49-A615-2E0A4EE0F0E2}
[2010/01/29 14:30:58 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{D692DF95-0D76-4FE0-9096-9B56DEAE4205}
[2010/01/29 14:31:11 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{DEC678D1-B2BE-43DD-B123-21503011D8C9}
========== Purity Check ==========
< End of report >
peter |
| Themen zu Windows Update Trojaner (ukash, 256Bit AES, 100€) |
| .dll, 256 bit, bho, bluescreen, desktop, disabletaskmgr, einstellungen, email, explorer, firefox, format, launch, log, logfile, malware, mozilla, problem, realtek, registry, scan, security, software, starten, trojaner, unlock, update trojaner, warnung, windows, windows xp |
Baum-Darstellung