Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Windows Verschlüsselungs Trojaner

Windows Verschlüsselungs Trojaner


Plagegeister aller Art und deren Bekämpfung: Windows Verschlüsselungs Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 3 1 23
Alt 09.06.2012, 15:11   #1
Matthias_R.
 
Windows Verschlüsselungs Trojaner - Standard

Windows Verschlüsselungs Trojaner


Hallo liebe Experten, nun habe ich dasselbe Problem wie viele andere hier, ich war so unvorsichtig und habe diese Mails am 07.06.2012 erhalten:

Hallo Matthias Reicherter,

Vielen Dank für Ihre Bestellung bei kirschkernkissen Deutschland, nachfolgend finden Sie Ihre Kaufbestätigung.

Deine Vertragsnummer: 929832782618
Bestellte Ware: BareBone 9628750961 9704,19 Euro
Rechnung auf: Matthias Reicherter
Zahlungsmethode: Konto-Einzug

Lieferadresse und genaue Vertragsdetails finden Sie aus Vorsichtsmaßnahmen im zugefügtem Zip Ordner.

Die Zahlung wurde autorisiert und wird innerhalb 4 Tage entzogen.
Kaufeinzelheiten und Widerruf Möglichkeiten finden Sie in Beilage.


Ihr Kundenservice

Buzzcube Ltd.
Billufer 23
45423 Essen

Telefon: (+49) 220 7797361
(Mo-Fr 10.00 bis 16.00 Uhr, Sa 7.00 bis 15.00 Uhr)
Gesellschaftssitz Allendorf
Steuer-Nummer: CH120536714
Geschäftsfuehrer: Leni Weber

sowie direkt anschliessend folgende

Lieber Nutzer matzi38,

wir mussten leider feststellen, dass unsere Rechnung ID: 5990076773 für den Benutzer matzi38 immer noch nicht bezahlt wurde. Dies bedeutet einen rechtskräftigen Schuldnerverzug Ihrerseits. Nach deutschen Recht könnten wir die offenen Kosten bereits jetzt durch Rechtsanwalt fordern. Wir geben Ihnen trotzdem noch eine letzte Chance, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie sofort die ausstehende Summe in Höhe von 887.00 EURO an uns überweisen.

Die Leistungen und die Kontodaten können Sie im zugefügten Ordner sehen.

Bitte beachten Sie, Über die Verzinsung der Forderung hinaus hat der Schuldner auch jeden weiteren durch den Verzug entstandenen Schaden zu ersetzen.


Flirt Fever Ag mit Stand in München

Amtsgericht: Kiel
Geschäftsführer: Karin Koller, Jürgen Schmid

... und dummerweise die 2 angehängten Dateien geöffnet

Am 08.06. hat sich der Trojaner aktiviert und die hier schon von anderen Nutzern benannte Meldung auf dem Bildschirm gezeigt mit "Willkommen... Windows Verschlüsselungs Trojaner... ", wo man dann zum Schluss auch aufgefordert wird, an einer Tankstelle den Freischaltungscode kaufen zu können.

Wie ich dann genau vorgegangen bin, weiß ich nicht mehr exakt; aber es war so, dass eine Meldung kam, den Rechner nicht auszuschalten, da sonst alle Daten gelöscht werden würden. Habe trotzdem ausgeschaltet, neu hochgefahren, blauer Bildschirm "System auf Konsistenz überprüfen...", habe es durchlaufen lassen, viele viele Lock - Meldungen währenddessen, dann immer wieder nur die o.a. Meldung des Verschlüsselungstrojaners. Mit "Esc" habe ich dann es geschafft, den Desktop anzuzeigen, alle Icons sind umbenannt und kryptisch gekennzeichnet (z.B. EVtdNugvTIXxftLyE usw.).
Jetzt im Moment schreibe ich diese NAchricht auf diesem Rechner, hoffentlich kann ich sie abschicken.

Hier im Forum versuchte ich mich schlau zu machen, habe 2 Sachen probiert (s. ff.), dann aber den Hinweis gefunden, dass man keinesfalls selber irgendwas versuchen sollte, da jede Infektion individuell sei.

Habe am anderen Rechner gegoogelt, Das Avira - tool "AviraRansimFileUnlocker" auf USB - Stick gespeichert und hier versucht zu starten, aber ich soll da einen locked und einen unlocked - Ordner auswählen, um einen Schlüssel zu Speichern oder so, was ich aber vergeblich versucht habe, weil ich nicht weiß, was das ist und meine Suche auf dem Rechner nach solchen Dateien fehlschlug.

Habe auch eine CD gebrannt (am anderen Rechner) mit dem anderen Tool, wo man dann das reatogo - Dingens auf dem Bildschirm sieht, nach einigen Minuten dann aber kommt eine Fehlermeldung, dass es nicht funktioniert.

Jetzt unternehme ich nix weiter auf eingene Faust, zumal ich überhaupt kein Computerfreak bin, und hoffe, dass Ihr mir hier helfen könnt!

Habe WinXPprof, ob 32 oder 64 bit - System, weiß ich nicht, wo man das kucken kann.

Die beiden Dateianhänge bzw. diese exe - Dateien mit dem Virus, ich weiß nicht, wie ich die hier reintun bzw. bekannt machen soll, da ich Schiss habe, erneut den Trojaner zu aktivieren oder zu verbreiten. Keine Ahnung was ich machen soll. Kann man mir bitte helfen?

Freundlichen Gruß

Matthes

Alt 12.06.2012, 12:02   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Verschlüsselungs Trojaner - Standard

Windows Verschlüsselungs Trojaner


Hinweise bzgl. der verschlüsselten Dateien:
Wann genau deine Daten entschlüsselt werden können wird dir niemand genau sagen können außer vllt einer es kann sein, dass du eine neuere Variante hast, deren Verschlüsselungsalgorithmus noch unbekannt ist. Sowas kann man (noch) nicht entschlüsseln und ohne Schlüssel schon garnicht - ist ja auch logisch, sonst wär es ja keine vernünftige Verschlüsselung
Einfach hier nochmal reinsehen in regelmäßigen Abständen, obige Hinweise beachten. 8 Tools mitsamt hunderten Diskussionsbeiträgen stehen da schon

Eine Notlösung für Vista und Win7-User => http://www.trojaner-board.de/115496-...erstellen.html

Entschlüsselungsversuche der verschlüsselten Dateien sind nur auf zusätzliche Kopien der verschlüsselten Dateien anzuwenden, sonst zerhackt man sich die noch weiter ohne die "original" verschlüsselte Datei mehr zu haben. Das willst du sicher nicht!

Man darf sich aber keine falschen Hoffnungen machen. Mittlerweile sieht es finster aus => Delphi-PRAXiS - Einzelnen Beitrag anzeigen - Verschlüsselungs-Trojaner, Hilfe benötigt

Und in Zukunft willst du sicher mal an ein besseres Backupkonzept denken. Hier ein Denkanstoß => http://www.trojaner-board.de/115678-...r-backups.html


Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung
  • Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
  • Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

    Windows im abgesicherten Modusstarten
__________________

__________________
Alt 29.06.2012, 20:21   #3
Matthias_R.
 
Windows Verschlüsselungs Trojaner - Standard

Windows Verschlüsselungs Trojaner


Hallo,

danke erstmal für die Antwort! Bis jetzt bin ich noch nicht weitergekommen, ausser dass ich malwarebytes (tool 1) durchlaufen lassen habe und entsprechend den Ergebnissen bzw. Vorgaben nun folgendes präsentieren kann (Ob es relevant ist, weiss ich nicht):

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.29.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Matze :: SCHWEINCHEN [Administrator]

29.06.2012 21:00:35
mbam-log-2012-06-29 (21-00-35).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 269826
Laufzeit: 8 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 7
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\67B3506B78D616486A60.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Lieben Gruß, Matthes.


Zusatz - Edit:

Habe das OTL.exe durchlaufen lassen, 2 Textfiles (1) und (2) folgen:

(1) OTL.txt - Editor:OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 29.06.2012 21:46:47 - Run 1
OTL by OldTimer - Version 3.2.53.0     Folder = C:\Dokumente und Einstellungen\Matze\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 1,41 Gb Available Physical Memory | 70,80% Memory free
3,33 Gb Paging File | 2,91 Gb Available in Paging File | 87,35% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 41,23 Gb Free Space | 55,32% Space Free | Partition Type: NTFS
 
Computer Name: SCHWEINCHEN | User Name: Matze | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.06.29 21:45:58 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Matze\Desktop\OTL.exe
PRC - [2012.03.26 17:08:12 | 000,931,200 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2012.03.26 17:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\MsMpEng.exe
PRC - [2012.01.18 14:02:04 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2012.01.18 08:44:52 | 000,450,848 | ---- | M] (Logitech Inc.) -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe
PRC - [2011.11.11 14:08:06 | 000,205,336 | ---- | M] (Logitech Inc.) -- C:\Programme\Logitech\LWS\Webcam Software\LWS.exe
PRC - [2011.07.12 03:40:08 | 000,026,112 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Real\RealPlayer\realplay.exe
PRC - [2009.12.03 11:12:12 | 000,976,320 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\Programme\Epson Software\Event Manager\EEventManager.exe
PRC - [2009.09.14 09:00:00 | 000,200,704 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIGDE.EXE
PRC - [2009.02.23 15:05:34 | 000,111,856 | ---- | M] (Yahoo! Inc) -- C:\Programme\Yahoo!\Search Protection\SearchProtection.exe
PRC - [2008.11.09 22:48:14 | 000,602,392 | ---- | M] (Yahoo! Inc.) -- C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2005.07.19 18:32:18 | 000,221,184 | ---- | M] (Logitech Inc.) -- C:\WINDOWS\system32\LVCOMSX.EXE
PRC - [2003.10.16 04:12:20 | 000,155,648 | ---- | M] (InterVideo Inc.) -- C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
PRC - [2003.10.16 04:10:06 | 000,167,936 | ---- | M] () -- C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.04.04 07:53:56 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2011.08.22 01:18:06 | 000,925,696 | ---- | M] () -- C:\Programme\Yahoo!\Messenger\yui.dll
MOD - [2011.03.01 23:15:28 | 000,126,808 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\ImageFormats\QJpeg4.dll
MOD - [2011.03.01 23:15:28 | 000,027,480 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\ImageFormats\QGif4.dll
MOD - [2011.03.01 23:15:04 | 000,340,824 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\QTXml4.dll
MOD - [2011.03.01 23:14:42 | 007,954,776 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\QTGui4.dll
MOD - [2011.03.01 23:14:30 | 002,143,576 | ---- | M] () -- C:\Programme\Logitech\LWS\Webcam Software\QTCore4.dll
MOD - [2003.10.16 04:10:06 | 000,167,936 | ---- | M] () -- C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012.03.26 17:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2012.01.18 08:44:52 | 000,450,848 | ---- | M] (Logitech Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe -- (UMVPFSrv)
SRV - [2008.11.09 22:48:14 | 000,602,392 | ---- | M] (Yahoo! Inc.) [Auto | Running] -- C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe -- (YahooAUService)
SRV - [2002.08.14 04:33:46 | 001,130,496 | ---- | M] () [Auto | Stopped] -- C:\mysql\bin\mysqld-nt.exe -- (MySql)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\SysUtil\PORTMSYS.SYS -- (PORTMON)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btpmw32.sys -- (BCMTPM)
DRV - [2012.01.18 08:44:52 | 004,332,960 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lvuvc.sys -- (LVUVC) Logitech HD Webcam C310(UVC)
DRV - [2012.01.18 08:44:28 | 000,312,096 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS)
DRV - [2011.03.18 13:46:26 | 000,061,704 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ftdibus.sys -- (FTDIBUS)
DRV - [2011.03.18 13:46:10 | 000,073,096 | ---- | M] (FTDI Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ftser2k.sys -- (FTSER2K)
DRV - [2011.02.08 14:13:44 | 000,058,496 | ---- | M] (Silicon Laboratories) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\silabser.sys -- (silabser)
DRV - [2011.02.08 14:13:44 | 000,047,176 | ---- | M] (Silicon Laboratories) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\silabenm.sys -- (silabenm)
DRV - [2010.08.31 12:43:36 | 000,195,968 | ---- | M] (Jungo) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\windrvr6.sys -- (WinDriver6)
DRV - [2008.03.17 12:03:46 | 000,101,376 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2007.01.24 01:00:00 | 000,070,784 | ---- | M] (OEM) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\oxser.sys -- (oxser)
DRV - [2007.01.24 01:00:00 | 000,021,888 | ---- | M] (OEM) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\oxmf.sys -- (oxmf)
DRV - [2007.01.24 01:00:00 | 000,005,888 | ---- | M] (OEM) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\oxmfuf.sys -- (Oxmfuf)
DRV - [2006.12.14 18:44:06 | 000,085,120 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
DRV - [2006.06.28 16:25:24 | 004,304,384 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.05.15 01:00:00 | 000,156,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2005.05.27 10:32:52 | 001,317,152 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lvcm.sys -- (QCMerced)
DRV - [2005.05.27 10:31:28 | 000,022,016 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LVUSBSta.sys -- (LVUSBSta)
DRV - [2003.08.20 07:26:48 | 000,307,328 | R--- | M] (Philips) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lvcap138.sys -- (LVCap138)
DRV - [2003.08.20 07:26:32 | 000,016,000 | R--- | M] (Philips) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\lvtuner.sys -- (lvtuner)
DRV - [2002.09.27 08:53:00 | 000,009,856 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = 
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT3209604
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = DA EF 60 C9 70 D6 CC 01  [binary data]
IE - HKCU\..\URLSearchHook: {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll (Yahoo! Inc.)
IE - HKCU\..\SearchScopes,DefaultScope = {0EFB0874-319D-4D75-917E-3CDC7D279212}
IE - HKCU\..\SearchScopes\{0EFB0874-319D-4D75-917E-3CDC7D279212}: "URL" = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3209604
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_32: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@messenger.yahoo.com/YahooMessengerStatePlugin;version=1.0.0.6: C:\Programme\Yahoo!\Shared\npYState.dll (Yahoo! Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@yahoo.com/BrowserPlus,version=2.9.8: C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Yahoo!\BrowserPlus\2.9.8\Plugins\npybrowserplus_2.9.8.dll ()
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.04.29 21:38:32 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2011.10.25 23:49:28 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Extensions
[2012.06.08 09:04:17 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\gx0b5g3y.default\extensions
[2011.07.04 15:53:35 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\gx0b5g3y.default\extensions\chrome
[2012.06.08 09:04:17 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\gx0b5g3y.default\extensions\components
[2012.05.19 19:34:16 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.05.19 19:34:16 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA}
[2012.01.19 08:09:05 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.04.17 00:52:21 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.04.17 00:52:21 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.04.17 00:52:21 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.06.29 03:13:24 | 000,002,051 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\fcmdSrchstonicde.xml
[2012.04.17 00:52:21 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.04.17 00:52:21 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.04.17 00:52:21 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll (Yahoo! Inc.)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Programme\facemoods.com\facemoods\1.4.17.8\bh\facemoods.dll (facemoods.com BHO)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Programme\facemoods.com\facemoods\1.4.17.8\facemoodsTlbr.dll (facemoods.com)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll (Yahoo! Inc.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll (Yahoo! Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [EEventManager] C:\Programme\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [facemoods] C:\Programme\facemoods.com\facemoods\1.4.17.8\facemoodssrv.exe (facemoods.com)
O4 - HKLM..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE (Logitech Inc.)
O4 - HKLM..\Run: [LWS] C:\Programme\Logitech\LWS\Webcam Software\LWS.exe (Logitech Inc.)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WinDVR SchSvr] C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe (InterVideo Inc.)
O4 - HKLM..\Run: [YSearchProtection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc)
O4 - HKCU..\Run: [EPSON SX218 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGDE.EXE (SEIKO EPSON CORPORATION)
O4 - HKCU..\Run: [Messenger (Yahoo!)] C:\Programme\Yahoo!\Messenger\YahooMessenger.exe (Yahoo! Inc.)
O4 - HKCU..\Run: [Search Protection] C:\Programme\Yahoo!\Search Protection\SearchProtection.exe (Yahoo! Inc)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} hxxp://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab (Geräteerkennung)
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} https://support.microsoft.com/Dcode/ActiveX/MSDcode.cab (Microsoft Data Collection Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8922E016-11E4-4690-87B2-B96EAFE44736}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B4CBC191-DFED-4D9A-AA25-58CC8541FFD0}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\WINDOWS\System32\userinit.exe (Microsoft Corporation)
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - No CLSID value found.
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.11.02 16:05:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell - "" = AutoRun
O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun
O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun
O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun
O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O35 - HKCU\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.06.29 21:45:56 | 000,596,992 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Matze\Desktop\OTL.exe
[2012.06.29 20:53:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Malwarebytes
[2012.06.29 20:53:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.06.29 20:53:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.06.29 20:53:09 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.06.29 20:53:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.06.29 20:51:38 | 010,063,000 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Matze\Desktop\mbam-setup-1.61.0.1400.exe
[2012.06.11 05:16:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Desktop\Hasenrezepte
[2012.06.08 06:51:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Eigene Dateien\Datenblätter_2
[2012.06.07 07:14:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf
[2012.06.07 07:09:30 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2012.06.05 09:15:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton
[2012.06.05 09:14:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller
[2012.06.05 05:59:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\eSupport.com
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.06.29 21:50:00 | 000,000,406 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{2696D319-1E85-4C99-B7A0-CC4B1A731C26}.job
[2012.06.29 21:45:58 | 000,596,992 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Matze\Desktop\OTL.exe
[2012.06.29 21:45:16 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\defogger_reenable
[2012.06.29 21:43:18 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Defogger.exe
[2012.06.29 21:36:00 | 000,000,572 | -H-- | M] () -- C:\WINDOWS\tasks\DataUpload.job
[2012.06.29 20:53:20 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.06.29 20:51:45 | 010,063,000 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Matze\Desktop\mbam-setup-1.61.0.1400.exe
[2012.06.29 20:25:24 | 000,012,692 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.06.29 19:05:24 | 000,007,500 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\eaglerc.usr
[2012.06.29 17:36:00 | 000,000,604 | -H-- | M] () -- C:\WINDOWS\tasks\ConfigExec.job
[2012.06.28 16:55:46 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2012.06.28 16:46:40 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2012.06.28 16:45:31 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.06.28 16:45:29 | 2136,977,408 | -HS- | M] () -- C:\hiberfil.sys
[2012.06.25 22:42:57 | 000,135,664 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.06.25 22:20:18 | 000,609,364 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.06.25 22:20:18 | 000,574,864 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.06.25 22:20:18 | 000,133,854 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.06.25 22:20:18 | 000,110,352 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.06.25 22:06:01 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.06.10 03:12:32 | 000,001,051 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Neu RTF-Dokument.rtf
[2012.06.10 00:24:13 | 000,000,668 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FlashPeak SlimBrowser.lnk
[2012.06.08 09:56:18 | 000,065,536 | -H-- | M] () -- C:\WINDOWS\System32\67B3506B78D616486A60.exe
[2012.06.08 09:17:45 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.06.06 15:52:00 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012.06.06 15:51:42 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012.06.06 15:51:18 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012.06.06 15:50:48 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012.06.05 09:16:05 | 000,001,409 | ---- | M] () -- C:\WINDOWS\QTFont.for
[2012.06.05 08:36:13 | 000,009,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\qlXeruOJEjLUxfOvrus
[2012.06.03 22:12:22 | 000,557,056 | ---- | M] () -- C:\LOuXDaesfGEyLlasX
[2012.06.01 06:49:55 | 000,007,784 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\XxftqojLealOvNoAnyV
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.06.29 21:45:16 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\defogger_reenable
[2012.06.29 21:43:18 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Defogger.exe
[2012.06.29 20:53:20 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.06.29 19:05:24 | 000,007,500 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\eaglerc.usr
[2012.06.10 02:59:12 | 000,001,051 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Neu RTF-Dokument.rtf
[2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012.06.07 07:11:22 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\System32\67B3506B78D616486A60.exe
[2012.05.21 00:50:03 | 000,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.02.15 19:26:54 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.08.12 12:20:14 | 000,015,896 | ---- | C] () -- C:\WINDOWS\System32\drivers\iKeyLFT2.dll
[2011.06.29 01:13:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\SPLASH.INI
[2011.06.29 01:05:49 | 000,004,036 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\WSMFC52AT.INI
[2011.06.29 00:50:20 | 000,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\WSCAD52.INI
[2011.06.29 00:50:20 | 000,000,133 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\WSCAD.INI
[2011.04.18 11:36:29 | 000,391,192 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1813158837-859729759-3536760713-1006-0.dat
[2011.04.18 11:36:27 | 000,122,230 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2011.04.10 20:16:49 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2011.04.01 07:07:02 | 010,920,984 | ---- | C] () -- C:\WINDOWS\System32\LogiDPP.dll
[2011.04.01 07:07:02 | 000,104,472 | ---- | C] () -- C:\WINDOWS\System32\LogiDPPApp.exe
[2011.04.01 07:06:56 | 000,336,408 | ---- | C] () -- C:\WINDOWS\System32\DevManagerCore.dll
[2010.12.22 08:55:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\EEventManager.INI
[2010.11.26 21:16:56 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.11.15 21:35:07 | 000,000,269 | ---- | C] () -- C:\WINDOWS\LEXSTAT.INI
[2010.11.13 21:33:36 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\InstMed.exe
[2010.11.13 21:33:32 | 001,317,152 | ---- | C] () -- C:\WINDOWS\System32\drivers\lvcm.sys
[2010.11.13 21:33:32 | 000,028,418 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2010.11.10 15:50:48 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2010.11.10 15:50:48 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2010.11.10 15:50:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2010.11.10 15:50:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2010.11.10 15:50:48 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2010.11.10 15:50:48 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[1601.02.13 10:28:18 | 000,363,722 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\ptdxjnyElpsNugalp
[1601.02.13 10:28:18 | 000,016,978 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oqLurvOXlTLjEdsVxsXlr
[1601.02.13 10:28:18 | 000,007,784 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\XxftqojLealOvNoAnyV
[1601.02.13 10:28:18 | 000,000,427 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\srugvyEAUxfugJNUx
[1601.02.13 10:28:18 | 000,000,327 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\oynDTeXpDasfxUtVGgQNr
[1601.02.13 10:28:18 | 000,000,172 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\LlasspDTtVxUsfJ
 
========== LOP Check ==========
 
[2011.03.02 16:23:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2012.04.29 21:35:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IMinent
[2010.11.11 00:13:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InterVideo
[2012.06.27 21:35:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lic
[2012.06.08 09:04:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2011.07.12 04:01:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2012.06.08 09:04:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
[2012.02.15 19:37:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VS
[2011.08.14 14:52:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Amazon
[2011.04.18 07:42:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Atmel
[2012.06.08 09:04:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Audacity
[2011.05.06 20:21:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar
[2012.05.11 05:49:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\CadSoft
[2011.07.20 01:45:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\com.adobe.downloadassistant.AdobeDownloadAssistant
[2012.04.29 13:28:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Easeware
[2011.10.18 01:58:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Epson
[2011.06.30 00:07:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\facemoods.com
[2011.05.10 01:51:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\ibf
[2011.08.13 12:59:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Leadertech
[2012.05.11 02:39:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\PriceGong
[2012.06.29 21:46:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\SlimBrowser
[2010.11.19 01:02:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Template
[2012.04.29 21:35:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Toolbar4
[2011.07.12 03:51:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Ulead Systems
[2012.06.09 17:30:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf
[2011.05.28 09:55:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\VisualAssist
[2010.11.13 20:38:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Vodafone
[2012.06.29 17:36:00 | 000,000,604 | -H-- | M] () -- C:\WINDOWS\Tasks\ConfigExec.job
[2012.06.29 21:36:00 | 000,000,572 | -H-- | M] () -- C:\WINDOWS\Tasks\DataUpload.job
[2012.06.29 21:50:00 | 000,000,406 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{2696D319-1E85-4C99-B7A0-CC4B1A731C26}.job
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> C:\fqnAasXDuNvplTVGd:SummaryInformation
@Alternate Data Stream - 88 bytes -> C:\factory.exe:SummaryInformation

< End of report >
--- --- ---


(2) Extras.txt - EditorOTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 29.06.2012 21:46:47 - Run 1
OTL by OldTimer - Version 3.2.53.0     Folder = C:\Dokumente und Einstellungen\Matze\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 1,41 Gb Available Physical Memory | 70,80% Memory free
3,33 Gb Paging File | 2,91 Gb Available in Paging File | 87,35% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 41,23 Gb Free Space | 55,32% Space Free | Partition Type: NTFS
 
Computer Name: SCHWEINCHEN | User Name: Matze | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = SlimBrowserHtml] -- C:\Programme\SlimBrowser\sbframe.exe (FlashPeak Inc.)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = SlimBrowserHtml] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- "C:\Programme\SlimBrowser\sbframe.exe" -nosp -ni (FlashPeak Inc.)
https [open] -- "C:\Programme\SlimBrowser\sbframe.exe" -nosp -ni (FlashPeak Inc.)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 4
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 1
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" = C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger -- (Yahoo! Inc.)
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\Epson Software\Event Manager\EEventManager.exe" = C:\Programme\Epson Software\Event Manager\EEventManager.exe:*:Enabled:EEventManager Application -- (SEIKO EPSON CORPORATION)
"C:\Programme\SpacialAudio\SAM2\SAM2.exe" = C:\Programme\SpacialAudio\SAM2\SAM2.exe:*:Enabled:SAM2 -- ()
"C:\Programme\Atmel\AVR Studio 5.0\AvrStudio.exe" = C:\Programme\Atmel\AVR Studio 5.0\AvrStudio.exe:*:Enabled:AvrStudio Application -- (Atmel)
"C:\Programme\KiCad\winexe\pcbnew.exe" = C:\Programme\KiCad\winexe\pcbnew.exe:*:Enabled:pcbnew
"C:\Programme\Logitech\Vid HD\Vid.exe" = C:\Programme\Logitech\Vid HD\Vid.exe:*:Enabled:Logitech Vid HD -- (Logitech Inc.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{03B8AA32-F23C-4178-B8E6-09ECD07EAA47}" = Epson Event Manager
"{08610298-29AE-445B-B37D-EFBE05802967}" = LWS Pictures And Video
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{0F842B77-56EA-4AAF-8295-81A022350B5E}" = Microsoft Security Client
"{1280E900-35DA-4E08-A700-B79A5B2B8532}" = Microsoft Antimalware Service DE-DE Language Pack
"{138A4072-9E64-46BD-B5F9-DB2BB395391F}" = LWS VideoEffects
"{15634701-BACE-4449-8B25-1567DA8C9FD3}" = CameraHelperMsi
"{1651216E-E7AD-4250-92A1-FB8ED61391C9}" = LWS Help_main
"{174A3B31-4C43-43DD-866F-73C9DB887B48}" = LWS Twitter
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{21DF0294-6B9D-4741-AB6F-B2ABFBD2387E}" = LWS YouTube Plugin
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java(TM) 6 Update 32
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{39F58DDB-B2B8-4B86-AF20-4706A80EB30D}" = Epson Easy Photo Print 2
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = erLT
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{50779A29-834E-4E36-BBEB-B7CABC67A825}" = Microsoft Security Client DE-DE Language Pack
"{55ACE462-F309-4650-BE4E-F1008D6D8726}" = Microsoft Visual Studio ProjectAggregator2
"{57BB52B7-6B7B-31F3-89F4-4EE8FE5CEF6D}" = Microsoft Help Viewer 1.1
"{5AB7D739-1735-3A9E-BE73-C43507CB4E6F}" = Microsoft Visual Studio 2010 Service Pack 1
"{5D90E53A-BD7C-8F32-9B82-7733D0F0BC8E}" = Adobe Download Assistant
"{5D9ED403-94DE-3BA0-B1D6-71F4BDA412E6}" = Microsoft Visual C++ 2010  x86 Runtime - 10.0.40219
"{60315A8A-5FCA-47CE-A856-681F3A9CDB5B}" = AVR Studio 5.0
"{6BF4613C-0A46-43AA-8FA8-0CB9F2C1A548}" = InterVideo WinDVR 3
"{6F76EC3C-34B1-436E-97FB-48C58D7BEDCD}" = LWS Gallery
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{71E66D3F-A009-44AB-8784-75E2819BA4BA}" = LWS Motion Detection
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{77F1F8AD-51B8-4490-AEEC-BF480073E0FC}" = Microsoft SQL Server 2008 R2 Management Objects
"{83C8FA3C-F4EA-46C4-8392-D3CE353738D6}" = LWS Launcher
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{877B76B2-F83F-4F5A-B28D-3F398641ADB6}" = Microsoft SQL Server System CLR Types
"{8937D274-C281-42E4-8CDB-A0B2DF979189}" = LWS Webcam Software
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9DAEA76B-E50F-4272-A595-0124E826553D}" = LWS WLM Plugin
"{a0fe116e-9a8a-466f-aee0-625cb7c207e3}" = Microsoft Visual C++ 2005 Redistributable - KB2467175
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A4F22AF1-AF51-4E09-8EE1-F00B1652ED34}" = Silicon Laboratories CP210x VCP Drivers for Windows XP/2003 Server/Vista/7
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Deutsch
"{AC76BA86-7AD7-2447-0000-A00000000003}" = Chinese Simplified Fonts Support For Adobe Reader X
"{ACCA20B0-C4D1-4BF5-BF21-0A0EB5EF9730}" = REALTEK GbE & FE Ethernet PCI NIC Driver
"{B2D55EB8-32C5-4B43-9006-9E97DECBA178}" = Epson Easy Photo Print Plug-in for PMB(Picture Motion Browser)
"{B3D1CFF9-C5DA-3590-894B-40821DDB67C5}" = Microsoft Visual Studio 2010 Tools for Office Runtime (x86)
"{B7E38540-E355-3503-AFD7-635B2F2F76E1}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4974
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CFEF48A8-BFB8-3EAC-8BA5-DE4F8AA267CE}" = Microsoft .NET Framework 4 Multi-Targeting Pack
"{D40EB009-0499-459c-A8AF-C9C110766215}" = Logitech Webcam Software
"{D64B6984-242F-32BC-B008-752806E5FC44}" = Microsoft Visual Studio 2010 Shell (Isolated) - ENU
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9-Reihe
"{E8F8861D-98E0-43FF-9E48-AC236CC3BE4E}" = AVR Jungo USB
"{EDDDC607-91D9-4758-9F57-265FDCD8A772}" = Microsoft Works 7.0 
"{EED027B7-0DB6-404B-8F45-6DFEE34A0441}" = LWS Video Mask Maker
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FDB3B167-F4FA-461D-976F-286304A57B2A}" = Adobe AIR
"{FF167195-9EE4-46C0-8CD7-FBA3457E88AB}" = LWS Facebook
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"AF Signal Function Generator" = AF Signal Function Generator
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.12 (Unicode)
"com.adobe.downloadassistant.AdobeDownloadAssistant" = Adobe Download Assistant
"DMM" = DMM
"EAGLE 6.0.0" = EAGLE 6.0.0
"EAGLE 6.2.0" = EAGLE 6.2.0
"ELECTRA_is1" = ELECTRA v1.5.3
"EPSON Scanner" = EPSON Scan
"EPSON SX218 Series" = EPSON SX218 Series Printer Uninstall
"EPSON SX218 Series Manual" = EPSON SX218 Series Handbuch
"EVEREST Home Edition_is1" = EVEREST Home Edition v2.20
"facemoods" = Facemoods Toolbar
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"IrfanView" = IrfanView (remove only)
"Logitech Vid" = Logitech Vid HD
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft Help Viewer 1.1" = Microsoft Help Viewer 1.1
"Microsoft Security Client" = Microsoft Security Essentials
"Microsoft Visual Studio 2010 Service Pack 1" = Microsoft Visual Studio 2010 Service Pack 1
"Microsoft Visual Studio 2010 Tools for Office Runtime (x86)" = Microsoft Visual Studio 2010 Tools for Office Runtime (x86)
"Mixxx (1.8.2)" = Mixxx 1.8.2
"Mozilla Firefox 9.0.1 (x86 de)" = Mozilla Firefox 9.0.1 (x86 de)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MySQL Servers and Clients 3.23.52" = MySQL Servers and Clients 3.23.52
"QcDrv" = Logitech® Camera-Treiber
"Qucs_is1" = Quite Universal Circuit Simulator 0.0.10 binary package for Win
"QuickTime" = QuickTime
"RealPlayer 6.0" = RealPlayer Basic
"SAM2" = SAM2 (remove only)
"SLABCOMM&10C4&EA60" = Silicon Laboratories CP210x USB to UART Bridge (Driver Removal)
"SlimBrowser" = FlashPeak SlimBrowser
"sPlan_60_Demo_is1" = sPlan 6.0 (Demo)
"ST6UNST #1" = elo-formel-6_dev
"TARGET 3001! V13 special" = TARGET 3001! V13 special
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Windows Media Encoder 9" = Windows Media Encoder 9-Reihe
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"Yahoo! Companion" = Yahoo! Toolbar
"Yahoo! Messenger" = Yahoo! Messenger
"Yahoo! Search Defender" = Yahoo! Suche Schutzvorkehrung
"Yahoo! Software Update" = Yahoo! Software Update
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Yahoo! BrowserPlus" = Yahoo! BrowserPlus 2.9.8
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 17.05.2012 09:45:06 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1
Description = 
 
Error - 17.05.2012 16:07:21 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1
Description = 
 
Error - 18.05.2012 11:06:54 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1
Description = 
 
Error - 18.05.2012 12:22:00 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1
Description = 
 
Error - 19.05.2012 11:15:14 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1
Description = 
 
Error - 07.06.2012 11:11:32 | Computer Name = SCHWEINCHEN | Source = MPSampleSubmission | ID = 5000
Description = EventType mptelemetry, P1 0x80070002, P2 mpupdateengine, P3 am bases
 and delta, P4 11.1.3927.0, P5 mpsigstub.exe, P6 4.0.1526.0, P7 microsoft security
 essentials, P8 NIL, P9 NIL, P10 NIL.
 
Error - 08.06.2012 04:15:04 | Computer Name = SCHWEINCHEN | Source = MPSampleSubmission | ID = 5000
Description = EventType mptelemetry, P1 0x80070002, P2 moac, P3 cachereset, P4 4.0.1526.0,
 P5 unspecified, P6 unspecified, P7 unspecified, P8 NIL, P9 NIL, P10 NIL.
 
Error - 09.06.2012 18:17:38 | Computer Name = SCHWEINCHEN | Source = Microsoft Works | ID = 1000
Description = 
 
Error - 09.06.2012 18:17:47 | Computer Name = SCHWEINCHEN | Source = Microsoft Works | ID = 1001
Description = 
 
Error - 25.06.2012 16:43:17 | Computer Name = SCHWEINCHEN | Source = .NET Runtime Optimization Service | ID = 1103
Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)
 - Tried to start a service that wasn't the latest version of CLR Optimization service.
 Will shutdown 
 
[ Application Events ]
Error - 17.05.2012 09:45:06 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1
Description = 
 
Error - 17.05.2012 16:07:21 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1
Description = 
 
Error - 18.05.2012 11:06:54 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1
Description = 
 
Error - 18.05.2012 12:22:00 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1
Description = 
 
Error - 19.05.2012 11:15:14 | Computer Name = SCHWEINCHEN | Source = JavaQuickStarterService | ID = 1
Description = 
 
Error - 07.06.2012 11:11:32 | Computer Name = SCHWEINCHEN | Source = MPSampleSubmission | ID = 5000
Description = EventType mptelemetry, P1 0x80070002, P2 mpupdateengine, P3 am bases
 and delta, P4 11.1.3927.0, P5 mpsigstub.exe, P6 4.0.1526.0, P7 microsoft security
 essentials, P8 NIL, P9 NIL, P10 NIL.
 
Error - 08.06.2012 04:15:04 | Computer Name = SCHWEINCHEN | Source = MPSampleSubmission | ID = 5000
Description = EventType mptelemetry, P1 0x80070002, P2 moac, P3 cachereset, P4 4.0.1526.0,
 P5 unspecified, P6 unspecified, P7 unspecified, P8 NIL, P9 NIL, P10 NIL.
 
Error - 09.06.2012 18:17:38 | Computer Name = SCHWEINCHEN | Source = Microsoft Works | ID = 1000
Description = 
 
Error - 09.06.2012 18:17:47 | Computer Name = SCHWEINCHEN | Source = Microsoft Works | ID = 1001
Description = 
 
Error - 25.06.2012 16:43:17 | Computer Name = SCHWEINCHEN | Source = .NET Runtime Optimization Service | ID = 1103
Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)
 - Tried to start a service that wasn't the latest version of CLR Optimization service.
 Will shutdown 
 
[ System Events ]
Error - 09.06.2012 11:26:42 | Computer Name = SCHWEINCHEN | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
 Sie chkdsk auf Volume "C:" aus.
 
Error - 09.06.2012 11:27:56 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7034
Description = Dienst "MySql" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 
Error - 10.06.2012 14:22:04 | Computer Name = SCHWEINCHEN | Source = PlugPlayManager | ID = 11
Description = Das Gerät "Root\LEGACY_MPKSL42458849\0000" wurde ohne vorbereitende
 Maßnahmen vom System entfernt.
 
Error - 11.06.2012 07:08:16 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7034
Description = Dienst "MySql" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 
Error - 25.06.2012 13:39:27 | Computer Name = SCHWEINCHEN | Source = Application Popup | ID = 877
Description = Fehler [DATABASE OPEN FAILED] beim Verarbeiten der Treiberdatenbank.
 
Error - 25.06.2012 13:40:22 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7034
Description = Dienst "MySql" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 
Error - 25.06.2012 16:43:18 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7034
Description = Dienst "MySql" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 
Error - 27.06.2012 09:12:10 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7034
Description = Dienst "MySql" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 
Error - 28.06.2012 10:45:54 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7034
Description = Dienst "MySql" wurde unerwartet beendet. Dies ist bereits 1 Mal passiert.
 
Error - 28.06.2012 13:29:30 | Computer Name = SCHWEINCHEN | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
 von Dienst Netman.
 
 
< End of report >
--- --- ---


Hey hey,

nun habe ich unter schritt 2 diesen scan durchgeführt, mit GMer, da kam es aber zu keinem Ergebnis, sodass ich kein neues Thema mit den files dds.txt, attach.txt und Gmer.txt eröffnen kann, so wie es in der Anleitung angegeben ist.

Vielleicht kann mir jemand helfen, wäre sehr nett.

Matthes
__________________
Geändert von Matthias_R. (29.06.2012 um 20:55 Uhr)

Alt 01.07.2012, 14:32   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Verschlüsselungs Trojaner - Standard

Windows Verschlüsselungs Trojaner


Bitte erstmal routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.07.2012, 20:08   #5
Matthias_R.
 
Windows Verschlüsselungs Trojaner - Standard

Windows Verschlüsselungs Trojaner


hallo cosinus, danke für Deine Mühe. Habe jetzt zum zweiten Mal Malwarebytes gemacht, jetzt stehe ich auf dem Schlauch mit ESET, weil da steht, ich soll u.a. Scriptblocking und ähnliches deaktivieren. Was ist scriptblocking? Jaca - script kenne ich, aber nur vom Namen her. Und wie oder wo man das deaktiviert, weiß ich nicht. Und was ich ähnliches noch deaktivieren muss, keine Ahnung.

Hallo Arne, ich hoffe ich mache alles richtig hier (bzgl. d. Code - Tags und so);

Jetzt hier nochmal die log files von malwarebyte (habe insgesamt 6 davon, weil ich malwarebyte 6 mal habe laufen lassen, natürlich vorher immer aktualisiert), jetzt hier das aktuellste):

Malwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.07.01.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Matze :: SCHWEINCHEN [Administrator]

01.07.2012 20:59:23
mbam-log-2012-07-01 (20-59-23).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 380286
Laufzeit: 1 Stunde(n), 9 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Jetzt das ESET - log - file:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# SBRender.exe=6.00.041
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=bf0f8466e3f6f146a116b7b79879647f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-02 10:54:45
# local_time=2012-07-03 12:54:45 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=5891 16776869 42 93 0 8998390 0 0
# compatibility_mode=8192 67108863 100 0 8394 8394 0 0
# scanned=120670
# found=2
# cleaned=0
# scan_time=5843
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\e404df1-3a8929ba Java/Exploit.Agent.NBB trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\Matze\Eigene Dateien\Atmel\temp\SoftonicDownloader_fuer_splan.exe a variant of Win32/SoftonicDownloader.A application (unable to clean) 00000000000000000000000000000000 I

Vielen Dank schon mal für die Mühe, die Ihr euch / Du Dir machst! Ich bin da völlig Ahnungslos in Sachen Computer.

Matthes

ach so, da fällt mir noch ein, ich hatte ziemlich sicher auch mein externes Festplattenlaufwerk angeschlossen am PC, und jetzt weiß ich nicht, ob sich dort der Trojaner schon eingenistet hat... Habe aber dieses Laufwerk auch in die Suche von malwarebytes- und Eset - scan mit einbezogen.


Alt 03.07.2012, 12:38   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Verschlüsselungs Trojaner - Standard

Windows Verschlüsselungs Trojaner


Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________
--> Windows Verschlüsselungs Trojaner

Alt 03.07.2012, 14:34   #7
Matthias_R.
 
Windows Verschlüsselungs Trojaner - Standard

Windows Verschlüsselungs Trojaner


Ja hallo, hier tue ich jetzt chronologisch die logfiles von Malwarebytes rein:

[U]Log(1)[U]

Malwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.29.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Matze :: SCHWEINCHEN [Administrator]

29.06.2012 21:00:35
mbam-log-2012-06-29 (21-00-35).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 269826
Laufzeit: 8 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 7
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\67B3506B78D616486A60.exe,) Gut: (userinit.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


log(2)

Malwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.06.29.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Matze :: SCHWEINCHEN [Administrator]

30.06.2012 21:35:17
mbam-log-2012-06-30 (21-35-17).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 532
Laufzeit: 1 Minute(n), 36 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


log(3)

Malwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.07.01.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Matze :: SCHWEINCHEN [Administrator]

01.07.2012 19:10:56
mbam-log-2012-07-01 (19-10-56).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 63028
Laufzeit: 15 Minute(n), 9 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


log(4)

Malwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.07.01.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Matze :: SCHWEINCHEN [Administrator]

01.07.2012 19:38:46
mbam-log-2012-07-01 (19-38-46).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 380222
Laufzeit: 1 Stunde(n), 6 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\Matze\Eigene Dateien\Atmel\temp\SoftonicDownloader_fuer_kicad.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Matze\Eigene Dateien\Atmel\temp\SoftonicDownloader_fuer_proficad.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)


log(5)

Malwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.07.01.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Matze :: SCHWEINCHEN [Administrator]

01.07.2012 20:57:53
mbam-log-2012-07-01 (20-57-53).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 35
Laufzeit: 14 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


log(6) nochmal

Malwarebytes Anti-Malware 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.07.01.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Matze :: SCHWEINCHEN [Administrator]

01.07.2012 20:59:23
mbam-log-2012-07-01 (20-59-23).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 380286
Laufzeit: 1 Stunde(n), 9 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)


Greets from Aachen,

Matthes.

Alt 03.07.2012, 15:23   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Verschlüsselungs Trojaner - Standard

Windows Verschlüsselungs Trojaner


Code:
ATTFilter
C:\Dokumente und Einstellungen\Matze\Eigene Dateien\Atmel\temp\SoftonicDownloader_fuer_splan.exe
Vermüllte Software von Softonic scheint gerade stark in Mode zu sein!

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen


Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 03.07.2012, 17:19   #9
Matthias_R.
 
Windows Verschlüsselungs Trojaner - Standard

Windows Verschlüsselungs Trojaner


Der normale Modus geht wieder, in wie weit die Funktion noch eingeschränkt ist, weiß ich nicht. Der task - Manager war weg bzw. es war nicht mehr möglich, ihn zu starten. Dann ist mir noch aufgefallen, dass der CPU - Lüfter so in sporadischen Abständen sehr stark beschleunigt hat für ein paar Minuten.

Unter dem Startmenü ist alles noch da, unter "Programme" scheint auch alles noch da zu sein; nur in "Start / Programme / Autostart" sowie in "Start / Programme / Start" ist nix mehr drin.

Also funktionieren tut der Rechner, aber wie lange noch? Wenn der Trojaner sich gerade nur ruhig verhält und dann irgendwann zuschlägt, keine Ahnung.

Soll ich softtonic deinstallieren oder wie geht das mit dem löschen von Softtonic? unter "Software" steht es nicht drin. Aber da ist noch "facemoods toolbar drin", soll ich das deinstallieren?
Geändert von Matthias_R. (03.07.2012 um 17:54 Uhr)

Alt 04.07.2012, 14:57   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Verschlüsselungs Trojaner - Standard

Windows Verschlüsselungs Trojaner


Ja, alle Toolbars deinstallieren! Und Dateien mit Softonic im Dateinamen löschen und in Zukunft sich von diese shice Softonicseite fernhalten!

Mach danach ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 04.07.2012, 21:43   #11
Matthias_R.
 
Windows Verschlüsselungs Trojaner - Icon32

Windows Verschlüsselungs Trojaner


Hallo Arne,

hier nun der neue OTL - log:

Code:
ATTFilter
OTL logfile created on: 04.07.2012 22:22:44 - Run 2
OTL by OldTimer - Version 3.2.53.1     Folder = C:\Dokumente und Einstellungen\Matze\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 1,40 Gb Available Physical Memory | 70,40% Memory free
3,33 Gb Paging File | 2,94 Gb Available in Paging File | 88,34% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 42,42 Gb Free Space | 56,91% Space Free | Partition Type: NTFS
Drive G: | 465,65 Gb Total Space | 363,28 Gb Free Space | 78,02% Space Free | Partition Type: FAT32
 
Computer Name: SCHWEINCHEN | User Name: Matze | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Matze\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
PRC - c:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
PRC - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe (Logitech Inc.)
PRC - C:\Programme\Logitech\LWS\Webcam Software\LWS.exe (Logitech Inc.)
PRC - C:\Programme\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION)
PRC - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_FATIGDE.EXE (SEIKO EPSON CORPORATION)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\WINDOWS\system32\LVCOMSX.EXE (Logitech Inc.)
PRC - C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe (InterVideo Inc.)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ()
MOD - C:\Programme\Logitech\LWS\Webcam Software\ImageFormats\QJpeg4.dll ()
MOD - C:\Programme\Logitech\LWS\Webcam Software\ImageFormats\QGif4.dll ()
MOD - C:\Programme\Logitech\LWS\Webcam Software\QTXml4.dll ()
MOD - C:\Programme\Logitech\LWS\Webcam Software\QTGui4.dll ()
MOD - C:\Programme\Logitech\LWS\Webcam Software\QTCore4.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (MsMpSvc) -- c:\Programme\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SRV - (UMVPFSrv) -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\UMVPFSrv.exe (Logitech Inc.)
SRV - (MySql) -- C:\mysql\bin\mysqld-nt.exe ()
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PORTMON) -- C:\SysUtil\PORTMSYS.SYS File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (MpKsld84d6be6) -- c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{6CB23822-F947-45A4-AE9F-46F32650F946}\MpKsld84d6be6.sys File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (BCMTPM) -- system32\DRIVERS\btpmw32.sys File not found
DRV - (LVUVC) Logitech HD Webcam C310(UVC) -- C:\WINDOWS\system32\drivers\lvuvc.sys (Logitech Inc.)
DRV - (LVRS) -- C:\WINDOWS\system32\drivers\lvrs.sys (Logitech Inc.)
DRV - (FTDIBUS) -- C:\WINDOWS\system32\drivers\ftdibus.sys (FTDI Ltd.)
DRV - (FTSER2K) -- C:\WINDOWS\system32\drivers\ftser2k.sys (FTDI Ltd.)
DRV - (silabser) -- C:\WINDOWS\system32\drivers\silabser.sys (Silicon Laboratories)
DRV - (silabenm) -- C:\WINDOWS\system32\drivers\silabenm.sys (Silicon Laboratories)
DRV - (WinDriver6) -- C:\WINDOWS\system32\drivers\windrvr6.sys (Jungo)
DRV - (hwdatacard) -- C:\WINDOWS\system32\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.)
DRV - (oxser) -- C:\WINDOWS\system32\drivers\oxser.sys (OEM)
DRV - (oxmf) -- C:\WINDOWS\system32\drivers\oxmf.sys (OEM)
DRV - (Oxmfuf) -- C:\WINDOWS\system32\drivers\oxmfuf.sys (OEM)
DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation                           )
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)
DRV - (QCMerced) -- C:\WINDOWS\system32\drivers\lvcm.sys ()
DRV - (LVUSBSta) -- C:\WINDOWS\system32\drivers\LVUSBSta.sys (Logitech Inc.)
DRV - (LVCap138) -- C:\WINDOWS\system32\drivers\lvcap138.sys (Philips)
DRV - (lvtuner) -- C:\WINDOWS\system32\drivers\lvtuner.sys (Philips)
DRV - (pfc) -- C:\WINDOWS\system32\drivers\pfc.sys (Padus, Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = 
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = 
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT3209604
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\URLSearchHook: {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - No CLSID value found
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\SearchScopes,DefaultScope = {0EFB0874-319D-4D75-917E-3CDC7D279212}
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\SearchScopes\{0EFB0874-319D-4D75-917E-3CDC7D279212}: "URL" = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3209604
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_32: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@yahoo.com/BrowserPlus,version=2.9.8: C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\Yahoo!\BrowserPlus\2.9.8\Plugins\npybrowserplus_2.9.8.dll ()
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.04.29 21:38:32 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2011.10.25 23:49:28 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Extensions
[2012.06.08 09:04:17 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\gx0b5g3y.default\extensions
[2011.07.04 15:53:35 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\gx0b5g3y.default\extensions\chrome
[2012.06.08 09:04:17 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla\Firefox\Profiles\gx0b5g3y.default\extensions\components
[2012.05.19 19:34:16 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.05.19 19:34:16 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA}
[2012.01.19 08:09:05 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.04.17 00:52:21 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.04.17 00:52:21 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.04.17 00:52:21 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.06.29 03:13:24 | 000,002,051 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\fcmdSrchstonicde.xml
[2012.04.17 00:52:21 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.04.17 00:52:21 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.04.17 00:52:21 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll File not found
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [EEventManager] C:\Programme\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE (Logitech Inc.)
O4 - HKLM..\Run: [LWS] C:\Programme\Logitech\LWS\Webcam Software\LWS.exe (Logitech Inc.)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [WinDVR SchSvr] C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe (InterVideo Inc.)
O4 - HKU\.DEFAULT..\Run: [DWQueuedReporting] c:\Programme\Gemeinsame Dateien\Microsoft Shared\DW\DWTRIG20.EXE (Microsoft Corporation)
O4 - HKU\S-1-5-18..\Run: [DWQueuedReporting] c:\Programme\Gemeinsame Dateien\Microsoft Shared\DW\DWTRIG20.EXE (Microsoft Corporation)
O4 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006..\Run: [EPSON SX218 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGDE.EXE (SEIKO EPSON CORPORATION)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutorunsDisabled [2012.07.02 22:39:26 | 000,000,000 | -H-D | M]
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {0067DBFC-A752-458C-AE6E-B9C7E63D4824} hxxp://www.logitech.com/devicedetector/plugins/LogitechDeviceDetection32.cab (Geräteerkennung)
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} https://support.microsoft.com/Dcode/ActiveX/MSDcode.cab (Microsoft Data Collection Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8922E016-11E4-4690-87B2-B96EAFE44736}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\WINDOWS\System32\userinit.exe (Microsoft Corporation)
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - No CLSID value found.
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.11.02 16:05:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell - "" = AutoRun
O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun
O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun
O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun
O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O35 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.07.02 22:39:26 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AutorunsDisabled
[2012.07.02 20:57:28 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.06.29 21:45:56 | 000,595,968 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Matze\Desktop\OTL.exe
[2012.06.29 20:53:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Malwarebytes
[2012.06.29 20:53:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.06.29 20:53:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.06.29 20:53:09 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.06.29 20:53:09 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.06.29 20:51:38 | 010,063,000 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Matze\Desktop\mbam-setup-1.61.0.1400.exe
[2012.06.11 05:16:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Desktop\Hasenrezepte
[2012.06.08 06:51:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Eigene Dateien\Datenblätter_2
[2012.06.07 07:14:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf
[2012.06.07 07:09:30 | 000,000,000 | -H-D | C] -- C:\WINDOWS\PIF
[2012.06.05 09:15:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton
[2012.06.05 09:14:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NortonInstaller
[2012.06.05 05:59:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\eSupport.com
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.07.04 22:22:00 | 000,000,406 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{2696D319-1E85-4C99-B7A0-CC4B1A731C26}.job
[2012.07.04 21:03:56 | 000,595,968 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Matze\Desktop\OTL.exe
[2012.07.04 20:16:39 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2012.07.04 20:08:11 | 000,012,692 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.07.04 20:06:21 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.07.04 20:06:20 | 2136,977,408 | -HS- | M] () -- C:\hiberfil.sys
[2012.07.04 19:06:57 | 000,008,410 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\eaglerc.usr
[2012.07.02 22:43:16 | 000,000,572 | -H-- | M] () -- C:\WINDOWS\tasks\DataUpload.job
[2012.07.02 22:43:15 | 000,000,604 | -H-- | M] () -- C:\WINDOWS\tasks\ConfigExec.job
[2012.07.02 22:38:07 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[2012.07.02 22:38:07 | 000,001,409 | ---- | M] () -- C:\WINDOWS\QTFont.for
[2012.06.29 22:15:02 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\noiez3lf.exe
[2012.06.29 21:45:16 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\defogger_reenable
[2012.06.29 21:43:18 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Defogger.exe
[2012.06.29 20:53:20 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.06.29 20:51:45 | 010,063,000 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Matze\Desktop\mbam-setup-1.61.0.1400.exe
[2012.06.25 22:42:57 | 000,135,664 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.06.25 22:20:18 | 000,609,364 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.06.25 22:20:18 | 000,574,864 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.06.25 22:20:18 | 000,133,854 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.06.25 22:20:18 | 000,110,352 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.06.25 22:06:01 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.06.10 03:12:32 | 000,001,051 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Neu RTF-Dokument.rtf
[2012.06.10 00:24:13 | 000,000,668 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\FlashPeak SlimBrowser.lnk
[2012.06.08 09:56:18 | 000,065,536 | -H-- | M] () -- C:\WINDOWS\System32\67B3506B78D616486A60.exe
[2012.06.08 09:17:45 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.06.06 15:52:00 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012.06.06 15:51:42 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012.06.06 15:51:18 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012.06.06 15:50:48 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012.06.05 08:36:13 | 000,009,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Matze\Desktop\qlXeruOJEjLUxfOvrus
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.07.04 19:06:57 | 000,008,410 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\eaglerc.usr
[2012.06.29 22:15:01 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Desktop\noiez3lf.exe
[2012.06.29 21:45:16 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\defogger_reenable
[2012.06.29 21:43:18 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Defogger.exe
[2012.06.29 20:53:20 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.06.10 02:59:12 | 000,001,051 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Desktop\Neu RTF-Dokument.rtf
[2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012.06.07 07:14:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012.06.07 07:11:22 | 000,065,536 | -H-- | C] () -- C:\WINDOWS\System32\67B3506B78D616486A60.exe
[2012.05.21 00:50:03 | 000,004,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.02.15 19:26:54 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.08.12 12:20:14 | 000,015,896 | ---- | C] () -- C:\WINDOWS\System32\drivers\iKeyLFT2.dll
[2011.06.29 01:13:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\SPLASH.INI
[2011.06.29 01:05:49 | 000,004,036 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\WSMFC52AT.INI
[2011.06.29 00:50:20 | 000,000,135 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\WSCAD52.INI
[2011.06.29 00:50:20 | 000,000,133 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\WSCAD.INI
[2011.04.18 11:36:29 | 000,391,192 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1813158837-859729759-3536760713-1006-0.dat
[2011.04.18 11:36:27 | 000,122,230 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2011.04.10 20:16:49 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2011.04.01 07:07:02 | 010,920,984 | ---- | C] () -- C:\WINDOWS\System32\LogiDPP.dll
[2011.04.01 07:07:02 | 000,104,472 | ---- | C] () -- C:\WINDOWS\System32\LogiDPPApp.exe
[2011.04.01 07:06:56 | 000,336,408 | ---- | C] () -- C:\WINDOWS\System32\DevManagerCore.dll
[2010.12.22 08:55:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\EEventManager.INI
[2010.11.26 21:16:56 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2010.11.15 21:35:07 | 000,000,269 | ---- | C] () -- C:\WINDOWS\LEXSTAT.INI
[2010.11.13 21:33:36 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\InstMed.exe
[2010.11.13 21:33:32 | 001,317,152 | ---- | C] () -- C:\WINDOWS\System32\drivers\lvcm.sys
[2010.11.13 21:33:32 | 000,028,418 | ---- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2010.11.10 15:50:48 | 000,204,800 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeW7.dll
[2010.11.10 15:50:48 | 000,200,704 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeA6.dll
[2010.11.10 15:50:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeP6.dll
[2010.11.10 15:50:48 | 000,192,512 | ---- | C] () -- C:\WINDOWS\System32\IVIresizeM6.dll
[2010.11.10 15:50:48 | 000,188,416 | ---- | C] () -- C:\WINDOWS\System32\IVIresizePX.dll
[2010.11.10 15:50:48 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\IVIresize.dll
[1601.02.13 10:28:18 | 000,363,722 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\ptdxjnyElpsNugalp
[1601.02.13 10:28:18 | 000,016,978 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oqLurvOXlTLjEdsVxsXlr
[1601.02.13 10:28:18 | 000,007,784 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\XxftqojLealOvNoAnyV
[1601.02.13 10:28:18 | 000,000,427 | ---- | C] () -- C:\Dokumente und Einstellungen\Matze\srugvyEAUxfugJNUx
[1601.02.13 10:28:18 | 000,000,327 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\oynDTeXpDasfxUtVGgQNr
[1601.02.13 10:28:18 | 000,000,172 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\LlasspDTtVxUsfJ
 
========== LOP Check ==========
 
[2012.06.08 09:04:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.SCHWEINCHEN\Anwendungsdaten\SlimBrowser
[2011.03.02 16:23:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2012.04.29 21:35:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IMinent
[2010.11.11 00:13:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InterVideo
[2012.06.27 21:35:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\lic
[2012.06.08 09:04:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2011.07.12 04:01:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2012.06.08 09:04:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
[2012.02.15 19:37:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VS
[2011.02.10 17:31:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Epson
[2012.07.04 19:09:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\SlimBrowser
[2010.11.13 20:38:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Vodafone
[2011.08.14 14:52:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Amazon
[2011.04.18 07:42:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Atmel
[2012.06.08 09:04:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Audacity
[2011.05.06 20:21:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar
[2012.05.11 05:49:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\CadSoft
[2011.07.20 01:45:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\com.adobe.downloadassistant.AdobeDownloadAssistant
[2012.04.29 13:28:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Easeware
[2011.10.18 01:58:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Epson
[2011.06.30 00:07:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\facemoods.com
[2011.05.10 01:51:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\ibf
[2011.08.13 12:59:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Leadertech
[2012.05.11 02:39:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\PriceGong
[2012.07.04 22:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\SlimBrowser
[2010.11.19 01:02:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Template
[2012.04.29 21:35:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Toolbar4
[2011.07.12 03:51:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Ulead Systems
[2012.06.09 17:30:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf
[2011.05.28 09:55:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\VisualAssist
[2010.11.13 20:38:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Vodafone
[2011.01.18 23:00:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Epson
[2011.08.02 10:20:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\facemoods.com
[2012.07.02 22:43:15 | 000,000,604 | -H-- | M] () -- C:\WINDOWS\Tasks\ConfigExec.job
[2012.07.02 22:43:16 | 000,000,572 | -H-- | M] () -- C:\WINDOWS\Tasks\DataUpload.job
[2012.07.04 22:22:00 | 000,000,406 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{2696D319-1E85-4C99-B7A0-CC4B1A731C26}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2011.07.20 01:44:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Adobe
[2011.08.14 14:52:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Amazon
[2011.04.18 07:42:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Atmel
[2012.06.08 09:04:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Audacity
[2011.05.06 20:21:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar
[2012.05.11 05:49:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\CadSoft
[2011.07.20 01:45:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\com.adobe.downloadassistant.AdobeDownloadAssistant
[2012.04.29 13:28:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Easeware
[2011.10.18 01:58:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Epson
[2011.06.30 00:07:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\facemoods.com
[2010.11.14 00:33:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Google
[2010.11.15 22:13:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Help
[2011.05.10 01:51:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\ibf
[2010.11.10 15:39:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Identities
[2011.03.02 16:13:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\InstallShield
[2011.08.13 12:59:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Leadertech
[2010.11.13 21:19:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Macromedia
[2012.06.29 20:53:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Malwarebytes
[2011.05.26 18:34:30 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Microsoft
[2011.05.26 18:43:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Microsoft Corporation
[2011.10.25 23:49:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Mozilla
[2012.05.11 02:39:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\PriceGong
[2012.07.04 22:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\SlimBrowser
[2010.12.08 04:35:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Sun
[2010.11.19 01:02:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Template
[2012.04.29 21:35:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Toolbar4
[2011.07.12 03:51:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Ulead Systems
[2012.06.09 17:30:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf
[2011.05.28 09:55:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\VisualAssist
[2010.11.13 20:38:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Vodafone
[2012.07.04 19:30:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Yahoo!
 
< %APPDATA%\*.exe /s >
[2011.07.20 01:44:29 | 000,053,632 | ---- | M] (Adobe Systems Inc.) -- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
 
< %SYSTEMDRIVE%\*.exe >
[2011.10.26 18:52:56 | 000,142,336 | ---- | M] () -- C:\factory.exe
[2004.08.04 01:35:20 | 000,025,600 | ---- | M] () -- C:\setupcl.exe
[2004.08.04 01:35:52 | 000,574,464 | ---- | M] () -- C:\setupmgr.exe
[2004.08.04 01:35:22 | 000,090,624 | ---- | M] () -- C:\sysprep.exe
 
< MD5 for: AGP440.SYS  >
[2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\dllcache\atapi.sys
[2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys
[2008.04.14 01:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\dllcache\eventlog.dll
[2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\dllcache\netlogon.dll
[2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 07:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\dllcache\scecli.dll
[2008.04.14 07:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\dllcache\user32.dll
[2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2012.04.04 15:56:38 | 000,199,240 | ---- | M] () MD5=097D0E812D7A9A3101CE46CB2BE0474D -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004.08.04 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2009.11.02 15:50:59 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2009.11.02 15:50:59 | 001,089,536 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2009.11.02 15:50:59 | 000,454,656 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[4 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
<           >
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> C:\fqnAasXDuNvplTVGd:SummaryInformation
@Alternate Data Stream - 88 bytes -> C:\factory.exe:SummaryInformation

< End of report >
während des scans kamen etliche (ca ~50 oder so) Fehlermeldungen: "Kein Datenträger" sowie daneben noch "exception processing message", habe dann halt so lange auf "weiter" gedrückt, bis der scan zu Ende war.

Außerdem habe ich wie von Dir verlangt, alle toolbar - shice gelöscht. ABER: Was sich nicht löschen lies, war eine Software namen "Yahoo! BrowserPlus". Nachdem ich gegoogelt habe, was das für eine software ist und wie man sie runter kriegt, erschloss sich mir die geteilte Einsicht vieler anderer Leute, dass das eine nur schwer zu deinstallierende Software ist, manche sagten sogar, dass sie - vergleichesweise zu einem Virus - hartnäckig im System bleibt.

ach so, jetzt ist mir noch was eingefallen: Mein Browser, den ich immer benutze, heißt "slimbrowser". Von Flashpeak. Den IE finde ich shice. Kannst Du mir dazu etwas sagen?

Alt 05.07.2012, 10:23   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Verschlüsselungs Trojaner - Standard

Windows Verschlüsselungs Trojaner


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = 
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT3209604
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\URLSearchHook: {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - No CLSID value found
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\SearchScopes,DefaultScope = {0EFB0874-319D-4D75-917E-3CDC7D279212}
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\SearchScopes\{0EFB0874-319D-4D75-917E-3CDC7D279212}: "URL" = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
IE - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3209604
[2011.06.29 03:13:24 | 000,002,051 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\fcmdSrchstonicde.xml
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll File not found
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.11.02 16:05:37 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell - "" = AutoRun
O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun
O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun
O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell - "" = AutoRun
O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
@Alternate Data Stream - 88 bytes -> C:\fqnAasXDuNvplTVGd:SummaryInformation
@Alternate Data Stream - 88 bytes -> C:\factory.exe:SummaryInformation
:Files
C:\fqnAasXDuNvplTVGd
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf
C:\WINDOWS\System32\67B3506B78D616486A60.exe
C:\WINDOWS\System32\winsh32?
C:\Dokumente und Einstellungen\Matze\Desktop\qlXeruOJEjLUxfOvrus
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Toolbar4
C:\Dokumente und Einstellungen\User\Anwendungsdaten\facemoods.com
C:\Dokumente und Einstellungen\Matze\ptdxjnyElpsNugalp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oqLurvOXlTLjEdsVxsXlr
C:\Dokumente und Einstellungen\Matze\XxftqojLealOvNoAnyV
C:\Dokumente und Einstellungen\Matze\srugvyEAUxfugJNUx
C:\Dokumente und Einstellungen\All Users\oynDTeXpDasfxUtVGgQNr
C:\Dokumente und Einstellungen\All Users\LlasspDTtVxUsfJ
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.07.2012, 04:00   #13
Matthias_R.
 
Windows Verschlüsselungs Trojaner - Standard

Windows Verschlüsselungs Trojaner


hallo arne, nun versuche ich anhand Deiner Hülf, das log vom fixen hier ohne codetags reinzusetzen, weill ich gar keine Möglichkeit sehe, tags zu setzen. Also nun...


All processes killed
========== OTL ==========
HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache| /E : value set successfully!
HKU\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page Redirect Cache AcceptLangs| /E : value set successfully!
Registry value HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Internet Explorer\URLSearchHooks\\{81017EA9-9AA8-4A6A-9734-7AF40E7D593F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{81017EA9-9AA8-4A6A-9734-7AF40E7D593F}\ not found.
HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Internet Explorer\SearchScopes\{0EFB0874-319D-4D75-917E-3CDC7D279212}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0EFB0874-319D-4D75-917E-3CDC7D279212}\ not found.
Registry key HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.
C:\Programme\Mozilla Firefox\searchplugins\fcmdSrchstonicde.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FDAD4DA1-61A2-4FD8-9C17-86F7AC245081}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\AutorunsDisabled\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{9421DD08-935F-4701-A9CA-22DF90AC4EA6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9421DD08-935F-4701-A9CA-22DF90AC4EA6}\ deleted successfully.
C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HonorAutoRunSetting deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-21-1813158837-859729759-3536760713-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{411710d4-f67c-11df-99c8-0019990b34fc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{411710d4-f67c-11df-99c8-0019990b34fc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{411710d4-f67c-11df-99c8-0019990b34fc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{411710d4-f67c-11df-99c8-0019990b34fc}\ not found.
File E:\setup_vmc_lite.exe /checkApplicationPresence not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e55928-ef54-11df-99b8-0019990b34fc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e55928-ef54-11df-99b8-0019990b34fc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e55928-ef54-11df-99b8-0019990b34fc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e55928-ef54-11df-99b8-0019990b34fc}\ not found.
File E:\setup_vmc_lite.exe /checkApplicationPresence not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e55929-ef54-11df-99b8-0019990b34fc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e55929-ef54-11df-99b8-0019990b34fc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e55929-ef54-11df-99b8-0019990b34fc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e55929-ef54-11df-99b8-0019990b34fc}\ not found.
File E:\setup_vmc_lite.exe /checkApplicationPresence not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e5592a-ef54-11df-99b8-0019990b34fc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e5592a-ef54-11df-99b8-0019990b34fc}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b4e5592a-ef54-11df-99b8-0019990b34fc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b4e5592a-ef54-11df-99b8-0019990b34fc}\ not found.
File E:\setup_vmc_lite.exe /checkApplicationPresence not found.
ADS C:\fqnAasXDuNvplTVGd:SummaryInformation deleted successfully.
ADS C:\factory.exe:SummaryInformation deleted successfully.
========== FILES ==========
C:\fqnAasXDuNvplTVGd moved successfully.
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Urvkpwmf folder moved successfully.
C:\WINDOWS\System32\67B3506B78D616486A60.exe moved successfully.
C:\WINDOWS\System32\winsh320 moved successfully.
C:\WINDOWS\System32\winsh321 moved successfully.
C:\WINDOWS\System32\winsh322 moved successfully.
C:\WINDOWS\System32\winsh323 moved successfully.
C:\WINDOWS\System32\winsh324 moved successfully.
C:\WINDOWS\System32\winsh325 moved successfully.
C:\Dokumente und Einstellungen\Matze\Desktop\qlXeruOJEjLUxfOvrus moved successfully.
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar\BabylonToolbar\BabylonToolbar\BabylonToolbar folder moved successfully.
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar\BabylonToolbar\BabylonToolbar folder moved successfully.
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar\BabylonToolbar folder moved successfully.
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\BabylonToolbar folder moved successfully.
C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Toolbar4 folder moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\facemoods.com\facemoods folder moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\facemoods.com folder moved successfully.
C:\Dokumente und Einstellungen\Matze\ptdxjnyElpsNugalp moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\oqLurvOXlTLjEdsVxsXlr moved successfully.
C:\Dokumente und Einstellungen\Matze\XxftqojLealOvNoAnyV moved successfully.
C:\Dokumente und Einstellungen\Matze\srugvyEAUxfugJNUx moved successfully.
C:\Dokumente und Einstellungen\All Users\oynDTeXpDasfxUtVGgQNr moved successfully.
C:\Dokumente und Einstellungen\All Users\LlasspDTtVxUsfJ moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temporary Internet Files folder emptied: 93603 bytes

User: Administrator.SCHWEINCHEN
->Temp folder emptied: 5998114 bytes
->Temporary Internet Files folder emptied: 202871 bytes
->Flash cache emptied: 2836 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56468 bytes

User: Gast
->Temp folder emptied: 757938 bytes
->Temporary Internet Files folder emptied: 1777388 bytes
->Flash cache emptied: 456 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Matze
->Temp folder emptied: 1190766470 bytes
->Temporary Internet Files folder emptied: 65336775 bytes
->Java cache emptied: 1843519 bytes
->FireFox cache emptied: 114272072 bytes
->Google Chrome cache emptied: 6364143 bytes
->Flash cache emptied: 107163 bytes

User: NetworkService
->Temp folder emptied: 3311942 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Setupdateien

User: User
->Temp folder emptied: 769049 bytes
->Temporary Internet Files folder emptied: 14249729 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 934 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 1262983 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 40263319 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.383,00 mb


[EMPTYFLASH]

User: Administrator

User: Administrator.SCHWEINCHEN
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Flash cache emptied: 0 bytes

User: Gast
->Flash cache emptied: 0 bytes

User: LocalService

User: Matze
->Flash cache emptied: 0 bytes

User: NetworkService

User: Setupdateien

User: User
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.53.1 log created on 07062012_044430

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\X200E328\7YWnY96yoa79KffwaUTQer7tZljOf8ynnVvadSeOMQWswzCS_i0YsUEcQpoEJrm5UQPMpRhDpgV8RtKAzZ32BB0yb3ZBtj8lq8Csz2K5vy9Oz_3IMUFjeZLZSod 9tBCi2ZYqSX7Yhc6PaBqugLH6YyMVcedC9lKP[1].jpg not found!
File\Folder C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\5GVQJPF5\HKGwG0yyoa5NQdnmivCFHNJm8bfDOw3txYzlN14AvGK86HwpZawCtrsPRVPIPoUtCREpe5qpMSH0aql3zfmFrjwXG2s3xCBdxZ5tssPi73ICfLyhkcktnkMDDTY uQBErdcoCbrKMQjjbr0PXCd6f3g--[1].jpg not found!

PendingFileRenameOperations files...
File C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\X200E328\7YWnY96yoa79KffwaUTQer7tZljOf8ynnVvadSeOMQWswzCS_i0YsUEcQpoEJrm5UQPMpRhDpgV8RtKAzZ32BB0yb3ZBtj8lq8Csz2K5vy9Oz_3IMUFjeZLZSod 9tBCi2ZYqSX7Yhc6PaBqugLH6YyMVcedC9lKP[1].jpg not found!
File C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\5GVQJPF5\HKGwG0yyoa5NQdnmivCFHNJm8bfDOw3txYzlN14AvGK86HwpZawCtrsPRVPIPoUtCREpe5qpMSH0aql3zfmFrjwXG2s3xCBdxZ5tssPi73ICfLyhkcktnkMDDTY uQBErdcoCbrKMQjjbr0PXCd6f3g--[1].jpg not found!

Registry entries deleted on Reboot...

Alt 06.07.2012, 10:03   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Verschlüsselungs Trojaner - Standard

Windows Verschlüsselungs Trojaner


Zitat:
weill ich gar keine Möglichkeit sehe, tags zu setzen. Also nun...
Warum sehen darin immer so viele darin eine hochkomplizierte Angelegenheit
Drück doch einfach mal im Antwortstrang oben bei der Textformatierungsleiste auf den #-Button und schon werden die CODE-Tags von allein angefügt
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.07.2012, 21:54   #15
Matthias_R.
 
Windows Verschlüsselungs Trojaner - Icon32

Windows Verschlüsselungs Trojaner


hallo Arne, ich tue mir halt mit Sachen in puncto Computer schon immer zeimlich schwer, bitte entschuldige

Soll ich jetzt diesen Fix nochmal machen und dann in den code - tags erneut posten?

Dann bitte nochmal die Frage: Es kommt bei den letzten 2 scans (OTL undEset) immer zu häufigen Fehlermeldungen. Ist das relevant?
Geändert von Matthias_R. (06.07.2012 um 22:36 Uhr)

Antwort
Seite 1 von 3 1 23

Themen zu Windows Verschlüsselungs Trojaner
avira, bildschirm, blauer bildschirm, dateien, desktop, exe, fehlermeldung, forum, gelöscht, icons, infektion, kunde, locker, meldung, neu, nicht auszuschalten, nicht mehr, problem, rechner, starten, stick, system, tool, trojane, trojaner, unlocked, usb, virus, windows


« GVU-Trojaner 2.07 hat mich erwischt | Suisa nur abgesicherter Modus mit Eingabeaufforderung »


Ähnliche Themen: Windows Verschlüsselungs Trojaner


  1. Verschlüsselungs Trojaner Windows XP
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (1)
  2. Windows-Verschlüsselungs-Trojaner unter Windows 7 auf einem MAC
    Log-Analyse und Auswertung - 14.06.2012 (3)
  3. Windows Verschlüsselungs Trojaner
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  4. (2x) Windows Verschlüsselungs Trojaner
    Mülltonne - 08.06.2012 (1)
  5. Willkomen bei Windows Update, Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 06.06.2012 (1)
  6. Windows Verschlüsselungs Trojaner
    Log-Analyse und Auswertung - 06.06.2012 (3)
  7. Windows Verschlüsselungs Trojaner
    Plagegeister aller Art und deren Bekämpfung - 06.06.2012 (45)
  8. Windows Verschlüsselungs Trojaner
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (3)
  9. Windows Verschlüsselungs Trojaner
    Plagegeister aller Art und deren Bekämpfung - 22.05.2012 (1)
  10. Windows Verschlüsselungs Trojaner
    Log-Analyse und Auswertung - 07.05.2012 (1)
  11. Windows 7 (64bit) Virus/Trojaner (evtl. Windows Verschlüsselungs Trojaner)
    Plagegeister aller Art und deren Bekämpfung - 07.05.2012 (19)
  12. Infiziert mit Windows-Verschlüsselungs Trojaner -Mail mit Telefonrechnung - windows vista
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (12)
  13. Windows verschlüsselungs trojaner
    Plagegeister aller Art und deren Bekämpfung - 06.05.2012 (11)
  14. Windows Verschlüsselungs-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 04.05.2012 (1)
  15. Windows-Verschlüsselungs Trojaner
    Log-Analyse und Auswertung - 28.04.2012 (3)
  16. "Willkommen bei Windows Update Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
    Log-Analyse und Auswertung - 27.04.2012 (3)
  17. Windows Verschlüsselungs Trojaner
    Log-Analyse und Auswertung - 27.04.2012 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Windows Verschlüsselungs Trojaner - Hallo liebe Experten, nun habe ich dasselbe Problem wie viele andere hier, ich war so unvorsichtig und habe diese Mails am 07.06.2012 erhalten: Hallo Matthias Reicherter, Vielen Dank für Ihre - Windows Verschlüsselungs Trojaner...
Archiv
Du betrachtest: Windows Verschlüsselungs Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131