|
Plagegeister aller Art und deren Bekämpfung: Windows Verschlüsselungs TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.06.2012, 15:11 | #1 |
| Windows Verschlüsselungs Trojaner Hallo liebe Experten, nun habe ich dasselbe Problem wie viele andere hier, ich war so unvorsichtig und habe diese Mails am 07.06.2012 erhalten: Hallo Matthias Reicherter, Vielen Dank für Ihre Bestellung bei kirschkernkissen Deutschland, nachfolgend finden Sie Ihre Kaufbestätigung. Deine Vertragsnummer: 929832782618 Bestellte Ware: BareBone 9628750961 9704,19 Euro Rechnung auf: Matthias Reicherter Zahlungsmethode: Konto-Einzug Lieferadresse und genaue Vertragsdetails finden Sie aus Vorsichtsmaßnahmen im zugefügtem Zip Ordner. Die Zahlung wurde autorisiert und wird innerhalb 4 Tage entzogen. Kaufeinzelheiten und Widerruf Möglichkeiten finden Sie in Beilage. Ihr Kundenservice Buzzcube Ltd. Billufer 23 45423 Essen Telefon: (+49) 220 7797361 (Mo-Fr 10.00 bis 16.00 Uhr, Sa 7.00 bis 15.00 Uhr) Gesellschaftssitz Allendorf Steuer-Nummer: CH120536714 Geschäftsfuehrer: Leni Weber sowie direkt anschliessend folgende Lieber Nutzer matzi38, wir mussten leider feststellen, dass unsere Rechnung ID: 5990076773 für den Benutzer matzi38 immer noch nicht bezahlt wurde. Dies bedeutet einen rechtskräftigen Schuldnerverzug Ihrerseits. Nach deutschen Recht könnten wir die offenen Kosten bereits jetzt durch Rechtsanwalt fordern. Wir geben Ihnen trotzdem noch eine letzte Chance, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie sofort die ausstehende Summe in Höhe von 887.00 EURO an uns überweisen. Die Leistungen und die Kontodaten können Sie im zugefügten Ordner sehen. Bitte beachten Sie, Über die Verzinsung der Forderung hinaus hat der Schuldner auch jeden weiteren durch den Verzug entstandenen Schaden zu ersetzen. Flirt Fever Ag mit Stand in München Amtsgericht: Kiel Geschäftsführer: Karin Koller, Jürgen Schmid ... und dummerweise die 2 angehängten Dateien geöffnet Am 08.06. hat sich der Trojaner aktiviert und die hier schon von anderen Nutzern benannte Meldung auf dem Bildschirm gezeigt mit "Willkommen... Windows Verschlüsselungs Trojaner... ", wo man dann zum Schluss auch aufgefordert wird, an einer Tankstelle den Freischaltungscode kaufen zu können. Wie ich dann genau vorgegangen bin, weiß ich nicht mehr exakt; aber es war so, dass eine Meldung kam, den Rechner nicht auszuschalten, da sonst alle Daten gelöscht werden würden. Habe trotzdem ausgeschaltet, neu hochgefahren, blauer Bildschirm "System auf Konsistenz überprüfen...", habe es durchlaufen lassen, viele viele Lock - Meldungen währenddessen, dann immer wieder nur die o.a. Meldung des Verschlüsselungstrojaners. Mit "Esc" habe ich dann es geschafft, den Desktop anzuzeigen, alle Icons sind umbenannt und kryptisch gekennzeichnet (z.B. EVtdNugvTIXxftLyE usw.). Jetzt im Moment schreibe ich diese NAchricht auf diesem Rechner, hoffentlich kann ich sie abschicken. Hier im Forum versuchte ich mich schlau zu machen, habe 2 Sachen probiert (s. ff.), dann aber den Hinweis gefunden, dass man keinesfalls selber irgendwas versuchen sollte, da jede Infektion individuell sei. Habe am anderen Rechner gegoogelt, Das Avira - tool "AviraRansimFileUnlocker" auf USB - Stick gespeichert und hier versucht zu starten, aber ich soll da einen locked und einen unlocked - Ordner auswählen, um einen Schlüssel zu Speichern oder so, was ich aber vergeblich versucht habe, weil ich nicht weiß, was das ist und meine Suche auf dem Rechner nach solchen Dateien fehlschlug. Habe auch eine CD gebrannt (am anderen Rechner) mit dem anderen Tool, wo man dann das reatogo - Dingens auf dem Bildschirm sieht, nach einigen Minuten dann aber kommt eine Fehlermeldung, dass es nicht funktioniert. Jetzt unternehme ich nix weiter auf eingene Faust, zumal ich überhaupt kein Computerfreak bin, und hoffe, dass Ihr mir hier helfen könnt! Habe WinXPprof, ob 32 oder 64 bit - System, weiß ich nicht, wo man das kucken kann. Die beiden Dateianhänge bzw. diese exe - Dateien mit dem Virus, ich weiß nicht, wie ich die hier reintun bzw. bekannt machen soll, da ich Schiss habe, erneut den Trojaner zu aktivieren oder zu verbreiten. Keine Ahnung was ich machen soll. Kann man mir bitte helfen? Freundlichen Gruß Matthes |
12.06.2012, 12:02 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows Verschlüsselungs Trojaner Hinweise bzgl. der verschlüsselten Dateien:
__________________Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon Eine Notlösung für Vista und Win7-User => http://www.trojaner-board.de/115496-...erstellen.html Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht! Man darf sich aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung? Abgesicherter Modus zur Bereinigung
__________________ |
29.06.2012, 20:21 | #3 |
| Windows Verschlüsselungs Trojaner Hallo,
__________________danke erstmal für die Antwort! Bis jetzt bin ich noch nicht weitergekommen, ausser dass ich malwarebytes (tool 1) durchlaufen lassen habe und entsprechend den Ergebnissen bzw. Vorgaben nun folgendes präsentieren kann (Ob es relevant ist, weiss ich nicht): Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.29.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Matze :: SCHWEINCHEN [Administrator] 29.06.2012 21:00:35 mbam-log-2012-06-29 (21-00-35).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 269826 Laufzeit: 8 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 2 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 7 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\67B3506B78D616486A60.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Lieben Gruß, Matthes. Zusatz - Edit: Habe das OTL.exe durchlaufen lassen, 2 Textfiles (1) und (2) folgen: (1) OTL.txt - Editor:OTL Logfile: Code:
ATTFilter OTL logfile created on: 29.06.2012 21:46:47 - Run 1 OTL by OldTimer - Version 3.2.53.0 Folder = C:\Dokumente und Einstellungen\Matze\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,99 Gb Total Physical Memory | 1,41 Gb Available Physical Memory | 70,80% Memory free 3,33 Gb Paging File | 2,91 Gb Available in Paging File | 87,35% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,53 Gb Total Space | 41,23 Gb Free Space | 55,32% Space Free | Partition Type: NTFS Computer Name: SCHWEINCHEN | User Name: Matze | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.06.29 21:45:58 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Matze\Desktop\OTL.exe PRC - [2012.03.26 17:08:12 | 000,931,200 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe PRC - [2012.03.26 17:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\MsMpEng.exe PRC - [2012.01.18 14:02:04 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2012.01.18 08:44:52 | 000,450,848 | ---- | M] (Logitech Inc.) -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe PRC - [2011.11.11 14:08:06 | 000,205,336 | ---- | M] (Logitech Inc.) -- C:\Programme\Logitech\LWS\Webcam Software\LWS.exe PRC - [2011.07.12 03:40:08 | 000,026,112 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Real\RealPlayer\realplay.exe PRC - [2009.12.03 11:12:12 | 000,976,320 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\Programme\Epson Software\Event Manager\EEventManager.exe PRC - [2009.09.14 09:00:00 | 000,200,704 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIGDE.EXE PRC - [2009.02.23 15:05:34 | 000,111,856 | ---- | M] (Yahoo! Inc) -- C:\Programme\Yahoo!\Search Protection\SearchProtection.exe PRC - [2008.11.09 22:48:14 | 000,602,392 | ---- | M] (Yahoo! Inc.) -- C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2005.07.19 18:32:18 | 000,221,184 | ---- | M] (Logitech Inc.) -- C:\WINDOWS\system32\LVCOMSX.EXE PRC - [2003.10.16 04:12:20 | 000,155,648 | ---- | M] (InterVideo Inc.) -- C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe PRC - [2003.10.16 04:10:06 | 000,167,936 | ---- | M] () -- C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe ========== Modules (No Company Name) ========== MOD - [2012.04.04 07:53:56 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU MOD - [2011.08.22 01:18:06 | 000,925,696 | ---- | M] () -- C:\Programme\Yahoo!\Messenger\yui.dll MOD - [2011.03.01 23:15:28 | 000,126,808 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\ImageFormats\QJpeg4.dll MOD - [2011.03.01 23:15:28 | 000,027,480 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\ImageFormats\QGif4.dll MOD - [2011.03.01 23:15:04 | 000,340,824 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\QTXml4.dll MOD - [2011.03.01 23:14:42 | 007,954,776 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\QTGui4.dll MOD - [2011.03.01 23:14:30 | 002,143,576 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\QTCore4.dll MOD - [2003.10.16 04:10:06 | 000,167,936 | ---- | M] () -- C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe ========== Win32 Services (SafeList) ========== SRV - [2012.03.26 17:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc) SRV - [2012.01.18 08:44:52 | 000,450,848 | ---- | M] (Logitech Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe -- (UMVPFSrv) SRV - [2008.11.09 22:48:14 | 000,602,392 | ---- | M] (Yahoo! Inc.) [Auto | Running] -- C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe -- (YahooAUService) SRV - [2002.08.14 04:33:46 | 001,130,496 | ---- | M] () [Auto | Stopped] -- C:\mysql\bin\mysqld-nt.exe -- (MySql) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\SysUtil\PORTMSYS.SYS -- (PORTMON) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btpmw32.sys -- (BCMTPM) DRV - [2012.01.18 08:44:52 | 004,332,960 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lvuvc.sys -- (LVUVC) Logitech HD Webcam C310(UVC) DRV - [2012.01.18 08:44:28 | 000,312,096 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS) DRV - [2011.03.18 13:46:26 | 000,061,704 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ftdibus.sys -- (FTDIBUS) DRV - [2011.03.18 13:46:10 | 000,073,096 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ftser2k.sys -- (FTSER2K) DRV - [2011.02.08 14:13:44 | 000,058,496 | ---- | M] (Silicon Laboratories) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\silabser.sys -- (silabser) DRV - [2011.02.08 14:13:44 | 000,047,176 | ---- | M] (Silicon Laboratories) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\silabenm.sys -- (silabenm) DRV - [2010.08.31 12:43:36 | 000,195,968 | ---- | M] (Jungo) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\windrvr6.sys -- (WinDriver6) DRV - [2008.03.17 12:03:46 | 000,101,376 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard) DRV - [2007.01.24 01:00:00 | 000,070,784 | ---- | M] (OEM) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\oxser.sys -- (oxser) DRV - [2007.01.24 01:00:00 | 000,021,888 | ---- | M] (OEM) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\oxmf.sys -- (oxmf) DRV - [2007.01.24 01:00:00 | 000,005,888 | ---- | M] (OEM) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\oxmfuf.sys -- (Oxmfuf) DRV - [2006.12.14 18:44:06 | 000,085,120 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp) DRV - [2006.06.28 16:25:24 | 004,304,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2006.05.15 01:00:00 | 000,156,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k) DRV - [2005.05.27 10:32:52 | 001,317,152 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lvcm.sys -- (QCMerced) DRV - [2005.05.27 10:31:28 | 000,022,016 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LVUSBSta.sys -- (LVUSBSta) DRV - [2003.08.20 07:26:48 | 000,307,328 | R--- | M] (Philips) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lvcap138.sys -- (LVCap138) DRV - [2003.08.20 07:26:32 | 000,016,000 | R--- | M] (Philips) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lvtuner.sys -- (lvtuner) DRV - [2002.09.27 08:53:00 | 000,009,856 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT3209604 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = DA EF 60 C9 70 D6 CC 01 [binary data] IE - HKCU\..\URLSearchHook: {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll (Yahoo! Inc.) IE - HKCU\..\SearchScopes,DefaultScope = {0EFB0874-319D-4D75-917E-3CDC7D279212} IE - HKCU\..\SearchScopes\{0EFB0874-319D-4D75-917E-3CDC7D279212}: "URL" = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3209604 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_32: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@messenger.yahoo.com/YahooMessengerStatePlugin;version=1.0.0.6: C:\Programme\Yahoo!\Shared\npYState.dll (Yahoo! Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKCU\Software\MozillaPlugins\@yahoo.com/BrowserPlus,version=2.9.8: C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Yahoo!\BrowserPlus\2.9.8\Plugins\npybrowserplus_2.9.8.dll () FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.04.29 21:38:32 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.10.25 23:49:28 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Extensions [2012.06.08 09:04:17 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\gx0b5g3y.default\extensions [2011.07.04 15:53:35 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\gx0b5g3y.default\extensions\chrome [2012.06.08 09:04:17 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\gx0b5g3y.default\extensions\components [2012.05.19 19:34:16 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.05.19 19:34:16 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} [2012.01.19 08:09:05 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.04.17 00:52:21 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.04.17 00:52:21 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.04.17 00:52:21 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.06.29 03:13:24 | 000,002,051 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\fcmdSrchstonicde.xml [2012.04.17 00:52:21 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.04.17 00:52:21 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.04.17 00:52:21 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll (Yahoo! Inc.) O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Programme\facemoods.com\facemoods\1.4.17.8\bh\facemoods.dll (facemoods.com BHO) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.) O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll (Yahoo! Inc) O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.) O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Programme\facemoods.com\facemoods\1.4.17.8\facemoodsTlbr.dll (facemoods.com) O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll (Yahoo! Inc.) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll (Yahoo! Inc.) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [EEventManager] C:\Programme\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION) O4 - HKLM..\Run: [facemoods] C:\Programme\facemoods.com\facemoods\1.4.17.8\facemoodssrv.exe (facemoods.com) O4 - HKLM..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE (Logitech Inc.) O4 - HKLM..\Run: [LWS] C:\Programme\Logitech\LWS\Webcam Software\LWS.exe (Logitech Inc.) O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation) O4 - HKLM..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe (RealNetworks, Inc.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [WinDVR SchSvr] C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe (InterVideo Inc.) O4 - HKLM..\Run: [YSearchProtection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc) O4 - HKCU..\Run: [EPSON SX218 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGDE.EXE (SEIKO EPSON CORPORATION) O4 - HKCU..\Run: [Messenger (Yahoo!)] C:\Programme\Yahoo!\Messenger\YahooMessenger.exe (Yahoo! Inc.) O4 - HKCU..\Run: [Search Protection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc) O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} hxxp://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab (Geräteerkennung) O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} https://support.microsoft.com/Dcode/ActiveX/MSDcode.cab (Microsoft Data Collection Control) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32) O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8922E016-11E4-4690-87B2-B96EAFE44736}: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B4CBC191-DFED-4D9A-AA25-58CC8541FFD0}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\WINDOWS\System32\userinit.exe (Microsoft Corporation) O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - No CLSID value found. O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: O24 - Desktop BackupWallPaper: O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.11.02 16:05:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell - "" = AutoRun O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O35 - HKCU\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.06.29 21:45:56 | 000,596,992 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Matze\Desktop\OTL.exe [2012.06.29 20:53:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Malwarebytes [2012.06.29 20:53:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.06.29 20:53:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.06.29 20:53:09 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.06.29 20:53:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.06.29 20:51:38 | 010,063,000 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Matze\Desktop\mbam-setup-1.61.0.1400.exe [2012.06.11 05:16:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Desktop\Hasenrezepte [2012.06.08 06:51:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Eigene Dateien\Datenblätter_2 [2012.06.07 07:14:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf [2012.06.07 07:09:30 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF [2012.06.05 09:15:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton [2012.06.05 09:14:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller [2012.06.05 05:59:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\eSupport.com [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.06.29 21:50:00 | 000,000,406 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{2696D319-1E85-4C99-B7A0-CC4B1A731C26}.job [2012.06.29 21:45:58 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Matze\Desktop\OTL.exe [2012.06.29 21:45:16 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\defogger_reenable [2012.06.29 21:43:18 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Defogger.exe [2012.06.29 21:36:00 | 000,000,572 | -H-- | M] () -- C:\WINDOWS\tasks\DataUpload.job [2012.06.29 20:53:20 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.06.29 20:51:45 | 010,063,000 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Matze\Desktop\mbam-setup-1.61.0.1400.exe [2012.06.29 20:25:24 | 000,012,692 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.06.29 19:05:24 | 000,007,500 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\eaglerc.usr [2012.06.29 17:36:00 | 000,000,604 | -H-- | M] () -- C:\WINDOWS\tasks\ConfigExec.job [2012.06.28 16:55:46 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job [2012.06.28 16:46:40 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn [2012.06.28 16:45:31 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.06.28 16:45:29 | 2136,977,408 | -HS- | M] () -- C:\hiberfil.sys [2012.06.25 22:42:57 | 000,135,664 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.06.25 22:20:18 | 000,609,364 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.06.25 22:20:18 | 000,574,864 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.06.25 22:20:18 | 000,133,854 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.06.25 22:20:18 | 000,110,352 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012.06.25 22:06:01 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.06.10 03:12:32 | 000,001,051 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Neu RTF-Dokument.rtf [2012.06.10 00:24:13 | 000,000,668 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FlashPeak SlimBrowser.lnk [2012.06.08 09:56:18 | 000,065,536 | -H-- | M] () -- C:\WINDOWS\System32\67B3506B78D616486A60.exe [2012.06.08 09:17:45 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2012.06.06 15:52:00 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323 [2012.06.06 15:51:42 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322 [2012.06.06 15:51:18 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321 [2012.06.06 15:50:48 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320 [2012.06.05 09:16:05 | 000,001,409 | ---- | M] () -- C:\WINDOWS\QTFont.for [2012.06.05 08:36:13 | 000,009,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\qlXeruOJEjLUxfOvrus [2012.06.03 22:12:22 | 000,557,056 | ---- | M] () -- C:\LOuXDaesfGEyLlasX [2012.06.01 06:49:55 | 000,007,784 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\XxftqojLealOvNoAnyV [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.06.29 21:45:16 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\defogger_reenable [2012.06.29 21:43:18 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Defogger.exe [2012.06.29 20:53:20 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.06.29 19:05:24 | 000,007,500 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\eaglerc.usr [2012.06.10 02:59:12 | 000,001,051 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Neu RTF-Dokument.rtf [2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325 [2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324 [2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323 [2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322 [2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321 [2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320 [2012.06.07 07:11:22 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\System32\67B3506B78D616486A60.exe [2012.05.21 00:50:03 | 000,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.02.15 19:26:54 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011.08.12 12:20:14 | 000,015,896 | ---- | C] () -- C:\WINDOWS\System32\drivers\iKeyLFT2.dll [2011.06.29 01:13:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\SPLASH.INI [2011.06.29 01:05:49 | 000,004,036 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\WSMFC52AT.INI [2011.06.29 00:50:20 | 000,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\WSCAD52.INI [2011.06.29 00:50:20 | 000,000,133 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\WSCAD.INI [2011.04.18 11:36:29 | 000,391,192 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1813158837-859729759-3536760713-1006-0.dat [2011.04.18 11:36:27 | 000,122,230 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat [2011.04.10 20:16:49 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat [2011.04.01 07:07:02 | 010,920,984 | ---- | C] () -- C:\WINDOWS\System32\LogiDPP.dll [2011.04.01 07:07:02 | 000,104,472 | ---- | C] () -- C:\WINDOWS\System32\LogiDPPApp.exe [2011.04.01 07:06:56 | 000,336,408 | ---- | C] () -- C:\WINDOWS\System32\DevManagerCore.dll [2010.12.22 08:55:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\EEventManager.INI [2010.11.26 21:16:56 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.11.15 21:35:07 | 000,000,269 | ---- | C] () -- C:\WINDOWS\LEXSTAT.INI [2010.11.13 21:33:36 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\InstMed.exe [2010.11.13 21:33:32 | 001,317,152 | ---- | C] () -- C:\WINDOWS\System32\drivers\lvcm.sys [2010.11.13 21:33:32 | 000,028,418 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini [2010.11.10 15:50:48 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2010.11.10 15:50:48 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2010.11.10 15:50:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2010.11.10 15:50:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2010.11.10 15:50:48 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2010.11.10 15:50:48 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [1601.02.13 10:28:18 | 000,363,722 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\ptdxjnyElpsNugalp [1601.02.13 10:28:18 | 000,016,978 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oqLurvOXlTLjEdsVxsXlr [1601.02.13 10:28:18 | 000,007,784 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\XxftqojLealOvNoAnyV [1601.02.13 10:28:18 | 000,000,427 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\srugvyEAUxfugJNUx [1601.02.13 10:28:18 | 000,000,327 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\oynDTeXpDasfxUtVGgQNr [1601.02.13 10:28:18 | 000,000,172 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\LlasspDTtVxUsfJ ========== LOP Check ========== [2011.03.02 16:23:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON [2012.04.29 21:35:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IMinent [2010.11.11 00:13:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InterVideo [2012.06.27 21:35:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lic [2012.06.08 09:04:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL [2011.07.12 04:01:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems [2012.06.08 09:04:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone [2012.02.15 19:37:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VS [2011.08.14 14:52:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Amazon [2011.04.18 07:42:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Atmel [2012.06.08 09:04:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Audacity [2011.05.06 20:21:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar [2012.05.11 05:49:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\CadSoft [2011.07.20 01:45:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\com.adobe.downloadassistant.AdobeDownloadAssistant [2012.04.29 13:28:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Easeware [2011.10.18 01:58:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Epson [2011.06.30 00:07:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\facemoods.com [2011.05.10 01:51:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\ibf [2011.08.13 12:59:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Leadertech [2012.05.11 02:39:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\PriceGong [2012.06.29 21:46:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\SlimBrowser [2010.11.19 01:02:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Template [2012.04.29 21:35:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Toolbar4 [2011.07.12 03:51:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Ulead Systems [2012.06.09 17:30:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf [2011.05.28 09:55:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\VisualAssist [2010.11.13 20:38:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Vodafone [2012.06.29 17:36:00 | 000,000,604 | -H-- | M] () -- C:\WINDOWS\Tasks\ConfigExec.job [2012.06.29 21:36:00 | 000,000,572 | -H-- | M] () -- C:\WINDOWS\Tasks\DataUpload.job [2012.06.29 21:50:00 | 000,000,406 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{2696D319-1E85-4C99-B7A0-CC4B1A731C26}.job ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 88 bytes -> C:\fqnAasXDuNvplTVGd:SummaryInformation @Alternate Data Stream - 88 bytes -> C:\factory.exe:SummaryInformation < End of report > (2) Extras.txt - EditorOTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 29.06.2012 21:46:47 - Run 1 OTL by OldTimer - Version 3.2.53.0 Folder = C:\Dokumente und Einstellungen\Matze\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,99 Gb Total Physical Memory | 1,41 Gb Available Physical Memory | 70,80% Memory free 3,33 Gb Paging File | 2,91 Gb Available in Paging File | 87,35% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,53 Gb Total Space | 41,23 Gb Free Space | 55,32% Space Free | Partition Type: NTFS Computer Name: SCHWEINCHEN | User Name: Matze | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Extra Registry (SafeList) ========== ========== File Associations ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>] .cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* .html [@ = SlimBrowserHtml] -- C:\Programme\SlimBrowser\sbframe.exe (FlashPeak Inc.) [HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>] .html [@ = SlimBrowserHtml] -- Reg Error: Key error. File not found ========== Shell Spawning ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command] batfile [open] -- "%1" %* cmdfile [open] -- "%1" %* comfile [open] -- "%1" %* cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%* exefile [open] -- "%1" %* htmlfile [edit] -- Reg Error: Key error. http [open] -- "C:\Programme\SlimBrowser\sbframe.exe" -nosp -ni (FlashPeak Inc.) https [open] -- "C:\Programme\SlimBrowser\sbframe.exe" -nosp -ni (FlashPeak Inc.) piffile [open] -- "%1" %* regfile [merge] -- Reg Error: Key error. scrfile [config] -- "%1" scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l scrfile [open] -- "%1" /S txtfile [edit] -- Reg Error: Key error. Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1 Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation) Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation) Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation) ========== Security Center Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled" = 1 "AntiVirusDisableNotify" = 0 "FirewallDisableNotify" = 0 "UpdatesDisableNotify" = 0 "AntiVirusOverride" = 0 "FirewallOverride" = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] ========== System Restore Settings ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR" = 1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr] "Start" = 4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService] "Start" = 2 ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 0 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall" = 1 "DoNotAllowExceptions" = 1 "DisableNotifications" = 0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007 "2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008 "139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004 "445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005 "137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001 "138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002 ========== Authorized Applications List ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" = C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger -- (Yahoo! Inc.) "C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation) "C:\Programme\Epson Software\Event Manager\EEventManager.exe" = C:\Programme\Epson Software\Event Manager\EEventManager.exe:*:Enabled:EEventManager Application -- (SEIKO EPSON CORPORATION) "C:\Programme\SpacialAudio\SAM2\SAM2.exe" = C:\Programme\SpacialAudio\SAM2\SAM2.exe:*:Enabled:SAM2 -- () "C:\Programme\Atmel\AVR Studio 5.0\AvrStudio.exe" = C:\Programme\Atmel\AVR Studio 5.0\AvrStudio.exe:*:Enabled:AvrStudio Application -- (Atmel) "C:\Programme\KiCad\winexe\pcbnew.exe" = C:\Programme\KiCad\winexe\pcbnew.exe:*:Enabled:pcbnew "C:\Programme\Logitech\Vid HD\Vid.exe" = C:\Programme\Logitech\Vid HD\Vid.exe:*:Enabled:Logitech Vid HD -- (Logitech Inc.) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{03B8AA32-F23C-4178-B8E6-09ECD07EAA47}" = Epson Event Manager "{08610298-29AE-445B-B37D-EFBE05802967}" = LWS Pictures And Video "{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended "{0F842B77-56EA-4AAF-8295-81A022350B5E}" = Microsoft Security Client "{1280E900-35DA-4E08-A700-B79A5B2B8532}" = Microsoft Antimalware Service DE-DE Language Pack "{138A4072-9E64-46BD-B5F9-DB2BB395391F}" = LWS VideoEffects "{15634701-BACE-4449-8B25-1567DA8C9FD3}" = CameraHelperMsi "{1651216E-E7AD-4250-92A1-FB8ED61391C9}" = LWS Help_main "{174A3B31-4C43-43DD-866F-73C9DB887B48}" = LWS Twitter "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{21DF0294-6B9D-4741-AB6F-B2ABFBD2387E}" = LWS YouTube Plugin "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java(TM) 6 Update 32 "{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP "{39F58DDB-B2B8-4B86-AF20-4706A80EB30D}" = Epson Easy Photo Print 2 "{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile "{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = erLT "{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater "{50779A29-834E-4E36-BBEB-B7CABC67A825}" = Microsoft Security Client DE-DE Language Pack "{55ACE462-F309-4650-BE4E-F1008D6D8726}" = Microsoft Visual Studio ProjectAggregator2 "{57BB52B7-6B7B-31F3-89F4-4EE8FE5CEF6D}" = Microsoft Help Viewer 1.1 "{5AB7D739-1735-3A9E-BE73-C43507CB4E6F}" = Microsoft Visual Studio 2010 Service Pack 1 "{5D90E53A-BD7C-8F32-9B82-7733D0F0BC8E}" = Adobe Download Assistant "{5D9ED403-94DE-3BA0-B1D6-71F4BDA412E6}" = Microsoft Visual C++ 2010 x86 Runtime - 10.0.40219 "{60315A8A-5FCA-47CE-A856-681F3A9CDB5B}" = AVR Studio 5.0 "{6BF4613C-0A46-43AA-8FA8-0CB9F2C1A548}" = InterVideo WinDVR 3 "{6F76EC3C-34B1-436E-97FB-48C58D7BEDCD}" = LWS Gallery "{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable "{71E66D3F-A009-44AB-8784-75E2819BA4BA}" = LWS Motion Detection "{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053 "{77F1F8AD-51B8-4490-AEEC-BF480073E0FC}" = Microsoft SQL Server 2008 R2 Management Objects "{83C8FA3C-F4EA-46C4-8392-D3CE353738D6}" = LWS Launcher "{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 "{877B76B2-F83F-4F5A-B28D-3F398641ADB6}" = Microsoft SQL Server System CLR Types "{8937D274-C281-42E4-8CDB-A0B2DF979189}" = LWS Webcam Software "{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting "{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 "{9DAEA76B-E50F-4272-A595-0124E826553D}" = LWS WLM Plugin "{a0fe116e-9a8a-466f-aee0-625cb7c207e3}" = Microsoft Visual C++ 2005 Redistributable - KB2467175 "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{A4F22AF1-AF51-4E09-8EE1-F00B1652ED34}" = Silicon Laboratories CP210x VCP Drivers for Windows XP/2003 Server/Vista/7 "{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Deutsch "{AC76BA86-7AD7-2447-0000-A00000000003}" = Chinese Simplified Fonts Support For Adobe Reader X "{ACCA20B0-C4D1-4BF5-BF21-0A0EB5EF9730}" = REALTEK GbE & FE Ethernet PCI NIC Driver "{B2D55EB8-32C5-4B43-9006-9E97DECBA178}" = Epson Easy Photo Print Plug-in for PMB(Picture Motion Browser) "{B3D1CFF9-C5DA-3590-894B-40821DDB67C5}" = Microsoft Visual Studio 2010 Tools for Office Runtime (x86) "{B7E38540-E355-3503-AFD7-635B2F2F76E1}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974 "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 "{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1 "{CFEF48A8-BFB8-3EAC-8BA5-DE4F8AA267CE}" = Microsoft .NET Framework 4 Multi-Targeting Pack "{D40EB009-0499-459c-A8AF-C9C110766215}" = Logitech Webcam Software "{D64B6984-242F-32BC-B008-752806E5FC44}" = Microsoft Visual Studio 2010 Shell (Isolated) - ENU "{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe "{E8F8861D-98E0-43FF-9E48-AC236CC3BE4E}" = AVR Jungo USB "{EDDDC607-91D9-4758-9F57-265FDCD8A772}" = Microsoft Works 7.0 "{EED027B7-0DB6-404B-8F45-6DFEE34A0441}" = LWS Video Mask Maker "{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver "{FDB3B167-F4FA-461D-976F-286304A57B2A}" = Adobe AIR "{FF167195-9EE4-46C0-8CD7-FBA3457E88AB}" = LWS Facebook "Adobe AIR" = Adobe AIR "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "AF Signal Function Generator" = AF Signal Function Generator "Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9 "Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.12 (Unicode) "com.adobe.downloadassistant.AdobeDownloadAssistant" = Adobe Download Assistant "DMM" = DMM "EAGLE 6.0.0" = EAGLE 6.0.0 "EAGLE 6.2.0" = EAGLE 6.2.0 "ELECTRA_is1" = ELECTRA v1.5.3 "EPSON Scanner" = EPSON Scan "EPSON SX218 Series" = EPSON SX218 Series Printer Uninstall "EPSON SX218 Series Manual" = EPSON SX218 Series Handbuch "EVEREST Home Edition_is1" = EVEREST Home Edition v2.20 "facemoods" = Facemoods Toolbar "HDMI" = Intel(R) Graphics Media Accelerator Driver "ie8" = Windows Internet Explorer 8 "IrfanView" = IrfanView (remove only) "Logitech Vid" = Logitech Vid HD "Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400 "Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1 "Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile "Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended "Microsoft Help Viewer 1.1" = Microsoft Help Viewer 1.1 "Microsoft Security Client" = Microsoft Security Essentials "Microsoft Visual Studio 2010 Service Pack 1" = Microsoft Visual Studio 2010 Service Pack 1 "Microsoft Visual Studio 2010 Tools for Office Runtime (x86)" = Microsoft Visual Studio 2010 Tools for Office Runtime (x86) "Mixxx (1.8.2)" = Mixxx 1.8.2 "Mozilla Firefox 9.0.1 (x86 de)" = Mozilla Firefox 9.0.1 (x86 de) "MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP "MySQL Servers and Clients 3.23.52" = MySQL Servers and Clients 3.23.52 "QcDrv" = Logitech® Camera-Treiber "Qucs_is1" = Quite Universal Circuit Simulator 0.0.10 binary package for Win "QuickTime" = QuickTime "RealPlayer 6.0" = RealPlayer Basic "SAM2" = SAM2 (remove only) "SLABCOMM&10C4&EA60" = Silicon Laboratories CP210x USB to UART Bridge (Driver Removal) "SlimBrowser" = FlashPeak SlimBrowser "sPlan_60_Demo_is1" = sPlan 6.0 (Demo) "ST6UNST #1" = elo-formel-6_dev "TARGET 3001! V13 special" = TARGET 3001! V13 special "Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7 "Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9 "Windows Media Encoder 9" = Windows Media Encoder 9-Reihe "Windows Media Format Runtime" = Windows Media Format 11 runtime "Windows Media Player" = Windows Media Player 11 "WMFDist11" = Windows Media Format 11 runtime "wmp11" = Windows Media Player 11 "Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0 "Yahoo! Companion" = Yahoo! Toolbar "Yahoo! Messenger" = Yahoo! Messenger "Yahoo! Search Defender" = Yahoo! Suche Schutzvorkehrung "Yahoo! Software Update" = Yahoo! Software Update ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Yahoo! BrowserPlus" = Yahoo! BrowserPlus 2.9.8 ========== Last 20 Event Log Errors ========== [ Application Events ] Error - 17.05.2012 09:45:06 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1 Description = Error - 17.05.2012 16:07:21 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1 Description = Error - 18.05.2012 11:06:54 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1 Description = Error - 18.05.2012 12:22:00 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1 Description = Error - 19.05.2012 11:15:14 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1 Description = Error - 07.06.2012 11:11:32 | Computer Name = SCHWEINCHEN | Source = MPSampleSubmission | ID = 5000 Description = EventType mptelemetry, P1 0x80070002, P2 mpupdateengine, P3 am bases and delta, P4 11.1.3927.0, P5 mpsigstub.exe, P6 4.0.1526.0, P7 microsoft security essentials, P8 NIL, P9 NIL, P10 NIL. Error - 08.06.2012 04:15:04 | Computer Name = SCHWEINCHEN | Source = MPSampleSubmission | ID = 5000 Description = EventType mptelemetry, P1 0x80070002, P2 moac, P3 cachereset, P4 4.0.1526.0, P5 unspecified, P6 unspecified, P7 unspecified, P8 NIL, P9 NIL, P10 NIL. Error - 09.06.2012 18:17:38 | Computer Name = SCHWEINCHEN | Source = Microsoft Works | ID = 1000 Description = Error - 09.06.2012 18:17:47 | Computer Name = SCHWEINCHEN | Source = Microsoft Works | ID = 1001 Description = Error - 25.06.2012 16:43:17 | Computer Name = SCHWEINCHEN | Source = .NET Runtime Optimization Service | ID = 1103 Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Tried to start a service that wasn't the latest version of CLR Optimization service. Will shutdown [ Application Events ] Error - 17.05.2012 09:45:06 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1 Description = Error - 17.05.2012 16:07:21 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1 Description = Error - 18.05.2012 11:06:54 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1 Description = Error - 18.05.2012 12:22:00 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1 Description = Error - 19.05.2012 11:15:14 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1 Description = Error - 07.06.2012 11:11:32 | Computer Name = SCHWEINCHEN | Source = MPSampleSubmission | ID = 5000 Description = EventType mptelemetry, P1 0x80070002, P2 mpupdateengine, P3 am bases and delta, P4 11.1.3927.0, P5 mpsigstub.exe, P6 4.0.1526.0, P7 microsoft security essentials, P8 NIL, P9 NIL, P10 NIL. Error - 08.06.2012 04:15:04 | Computer Name = SCHWEINCHEN | Source = MPSampleSubmission | ID = 5000 Description = EventType mptelemetry, P1 0x80070002, P2 moac, P3 cachereset, P4 4.0.1526.0, P5 unspecified, P6 unspecified, P7 unspecified, P8 NIL, P9 NIL, P10 NIL. Error - 09.06.2012 18:17:38 | Computer Name = SCHWEINCHEN | Source = Microsoft Works | ID = 1000 Description = Error - 09.06.2012 18:17:47 | Computer Name = SCHWEINCHEN | Source = Microsoft Works | ID = 1001 Description = Error - 25.06.2012 16:43:17 | Computer Name = SCHWEINCHEN | Source = .NET Runtime Optimization Service | ID = 1103 Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32) - Tried to start a service that wasn't the latest version of CLR Optimization service. Will shutdown [ System Events ] Error - 09.06.2012 11:26:42 | Computer Name = SCHWEINCHEN | Source = Ntfs | ID = 262199 Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar. Führen Sie chkdsk auf Volume "C:" aus. Error - 09.06.2012 11:27:56 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7034 Description = Dienst "MySql" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 10.06.2012 14:22:04 | Computer Name = SCHWEINCHEN | Source = PlugPlayManager | ID = 11 Description = Das Gerät "Root\LEGACY_MPKSL42458849\0000" wurde ohne vorbereitende Maßnahmen vom System entfernt. Error - 11.06.2012 07:08:16 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7034 Description = Dienst "MySql" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 25.06.2012 13:39:27 | Computer Name = SCHWEINCHEN | Source = Application Popup | ID = 877 Description = Fehler [DATABASE OPEN FAILED] beim Verarbeiten der Treiberdatenbank. Error - 25.06.2012 13:40:22 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7034 Description = Dienst "MySql" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 25.06.2012 16:43:18 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7034 Description = Dienst "MySql" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 27.06.2012 09:12:10 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7034 Description = Dienst "MySql" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 28.06.2012 10:45:54 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7034 Description = Dienst "MySql" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert. Error - 28.06.2012 13:29:30 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7011 Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung von Dienst Netman. < End of report > Hey hey, nun habe ich unter schritt 2 diesen scan durchgeführt, mit GMer, da kam es aber zu keinem Ergebnis, sodass ich kein neues Thema mit den files dds.txt, attach.txt und Gmer.txt eröffnen kann, so wie es in der Anleitung angegeben ist. Vielleicht kann mir jemand helfen, wäre sehr nett. Matthes Geändert von Matthias_R. (29.06.2012 um 20:55 Uhr) |
01.07.2012, 14:32 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows Verschlüsselungs Trojaner Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ Logfiles bitte immer in CODE-Tags posten |
02.07.2012, 20:08 | #5 |
| Windows Verschlüsselungs Trojaner hallo cosinus, danke für Deine Mühe. Habe jetzt zum zweiten Mal Malwarebytes gemacht, jetzt stehe ich auf dem Schlauch mit ESET, weil da steht, ich soll u.a. Scriptblocking und ähnliches deaktivieren. Was ist scriptblocking? Jaca - script kenne ich, aber nur vom Namen her. Und wie oder wo man das deaktiviert, weiß ich nicht. Und was ich ähnliches noch deaktivieren muss, keine Ahnung. Hallo Arne, ich hoffe ich mache alles richtig hier (bzgl. d. Code - Tags und so); Jetzt hier nochmal die log files von malwarebyte (habe insgesamt 6 davon, weil ich malwarebyte 6 mal habe laufen lassen, natürlich vorher immer aktualisiert), jetzt hier das aktuellste): Malwarebytes Anti-Malware 1.61.0.1400 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.07.01.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Matze :: SCHWEINCHEN [Administrator] 01.07.2012 20:59:23 mbam-log-2012-07-01 (20-59-23).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 380286 Laufzeit: 1 Stunde(n), 9 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Jetzt das ESET - log - file: ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # SBRender.exe=6.00.041 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=bf0f8466e3f6f146a116b7b79879647f # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-07-02 10:54:45 # local_time=2012-07-03 12:54:45 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=5891 16776869 42 93 0 8998390 0 0 # compatibility_mode=8192 67108863 100 0 8394 8394 0 0 # scanned=120670 # found=2 # cleaned=0 # scan_time=5843 C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\e404df1-3a8929ba Java/Exploit.Agent.NBB trojan (unable to clean) 00000000000000000000000000000000 I C:\Dokumente und Einstellungen\Matze\Eigene Dateien\Atmel\temp\SoftonicDownloader_fuer_splan.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I Vielen Dank schon mal für die Mühe, die Ihr euch / Du Dir machst! Ich bin da völlig Ahnungslos in Sachen Computer. Matthes ach so, da fällt mir noch ein, ich hatte ziemlich sicher auch mein externes Festplattenlaufwerk angeschlossen am PC, und jetzt weiß ich nicht, ob sich dort der Trojaner schon eingenistet hat... Habe aber dieses Laufwerk auch in die Suche von malwarebytes- und Eset - scan mit einbezogen. |
03.07.2012, 12:38 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows Verschlüsselungs Trojaner Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________ --> Windows Verschlüsselungs Trojaner |
03.07.2012, 14:34 | #7 |
| Windows Verschlüsselungs Trojaner Ja hallo, hier tue ich jetzt chronologisch die logfiles von Malwarebytes rein: [U]Log(1)[U] Malwarebytes Anti-Malware 1.61.0.1400 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.06.29.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Matze :: SCHWEINCHEN [Administrator] 29.06.2012 21:00:35 mbam-log-2012-06-29 (21-00-35).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 269826 Laufzeit: 8 Minute(n), 25 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 2 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 7 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\67B3506B78D616486A60.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) log(2) Malwarebytes Anti-Malware 1.61.0.1400 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.06.29.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Matze :: SCHWEINCHEN [Administrator] 30.06.2012 21:35:17 mbam-log-2012-06-30 (21-35-17).txt Art des Suchlaufs: Benutzerdefinierter Suchlauf Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P Durchsuchte Objekte: 532 Laufzeit: 1 Minute(n), 36 Sekunde(n) [Abgebrochen] Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) log(3) Malwarebytes Anti-Malware 1.61.0.1400 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.07.01.06 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Matze :: SCHWEINCHEN [Administrator] 01.07.2012 19:10:56 mbam-log-2012-07-01 (19-10-56).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 63028 Laufzeit: 15 Minute(n), 9 Sekunde(n) [Abgebrochen] Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) log(4) Malwarebytes Anti-Malware 1.61.0.1400 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.07.01.06 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Matze :: SCHWEINCHEN [Administrator] 01.07.2012 19:38:46 mbam-log-2012-07-01 (19-38-46).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 380222 Laufzeit: 1 Stunde(n), 6 Minute(n), 49 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Dokumente und Einstellungen\Matze\Eigene Dateien\Atmel\temp\SoftonicDownloader_fuer_kicad.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Matze\Eigene Dateien\Atmel\temp\SoftonicDownloader_fuer_proficad.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) log(5) Malwarebytes Anti-Malware 1.61.0.1400 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.07.01.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Matze :: SCHWEINCHEN [Administrator] 01.07.2012 20:57:53 mbam-log-2012-07-01 (20-57-53).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 35 Laufzeit: 14 Sekunde(n) [Abgebrochen] Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) log(6) nochmal Malwarebytes Anti-Malware 1.61.0.1400 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.07.01.08 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Matze :: SCHWEINCHEN [Administrator] 01.07.2012 20:59:23 mbam-log-2012-07-01 (20-59-23).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 380286 Laufzeit: 1 Stunde(n), 9 Minute(n), 57 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Greets from Aachen, Matthes. |
03.07.2012, 15:23 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows Verschlüsselungs TrojanerCode:
ATTFilter C:\Dokumente und Einstellungen\Matze\Eigene Dateien\Atmel\temp\SoftonicDownloader_fuer_splan.exe Finger weg von Softonic!! Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________ Logfiles bitte immer in CODE-Tags posten |
03.07.2012, 17:19 | #9 |
| Windows Verschlüsselungs Trojaner Der normale Modus geht wieder, in wie weit die Funktion noch eingeschränkt ist, weiß ich nicht. Der task - Manager war weg bzw. es war nicht mehr möglich, ihn zu starten. Dann ist mir noch aufgefallen, dass der CPU - Lüfter so in sporadischen Abständen sehr stark beschleunigt hat für ein paar Minuten. Unter dem Startmenü ist alles noch da, unter "Programme" scheint auch alles noch da zu sein; nur in "Start / Programme / Autostart" sowie in "Start / Programme / Start" ist nix mehr drin. Also funktionieren tut der Rechner, aber wie lange noch? Wenn der Trojaner sich gerade nur ruhig verhält und dann irgendwann zuschlägt, keine Ahnung. Soll ich softtonic deinstallieren oder wie geht das mit dem löschen von Softtonic? unter "Software" steht es nicht drin. Aber da ist noch "facemoods toolbar drin", soll ich das deinstallieren? Geändert von Matthias_R. (03.07.2012 um 17:54 Uhr) |
04.07.2012, 14:57 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows Verschlüsselungs Trojaner Ja, alle Toolbars deinstallieren! Und Dateien mit Softonic im Dateinamen löschen und in Zukunft sich von diese shice Softonicseite fernhalten! Mach danach ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
04.07.2012, 21:43 | #11 |
| Windows Verschlüsselungs Trojaner Hallo Arne, hier nun der neue OTL - log: Code:
ATTFilter OTL logfile created on: 04.07.2012 22:22:44 - Run 2 OTL by OldTimer - Version 3.2.53.1 Folder = C:\Dokumente und Einstellungen\Matze\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,99 Gb Total Physical Memory | 1,40 Gb Available Physical Memory | 70,40% Memory free 3,33 Gb Paging File | 2,94 Gb Available in Paging File | 88,34% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,53 Gb Total Space | 42,42 Gb Free Space | 56,91% Space Free | Partition Type: NTFS Drive G: | 465,65 Gb Total Space | 363,28 Gb Free Space | 78,02% Space Free | Partition Type: FAT32 Computer Name: SCHWEINCHEN | User Name: Matze | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\Matze\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation) PRC - c:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation) PRC - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe (Logitech Inc.) PRC - C:\Programme\Logitech\LWS\Webcam Software\LWS.exe (Logitech Inc.) PRC - C:\Programme\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION) PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIGDE.EXE (SEIKO EPSON CORPORATION) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\LVCOMSX.EXE (Logitech Inc.) PRC - C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe (InterVideo Inc.) ========== Modules (No Company Name) ========== MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU () MOD - C:\Programme\Logitech\LWS\Webcam Software\ImageFormats\QJpeg4.dll () MOD - C:\Programme\Logitech\LWS\Webcam Software\ImageFormats\QGif4.dll () MOD - C:\Programme\Logitech\LWS\Webcam Software\QTXml4.dll () MOD - C:\Programme\Logitech\LWS\Webcam Software\QTGui4.dll () MOD - C:\Programme\Logitech\LWS\Webcam Software\QTCore4.dll () ========== Win32 Services (SafeList) ========== SRV - (MsMpSvc) -- c:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation) SRV - (UMVPFSrv) -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe (Logitech Inc.) SRV - (MySql) -- C:\mysql\bin\mysqld-nt.exe () ========== Driver Services (SafeList) ========== DRV - (WDICA) -- File not found DRV - (PORTMON) -- C:\SysUtil\PORTMSYS.SYS File not found DRV - (PDRFRAME) -- File not found DRV - (PDRELI) -- File not found DRV - (PDFRAME) -- File not found DRV - (PDCOMP) -- File not found DRV - (PCIDump) -- File not found DRV - (MpKsld84d6be6) -- c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6CB23822-F947-45A4-AE9F-46F32650F946}\MpKsld84d6be6.sys File not found DRV - (lbrtfdc) -- File not found DRV - (i2omgmt) -- File not found DRV - (Changer) -- File not found DRV - (BCMTPM) -- system32\DRIVERS\btpmw32.sys File not found DRV - (LVUVC) Logitech HD Webcam C310(UVC) -- C:\WINDOWS\system32\drivers\lvuvc.sys (Logitech Inc.) DRV - (LVRS) -- C:\WINDOWS\system32\drivers\lvrs.sys (Logitech Inc.) DRV - (FTDIBUS) -- C:\WINDOWS\system32\drivers\ftdibus.sys (FTDI Ltd.) DRV - (FTSER2K) -- C:\WINDOWS\system32\drivers\ftser2k.sys (FTDI Ltd.) DRV - (silabser) -- C:\WINDOWS\system32\drivers\silabser.sys (Silicon Laboratories) DRV - (silabenm) -- C:\WINDOWS\system32\drivers\silabenm.sys (Silicon Laboratories) DRV - (WinDriver6) -- C:\WINDOWS\system32\drivers\windrvr6.sys (Jungo) DRV - (hwdatacard) -- C:\WINDOWS\system32\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.) DRV - (oxser) -- C:\WINDOWS\system32\drivers\oxser.sys (OEM) DRV - (oxmf) -- C:\WINDOWS\system32\drivers\oxmf.sys (OEM) DRV - (Oxmfuf) -- C:\WINDOWS\system32\drivers\oxmfuf.sys (OEM) DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation ) DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.) DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation) DRV - (QCMerced) -- C:\WINDOWS\system32\drivers\lvcm.sys () DRV - (LVUSBSta) -- C:\WINDOWS\system32\drivers\LVUSBSta.sys (Logitech Inc.) DRV - (LVCap138) -- C:\WINDOWS\system32\drivers\lvcap138.sys (Philips) DRV - (lvtuner) -- C:\WINDOWS\system32\drivers\lvtuner.sys (Philips) DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT3209604 IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\URLSearchHook: {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - No CLSID value found IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\SearchScopes,DefaultScope = {0EFB0874-319D-4D75-917E-3CDC7D279212} IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\SearchScopes\{0EFB0874-319D-4D75-917E-3CDC7D279212}: "URL" = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3209604 IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_32: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKCU\Software\MozillaPlugins\@yahoo.com/BrowserPlus,version=2.9.8: C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Yahoo!\BrowserPlus\2.9.8\Plugins\npybrowserplus_2.9.8.dll () FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.04.29 21:38:32 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.10.25 23:49:28 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Extensions [2012.06.08 09:04:17 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\gx0b5g3y.default\extensions [2011.07.04 15:53:35 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\gx0b5g3y.default\extensions\chrome [2012.06.08 09:04:17 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\gx0b5g3y.default\extensions\components [2012.05.19 19:34:16 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.05.19 19:34:16 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} [2012.01.19 08:09:05 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.04.17 00:52:21 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.04.17 00:52:21 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012.04.17 00:52:21 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.06.29 03:13:24 | 000,002,051 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\fcmdSrchstonicde.xml [2012.04.17 00:52:21 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.04.17 00:52:21 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.04.17 00:52:21 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.) O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll File not found O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [EEventManager] C:\Programme\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION) O4 - HKLM..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE (Logitech Inc.) O4 - HKLM..\Run: [LWS] C:\Programme\Logitech\LWS\Webcam Software\LWS.exe (Logitech Inc.) O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation) O4 - HKLM..\Run: [WinDVR SchSvr] C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe (InterVideo Inc.) O4 - HKU\.DEFAULT..\Run: [DWQueuedReporting] c:\Programme\Gemeinsame Dateien\Microsoft Shared\DW\DWTRIG20.EXE (Microsoft Corporation) O4 - HKU\S-1-5-18..\Run: [DWQueuedReporting] c:\Programme\Gemeinsame Dateien\Microsoft Shared\DW\DWTRIG20.EXE (Microsoft Corporation) O4 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006..\Run: [EPSON SX218 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGDE.EXE (SEIKO EPSON CORPORATION) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutorunsDisabled [2012.07.02 22:39:26 | 000,000,000 | -H-D | M] O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} hxxp://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab (Geräteerkennung) O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} https://support.microsoft.com/Dcode/ActiveX/MSDcode.cab (Microsoft Data Collection Control) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool) O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32) O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8922E016-11E4-4690-87B2-B96EAFE44736}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\WINDOWS\System32\userinit.exe (Microsoft Corporation) O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - No CLSID value found. O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: O24 - Desktop BackupWallPaper: O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.11.02 16:05:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell - "" = AutoRun O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O35 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.07.02 22:39:26 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutorunsDisabled [2012.07.02 20:57:28 | 000,000,000 | ---D | C] -- C:\Programme\ESET [2012.06.29 21:45:56 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Matze\Desktop\OTL.exe [2012.06.29 20:53:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Malwarebytes [2012.06.29 20:53:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.06.29 20:53:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.06.29 20:53:09 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.06.29 20:53:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.06.29 20:51:38 | 010,063,000 | ---- | C] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Matze\Desktop\mbam-setup-1.61.0.1400.exe [2012.06.11 05:16:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Desktop\Hasenrezepte [2012.06.08 06:51:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Eigene Dateien\Datenblätter_2 [2012.06.07 07:14:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf [2012.06.07 07:09:30 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF [2012.06.05 09:15:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton [2012.06.05 09:14:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller [2012.06.05 05:59:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\eSupport.com [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.07.04 22:22:00 | 000,000,406 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{2696D319-1E85-4C99-B7A0-CC4B1A731C26}.job [2012.07.04 21:03:56 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Matze\Desktop\OTL.exe [2012.07.04 20:16:39 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job [2012.07.04 20:08:11 | 000,012,692 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.07.04 20:06:21 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.07.04 20:06:20 | 2136,977,408 | -HS- | M] () -- C:\hiberfil.sys [2012.07.04 19:06:57 | 000,008,410 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\eaglerc.usr [2012.07.02 22:43:16 | 000,000,572 | -H-- | M] () -- C:\WINDOWS\tasks\DataUpload.job [2012.07.02 22:43:15 | 000,000,604 | -H-- | M] () -- C:\WINDOWS\tasks\ConfigExec.job [2012.07.02 22:38:07 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn [2012.07.02 22:38:07 | 000,001,409 | ---- | M] () -- C:\WINDOWS\QTFont.for [2012.06.29 22:15:02 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\noiez3lf.exe [2012.06.29 21:45:16 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\defogger_reenable [2012.06.29 21:43:18 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Defogger.exe [2012.06.29 20:53:20 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.06.29 20:51:45 | 010,063,000 | ---- | M] (Malwarebytes Corporation ) -- C:\Dokumente und Einstellungen\Matze\Desktop\mbam-setup-1.61.0.1400.exe [2012.06.25 22:42:57 | 000,135,664 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.06.25 22:20:18 | 000,609,364 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.06.25 22:20:18 | 000,574,864 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.06.25 22:20:18 | 000,133,854 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.06.25 22:20:18 | 000,110,352 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012.06.25 22:06:01 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.06.10 03:12:32 | 000,001,051 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Neu RTF-Dokument.rtf [2012.06.10 00:24:13 | 000,000,668 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FlashPeak SlimBrowser.lnk [2012.06.08 09:56:18 | 000,065,536 | -H-- | M] () -- C:\WINDOWS\System32\67B3506B78D616486A60.exe [2012.06.08 09:17:45 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat [2012.06.06 15:52:00 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323 [2012.06.06 15:51:42 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322 [2012.06.06 15:51:18 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321 [2012.06.06 15:50:48 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320 [2012.06.05 08:36:13 | 000,009,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\qlXeruOJEjLUxfOvrus [4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] [4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.07.04 19:06:57 | 000,008,410 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\eaglerc.usr [2012.06.29 22:15:01 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Desktop\noiez3lf.exe [2012.06.29 21:45:16 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\defogger_reenable [2012.06.29 21:43:18 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Defogger.exe [2012.06.29 20:53:20 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.06.10 02:59:12 | 000,001,051 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Neu RTF-Dokument.rtf [2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325 [2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324 [2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323 [2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322 [2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321 [2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320 [2012.06.07 07:11:22 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\System32\67B3506B78D616486A60.exe [2012.05.21 00:50:03 | 000,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2012.02.15 19:26:54 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2011.08.12 12:20:14 | 000,015,896 | ---- | C] () -- C:\WINDOWS\System32\drivers\iKeyLFT2.dll [2011.06.29 01:13:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\SPLASH.INI [2011.06.29 01:05:49 | 000,004,036 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\WSMFC52AT.INI [2011.06.29 00:50:20 | 000,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\WSCAD52.INI [2011.06.29 00:50:20 | 000,000,133 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\WSCAD.INI [2011.04.18 11:36:29 | 000,391,192 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1813158837-859729759-3536760713-1006-0.dat [2011.04.18 11:36:27 | 000,122,230 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat [2011.04.10 20:16:49 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat [2011.04.01 07:07:02 | 010,920,984 | ---- | C] () -- C:\WINDOWS\System32\LogiDPP.dll [2011.04.01 07:07:02 | 000,104,472 | ---- | C] () -- C:\WINDOWS\System32\LogiDPPApp.exe [2011.04.01 07:06:56 | 000,336,408 | ---- | C] () -- C:\WINDOWS\System32\DevManagerCore.dll [2010.12.22 08:55:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\EEventManager.INI [2010.11.26 21:16:56 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat [2010.11.15 21:35:07 | 000,000,269 | ---- | C] () -- C:\WINDOWS\LEXSTAT.INI [2010.11.13 21:33:36 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\InstMed.exe [2010.11.13 21:33:32 | 001,317,152 | ---- | C] () -- C:\WINDOWS\System32\drivers\lvcm.sys [2010.11.13 21:33:32 | 000,028,418 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini [2010.11.10 15:50:48 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll [2010.11.10 15:50:48 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll [2010.11.10 15:50:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll [2010.11.10 15:50:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll [2010.11.10 15:50:48 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll [2010.11.10 15:50:48 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll [1601.02.13 10:28:18 | 000,363,722 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\ptdxjnyElpsNugalp [1601.02.13 10:28:18 | 000,016,978 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oqLurvOXlTLjEdsVxsXlr [1601.02.13 10:28:18 | 000,007,784 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\XxftqojLealOvNoAnyV [1601.02.13 10:28:18 | 000,000,427 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\srugvyEAUxfugJNUx [1601.02.13 10:28:18 | 000,000,327 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\oynDTeXpDasfxUtVGgQNr [1601.02.13 10:28:18 | 000,000,172 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\LlasspDTtVxUsfJ ========== LOP Check ========== [2012.06.08 09:04:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.SCHWEINCHEN\Anwendungsdaten\SlimBrowser [2011.03.02 16:23:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON [2012.04.29 21:35:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IMinent [2010.11.11 00:13:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InterVideo [2012.06.27 21:35:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lic [2012.06.08 09:04:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL [2011.07.12 04:01:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems [2012.06.08 09:04:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone [2012.02.15 19:37:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VS [2011.02.10 17:31:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Epson [2012.07.04 19:09:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\SlimBrowser [2010.11.13 20:38:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Vodafone [2011.08.14 14:52:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Amazon [2011.04.18 07:42:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Atmel [2012.06.08 09:04:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Audacity [2011.05.06 20:21:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar [2012.05.11 05:49:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\CadSoft [2011.07.20 01:45:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\com.adobe.downloadassistant.AdobeDownloadAssistant [2012.04.29 13:28:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Easeware [2011.10.18 01:58:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Epson [2011.06.30 00:07:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\facemoods.com [2011.05.10 01:51:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\ibf [2011.08.13 12:59:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Leadertech [2012.05.11 02:39:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\PriceGong [2012.07.04 22:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\SlimBrowser [2010.11.19 01:02:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Template [2012.04.29 21:35:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Toolbar4 [2011.07.12 03:51:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Ulead Systems [2012.06.09 17:30:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf [2011.05.28 09:55:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\VisualAssist [2010.11.13 20:38:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Vodafone [2011.01.18 23:00:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Epson [2011.08.02 10:20:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\facemoods.com [2012.07.02 22:43:15 | 000,000,604 | -H-- | M] () -- C:\WINDOWS\Tasks\ConfigExec.job [2012.07.02 22:43:16 | 000,000,572 | -H-- | M] () -- C:\WINDOWS\Tasks\DataUpload.job [2012.07.04 22:22:00 | 000,000,406 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{2696D319-1E85-4C99-B7A0-CC4B1A731C26}.job ========== Purity Check ========== ========== Custom Scans ========== < %ALLUSERSPROFILE%\Application Data\*. > < %ALLUSERSPROFILE%\Application Data\*.exe /s > < %APPDATA%\*. > [2011.07.20 01:44:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Adobe [2011.08.14 14:52:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Amazon [2011.04.18 07:42:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Atmel [2012.06.08 09:04:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Audacity [2011.05.06 20:21:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar [2012.05.11 05:49:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\CadSoft [2011.07.20 01:45:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\com.adobe.downloadassistant.AdobeDownloadAssistant [2012.04.29 13:28:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Easeware [2011.10.18 01:58:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Epson [2011.06.30 00:07:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\facemoods.com [2010.11.14 00:33:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Google [2010.11.15 22:13:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Help [2011.05.10 01:51:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\ibf [2010.11.10 15:39:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Identities [2011.03.02 16:13:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\InstallShield [2011.08.13 12:59:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Leadertech [2010.11.13 21:19:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Macromedia [2012.06.29 20:53:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Malwarebytes [2011.05.26 18:34:30 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Microsoft [2011.05.26 18:43:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Microsoft Corporation [2011.10.25 23:49:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla [2012.05.11 02:39:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\PriceGong [2012.07.04 22:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\SlimBrowser [2010.12.08 04:35:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Sun [2010.11.19 01:02:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Template [2012.04.29 21:35:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Toolbar4 [2011.07.12 03:51:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Ulead Systems [2012.06.09 17:30:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf [2011.05.28 09:55:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\VisualAssist [2010.11.13 20:38:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Vodafone [2012.07.04 19:30:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Yahoo! < %APPDATA%\*.exe /s > [2011.07.20 01:44:29 | 000,053,632 | ---- | M] (Adobe Systems Inc.) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe < %SYSTEMDRIVE%\*.exe > [2011.10.26 18:52:56 | 000,142,336 | ---- | M] () -- C:\factory.exe [2004.08.04 01:35:20 | 000,025,600 | ---- | M] () -- C:\setupcl.exe [2004.08.04 01:35:52 | 000,574,464 | ---- | M] () -- C:\setupmgr.exe [2004.08.04 01:35:22 | 000,090,624 | ---- | M] () -- C:\sysprep.exe < MD5 for: AGP440.SYS > [2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys < MD5 for: ATAPI.SYS > [2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys [2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\dllcache\atapi.sys [2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys [2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys [2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys < MD5 for: EVENTLOG.DLL > [2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\dllcache\eventlog.dll [2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll < MD5 for: NETLOGON.DLL > [2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\dllcache\netlogon.dll [2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll < MD5 for: SCECLI.DLL > [2008.04.14 07:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\dllcache\scecli.dll [2008.04.14 07:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll < MD5 for: USER32.DLL > [2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\dllcache\user32.dll [2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll < MD5 for: USERINIT.EXE > [2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe [2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe [2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe [2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < MD5 for: WS2IFSL.SYS > [2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys [2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2009.11.02 15:50:59 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav [2009.11.02 15:50:59 | 001,089,536 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav [2009.11.02 15:50:59 | 000,454,656 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav < %systemroot%\*. /mp /s > < %systemroot%\system32\*.dll /lockedfiles > [4 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ] < > ========== Alternate Data Streams ========== @Alternate Data Stream - 88 bytes -> C:\fqnAasXDuNvplTVGd:SummaryInformation @Alternate Data Stream - 88 bytes -> C:\factory.exe:SummaryInformation < End of report > Außerdem habe ich wie von Dir verlangt, alle toolbar - shice gelöscht. ABER: Was sich nicht löschen lies, war eine Software namen "Yahoo! BrowserPlus". Nachdem ich gegoogelt habe, was das für eine software ist und wie man sie runter kriegt, erschloss sich mir die geteilte Einsicht vieler anderer Leute, dass das eine nur schwer zu deinstallierende Software ist, manche sagten sogar, dass sie - vergleichesweise zu einem Virus - hartnäckig im System bleibt. ach so, jetzt ist mir noch was eingefallen: Mein Browser, den ich immer benutze, heißt "slimbrowser". Von Flashpeak. Den IE finde ich shice. Kannst Du mir dazu etwas sagen? |
05.07.2012, 10:23 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows Verschlüsselungs Trojaner Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT3209604 IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\URLSearchHook: {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - No CLSID value found IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\SearchScopes,DefaultScope = {0EFB0874-319D-4D75-917E-3CDC7D279212} IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\SearchScopes\{0EFB0874-319D-4D75-917E-3CDC7D279212}: "URL" = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3209604 [2011.06.29 03:13:24 | 000,002,051 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\fcmdSrchstonicde.xml O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll File not found O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.) O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O7 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.11.02 16:05:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell - "" = AutoRun O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence @Alternate Data Stream - 88 bytes -> C:\fqnAasXDuNvplTVGd:SummaryInformation @Alternate Data Stream - 88 bytes -> C:\factory.exe:SummaryInformation :Files C:\fqnAasXDuNvplTVGd C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf C:\WINDOWS\System32\67B3506B78D616486A60.exe C:\WINDOWS\System32\winsh32? C:\Dokumente und Einstellungen\Matze\Desktop\qlXeruOJEjLUxfOvrus C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Toolbar4 C:\Dokumente und Einstellungen\User\Anwendungsdaten\facemoods.com C:\Dokumente und Einstellungen\Matze\ptdxjnyElpsNugalp C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oqLurvOXlTLjEdsVxsXlr C:\Dokumente und Einstellungen\Matze\XxftqojLealOvNoAnyV C:\Dokumente und Einstellungen\Matze\srugvyEAUxfugJNUx C:\Dokumente und Einstellungen\All Users\oynDTeXpDasfxUtVGgQNr C:\Dokumente und Einstellungen\All Users\LlasspDTtVxUsfJ :Commands [purity] [emptytemp] [emptyflash] [resethosts] Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
06.07.2012, 04:00 | #13 |
| Windows Verschlüsselungs Trojaner hallo arne, nun versuche ich anhand Deiner Hülf, das log vom fixen hier ohne codetags reinzusetzen, weill ich gar keine Möglichkeit sehe, tags zu setzen. Also nun... All processes killed ========== OTL ========== HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully! HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully! HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully! HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache| /E : value set successfully! HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache AcceptLangs| /E : value set successfully! Registry value HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Internet Explorer\URLSearchHooks\\{81017EA9-9AA8-4A6A-9734-7AF40E7D593F} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{81017EA9-9AA8-4A6A-9734-7AF40E7D593F}\ not found. HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully! Registry key HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Internet Explorer\SearchScopes\{0EFB0874-319D-4D75-917E-3CDC7D279212}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0EFB0874-319D-4D75-917E-3CDC7D279212}\ not found. Registry key HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found. C:\Programme\Mozilla Firefox\searchplugins\fcmdSrchstonicde.xml moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\AutorunsDisabled\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{9421DD08-935F-4701-A9CA-22DF90AC4EA6} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9421DD08-935F-4701-A9CA-22DF90AC4EA6}\ deleted successfully. C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully. Registry value HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found. Registry value HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ not found. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully. Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found. Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. Registry value HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully! C:\AUTOEXEC.BAT moved successfully. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{411710d4-f67c-11df-99c8-0019990b34fc}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{411710d4-f67c-11df-99c8-0019990b34fc}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{411710d4-f67c-11df-99c8-0019990b34fc}\ not found. File E:\setup_vmc_lite.exe /checkApplicationPresence not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e55928-ef54-11df-99b8-0019990b34fc}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e55928-ef54-11df-99b8-0019990b34fc}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e55928-ef54-11df-99b8-0019990b34fc}\ not found. File E:\setup_vmc_lite.exe /checkApplicationPresence not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e55929-ef54-11df-99b8-0019990b34fc}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e55929-ef54-11df-99b8-0019990b34fc}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e55929-ef54-11df-99b8-0019990b34fc}\ not found. File E:\setup_vmc_lite.exe /checkApplicationPresence not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e5592a-ef54-11df-99b8-0019990b34fc}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e5592a-ef54-11df-99b8-0019990b34fc}\ not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e5592a-ef54-11df-99b8-0019990b34fc}\ not found. File E:\setup_vmc_lite.exe /checkApplicationPresence not found. ADS C:\fqnAasXDuNvplTVGd:SummaryInformation deleted successfully. ADS C:\factory.exe:SummaryInformation deleted successfully. ========== FILES ========== C:\fqnAasXDuNvplTVGd moved successfully. C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf folder moved successfully. C:\WINDOWS\System32\67B3506B78D616486A60.exe moved successfully. C:\WINDOWS\System32\winsh320 moved successfully. C:\WINDOWS\System32\winsh321 moved successfully. C:\WINDOWS\System32\winsh322 moved successfully. C:\WINDOWS\System32\winsh323 moved successfully. C:\WINDOWS\System32\winsh324 moved successfully. C:\WINDOWS\System32\winsh325 moved successfully. C:\Dokumente und Einstellungen\Matze\Desktop\qlXeruOJEjLUxfOvrus moved successfully. C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar\BabylonToolbar\BabylonToolbar\BabylonToolbar folder moved successfully. C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar\BabylonToolbar\BabylonToolbar folder moved successfully. C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar\BabylonToolbar folder moved successfully. C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar folder moved successfully. C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Toolbar4 folder moved successfully. C:\Dokumente und Einstellungen\User\Anwendungsdaten\facemoods.com\facemoods folder moved successfully. C:\Dokumente und Einstellungen\User\Anwendungsdaten\facemoods.com folder moved successfully. C:\Dokumente und Einstellungen\Matze\ptdxjnyElpsNugalp moved successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oqLurvOXlTLjEdsVxsXlr moved successfully. C:\Dokumente und Einstellungen\Matze\XxftqojLealOvNoAnyV moved successfully. C:\Dokumente und Einstellungen\Matze\srugvyEAUxfugJNUx moved successfully. C:\Dokumente und Einstellungen\All Users\oynDTeXpDasfxUtVGgQNr moved successfully. C:\Dokumente und Einstellungen\All Users\LlasspDTtVxUsfJ moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temporary Internet Files folder emptied: 93603 bytes User: Administrator.SCHWEINCHEN ->Temp folder emptied: 5998114 bytes ->Temporary Internet Files folder emptied: 202871 bytes ->Flash cache emptied: 2836 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 56468 bytes User: Gast ->Temp folder emptied: 757938 bytes ->Temporary Internet Files folder emptied: 1777388 bytes ->Flash cache emptied: 456 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Matze ->Temp folder emptied: 1190766470 bytes ->Temporary Internet Files folder emptied: 65336775 bytes ->Java cache emptied: 1843519 bytes ->FireFox cache emptied: 114272072 bytes ->Google Chrome cache emptied: 6364143 bytes ->Flash cache emptied: 107163 bytes User: NetworkService ->Temp folder emptied: 3311942 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Setupdateien User: User ->Temp folder emptied: 769049 bytes ->Temporary Internet Files folder emptied: 14249729 bytes ->Java cache emptied: 0 bytes ->Flash cache emptied: 934 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2352202 bytes %systemroot%\System32 .tmp files removed: 1262983 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 40263319 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 1.383,00 mb [EMPTYFLASH] User: Administrator User: Administrator.SCHWEINCHEN ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Flash cache emptied: 0 bytes User: Gast ->Flash cache emptied: 0 bytes User: LocalService User: Matze ->Flash cache emptied: 0 bytes User: NetworkService User: Setupdateien User: User ->Flash cache emptied: 0 bytes Total Flash Files Cleaned = 0,00 mb C:\WINDOWS\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully OTL by OldTimer - Version 3.2.53.1 log created on 07062012_044430 Files\Folders moved on Reboot... File\Folder C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\X200E328\7YWnY96yoa79KffwaUTQer7tZljOf8ynnVvadSeOMQWswzCS_i0YsUEcQpoEJrm5UQPMpRhDpgV8RtKAzZ32BB0yb3ZBtj8lq8Csz2K5vy9Oz_3IMUFjeZLZSod 9tBCi2ZYqSX7Yhc6PaBqugLH6YyMVcedC9lKP[1].jpg not found! File\Folder C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\5GVQJPF5\HKGwG0yyoa5NQdnmivCFHNJm8bfDOw3txYzlN14AvGK86HwpZawCtrsPRVPIPoUtCREpe5qpMSH0aql3zfmFrjwXG2s3xCBdxZ5tssPi73ICfLyhkcktnkMDDTY uQBErdcoCbrKMQjjbr0PXCd6f3g--[1].jpg not found! PendingFileRenameOperations files... File C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\X200E328\7YWnY96yoa79KffwaUTQer7tZljOf8ynnVvadSeOMQWswzCS_i0YsUEcQpoEJrm5UQPMpRhDpgV8RtKAzZ32BB0yb3ZBtj8lq8Csz2K5vy9Oz_3IMUFjeZLZSod 9tBCi2ZYqSX7Yhc6PaBqugLH6YyMVcedC9lKP[1].jpg not found! File C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\5GVQJPF5\HKGwG0yyoa5NQdnmivCFHNJm8bfDOw3txYzlN14AvGK86HwpZawCtrsPRVPIPoUtCREpe5qpMSH0aql3zfmFrjwXG2s3xCBdxZ5tssPi73ICfLyhkcktnkMDDTY uQBErdcoCbrKMQjjbr0PXCd6f3g--[1].jpg not found! Registry entries deleted on Reboot... |
06.07.2012, 10:03 | #14 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Windows Verschlüsselungs TrojanerZitat:
Drück doch einfach mal im Antwortstrang oben bei der Textformatierungsleiste auf den #-Button und schon werden die CODE-Tags von allein angefügt
__________________ Logfiles bitte immer in CODE-Tags posten |
06.07.2012, 21:54 | #15 |
| Windows Verschlüsselungs Trojaner hallo Arne, ich tue mir halt mit Sachen in puncto Computer schon immer zeimlich schwer, bitte entschuldige Soll ich jetzt diesen Fix nochmal machen und dann in den code - tags erneut posten? Dann bitte nochmal die Frage: Es kommt bei den letzten 2 scans (OTL undEset) immer zu häufigen Fehlermeldungen. Ist das relevant? Geändert von Matthias_R. (06.07.2012 um 22:36 Uhr) |
Themen zu Windows Verschlüsselungs Trojaner |
avira, bildschirm, blauer bildschirm, dateien, desktop, exe, fehlermeldung, forum, gelöscht, icons, infektion, kunde, locker, meldung, neu, nicht auszuschalten, nicht mehr, problem, rechner, starten, stick, system, tool, trojane, trojaner, unlocked, usb, virus, windows |