|
Plagegeister aller Art und deren Bekämpfung: TR/ Agent.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.07.2012, 18:38 | #31 |
/// Selecta Jahrusso | TR/ Agent.Gen Nichts, was mich jetzt direkt beunruhigen würde :/ Gehe in den abgesicherten Modus (Link bitte unbedingt anklicken & lesen!) von windows
Benenne bitte GMER wieder in .exe um und versuche mal, ob sie startet.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
11.07.2012, 08:13 | #32 |
| TR/ Agent.Gen Guten Morgen
__________________nein startet leider nicht, es geht das Fenster mit ausführen oder abbrechen auf, und wenn man dann auf ausführen klickt kommt wie immer das fenster öffnen mit |
11.07.2012, 15:55 | #33 |
/// Selecta Jahrusso | TR/ Agent.Gen Downloade dir bitte ExeFix.reg auf deinem Desktop.
__________________Doppelklick auf die Datei und bestätige die Änderung der Registry. Starte den Rechner neu auf. Berichte mal, ob sich die .exe wieder starten lassen. ( Ganz schön knifflig :/ )
__________________ |
11.07.2012, 18:14 | #34 |
| TR/ Agent.Gen :-( nööööö immer noch nicht |
11.07.2012, 19:37 | #35 |
/// Selecta Jahrusso | TR/ Agent.Gen Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an Du musst das System nun in die System Reparatur Option booten. Über den Boot Manager
Mit Windows CD/DVD
Wähle in den Reparaturoptionen Eingabeaufforderung
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
11.07.2012, 20:40 | #36 |
| TR/ Agent.Gen Scan result of Farbar Recovery Scan Tool (FRST written by Farbar) Version: 10-07-2012 Ran by SYSTEM at 11-07-2012 21:42:31 Running from G:\ Windows 7 Home Premium (X86) OS Language: German Standard The current controlset is ControlSet001 ========================== Registry (Whitelisted) ============= HKLM\...\Run: [CLMLServer] "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe" [103720 2009-06-03] (CyberLink) HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s [7866912 2009-11-10] (Realtek Semiconductor) HKLM\...\Run: [lxeemon.exe] "C:\Program Files\Lexmark Pro700 Series\lxeemon.exe" [770728 2010-05-17] () HKLM\...\Run: [EzPrint] "C:\Program Files\Lexmark Pro700 Series\ezprint.exe" [139944 2009-10-01] () HKLM\...\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min [348624 2012-05-09] (Avira Operations GmbH & Co. KG) HKLM\...\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe [114992 2012-02-16] (SweetIM Technologies Ltd.) HKLM\...\Run: [Sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe [295728 2012-02-26] (SweetIM Technologies Ltd.) HKLM\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [37296 2012-03-27] (Adobe Systems Incorporated) HKLM\...\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [843712 2012-01-02] (Adobe Systems Incorporated) HKU\HOLGER\...\Run: [Facebook Update] "C:\Users\HOLGER\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver [137536 2011-10-23] (Facebook Inc.) Tcpip\Parameters: [DhcpNameServer] 192.168.2.1 ================================ Services (Whitelisted) ================== 2 AntiVirSchedulerService; "C:\Program Files\Avira\AntiVir Desktop\sched.exe" [86224 2012-05-09] (Avira Operations GmbH & Co. KG) 2 AntiVirService; "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" [110032 2012-05-09] (Avira Operations GmbH & Co. KG) 2 eventlog; C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted [20992 2009-07-14] (Microsoft Corporation) 2 Fabs; C:\Program Files\Common Files\MAGIX Services\Database\bin\FABS.exe /DisableUI [1155072 2009-02-03] (MAGIX AG) 3 FirebirdServerMAGIXInstance; "C:\Program Files\Common Files\MAGIX Services\Database\bin\fbserver.exe" [3276800 2008-08-07] (MAGIX®) 2 lxeeCATSCustConnectService; C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxeeserv.exe [193192 2010-04-14] (Lexmark International, Inc.) 2 lxee_device; C:\Windows\system32\lxeecoms.exe -service [598696 2010-04-14] ( ) 2 MBAMService; "C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe" [654408 2012-04-04] (Malwarebytes Corporation) 3 MozillaMaintenance; "C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe" [113120 2012-06-14] (Mozilla Foundation) 2 RichVideo; "C:\Program Files\CyberLink\Shared files\RichVideo.exe" [244904 2009-07-27] () 2 WMI_Hook_Service; "C:\Program Files\msi\OSD hot keys\WMI_Hook_Service.exe" [100152 2009-12-24] (MICRO-STAR INT'L,.LTD.) ========================== Drivers (Whitelisted) ============= 2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-05-09] (Avira GmbH) 1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-05-09] (Avira GmbH) 1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36000 2011-09-16] (Avira GmbH) 3 hidkmdf; C:\Windows\System32\DRIVERS\hidkmdf.sys [10360 2009-10-29] (Windows (R) Win 7 DDK provider) 3 MBAMProtector; \??\C:\Windows\system32\drivers\mbam.sys [22344 2012-04-04] (Malwarebytes Corporation) 0 nvamacpi; C:\Windows\System32\DRIVERS\NVAMACPI.sys [24608 2009-06-05] (NVIDIA Corporation) 3 nvsmu; C:\Windows\system32\DRIVERS\nvsmu.sys [17920 2009-06-28] (NVIDIA Corporation) 3 NW1950; C:\Windows\System32\DRIVERS\NW1950.sys [22392 2009-10-29] () 3 NxpCap; C:\Windows\System32\DRIVERS\NxpCap.sys [1558368 2009-12-22] (NXP Semiconductors Germany GmbH) 0 pavboot; C:\Windows\System32\drivers\pavboot.sys [28552 2009-06-30] (Panda Security, S.L.) 1 ssmdrv; C:\Windows\System32\DRIVERS\ssmdrv.sys [28520 2009-10-08] (Avira GmbH) 1 StarOpen; C:\Windows\System32\Drivers\StarOpen.sys [5632 2006-07-24] () 3 catchme; \??\C:\Users\HOLGER\AppData\Local\Temp\catchme.sys [x] ========================== NetSvcs (Whitelisted) =========== ============ One Month Created Files and Folders ============== 2012-07-11 18:16 - 2012-07-11 18:16 - 00004320 ____A C:\Users\HOLGER\Desktop\ExeFix.reg 2012-07-11 08:03 - 2012-06-02 09:17 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll 2012-07-11 08:03 - 2012-06-02 09:16 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb 2012-07-11 08:02 - 2012-06-02 10:07 - 12314624 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll 2012-07-11 08:02 - 2012-06-02 09:43 - 09737728 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll 2012-07-11 08:02 - 2012-06-02 09:33 - 01800192 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll 2012-07-11 08:02 - 2012-06-02 09:26 - 01103872 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll 2012-07-11 08:02 - 2012-06-02 09:25 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl 2012-07-11 08:02 - 2012-06-02 09:25 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll 2012-07-11 08:02 - 2012-06-02 09:23 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll 2012-07-11 08:02 - 2012-06-02 09:21 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll 2012-07-11 08:02 - 2012-06-02 09:20 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe 2012-07-11 08:02 - 2012-06-02 09:19 - 01793024 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll 2012-07-11 08:02 - 2012-06-02 09:19 - 00716800 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll 2012-07-11 08:02 - 2012-06-02 09:14 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll 2012-07-11 08:00 - 2012-06-12 03:40 - 02345984 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys 2012-07-11 06:42 - 2012-06-09 05:41 - 12873728 ____A (Microsoft Corporation) C:\Windows\System32\shell32.dll 2012-07-11 06:42 - 2012-06-06 06:05 - 01390080 ____A (Microsoft Corporation) C:\Windows\System32\msxml6.dll 2012-07-11 06:42 - 2012-06-06 06:05 - 01236992 ____A (Microsoft Corporation) C:\Windows\System32\msxml3.dll 2012-07-11 06:42 - 2012-06-06 06:03 - 00805376 ____A (Microsoft Corporation) C:\Windows\System32\cdosys.dll 2012-07-11 06:42 - 2012-06-02 05:45 - 00134000 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ksecpkg.sys 2012-07-11 06:42 - 2012-06-02 05:45 - 00067440 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ksecdd.sys 2012-07-11 06:42 - 2012-06-02 05:40 - 00369336 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\cng.sys 2012-07-11 06:42 - 2012-06-02 05:40 - 00225280 ____A (Microsoft Corporation) C:\Windows\System32\schannel.dll 2012-07-11 06:42 - 2012-06-02 05:39 - 00219136 ____A (Microsoft Corporation) C:\Windows\System32\ncrypt.dll 2012-07-11 06:42 - 2010-06-26 04:24 - 00002048 ____A (Microsoft Corporation) C:\Windows\System32\msxml3r.dll 2012-07-10 18:33 - 2012-07-10 18:33 - 00088306 ____A C:\Users\HOLGER\Desktop\OTL.Txt 2012-07-09 21:33 - 2012-07-09 21:33 - 00302592 ____A C:\Users\HOLGER\Desktop\19kliqzp.exe 2012-07-09 19:51 - 2012-07-09 19:51 - 00595968 ____A (OldTimer Tools) C:\Users\HOLGER\Desktop\OTL.com 2012-07-09 14:25 - 2012-07-09 14:25 - 00012605 ____A C:\ComboFix.txt 2012-07-05 16:05 - 2012-07-05 16:05 - 00294400 ____A C:\Users\HOLGER\Desktop\exeHelper.com 2012-07-04 17:16 - 2012-07-09 13:56 - 04573972 ____R (Swearware) C:\Users\HOLGER\Desktop\ComboFix.com 2012-07-04 08:39 - 2009-04-20 05:56 - 00060416 ____A (NirSoft) C:\Windows\NIRCMD.exe 2012-07-02 13:29 - 2012-07-09 14:25 - 00000000 ____D C:\Qoobox 2012-07-02 13:29 - 2012-07-04 08:52 - 00000000 ____D C:\Windows\erdnt 2012-07-02 13:29 - 2011-06-26 07:45 - 00256000 ____A C:\Windows\PEV.exe 2012-07-02 13:29 - 2010-11-07 18:20 - 00208896 ____A C:\Windows\MBR.exe 2012-07-02 13:29 - 2000-08-31 01:00 - 00518144 ____A (SteelWerX) C:\Windows\SWREG.exe 2012-07-02 13:29 - 2000-08-31 01:00 - 00406528 ____A (SteelWerX) C:\Windows\SWSC.exe 2012-07-02 13:29 - 2000-08-31 01:00 - 00098816 ____A C:\Windows\sed.exe 2012-07-02 13:29 - 2000-08-31 01:00 - 00080412 ____A C:\Windows\grep.exe 2012-07-02 13:29 - 2000-08-31 01:00 - 00068096 ____A C:\Windows\zip.exe 2012-07-01 21:11 - 2012-07-01 21:11 - 00160704 ____A C:\Windows\Minidump\070112-13228-01.dmp 2012-07-01 21:04 - 2012-07-01 21:04 - 00001889 ____A C:\Users\HOLGER\Desktop\aswMBR.txt 2012-07-01 20:49 - 2012-07-01 20:50 - 00160704 ____A C:\Windows\Minidump\070112-17440-01.dmp 2012-07-01 20:39 - 2012-07-01 21:04 - 00000512 ____A C:\Users\HOLGER\Desktop\MBR.dat 2012-07-01 20:39 - 2012-07-01 20:59 - 00003778 ____A C:\Users\HOLGER\Desktop\aswMBR1.txt 2012-07-01 20:36 - 2012-07-01 20:36 - 00200696 ____A C:\Windows\Minidump\070112-17050-01.dmp 2012-07-01 20:11 - 2012-07-01 20:12 - 00160704 ____A C:\Windows\Minidump\070112-18891-01.dmp 2012-07-01 20:00 - 2012-07-01 20:01 - 00200696 ____A C:\Windows\Minidump\070112-18922-01.dmp 2012-07-01 19:41 - 2012-07-01 19:41 - 04731392 ____A (AVAST Software) C:\Users\HOLGER\Desktop\aswMBR.exe 2012-06-30 21:20 - 2012-06-30 21:20 - 02134616 ____A (Kaspersky Lab ZAO) C:\Users\HOLGER\Desktop\tdsskiller.exe 2012-06-28 06:52 - 2012-06-28 07:25 - 00000474 ____A C:\Windows\System32\defogger_disable.log 2012-06-28 06:52 - 2012-06-28 06:52 - 00000000 ____A C:\Users\HOLGER\defogger_reenable 2012-06-28 06:50 - 2012-06-28 06:50 - 00050477 ____A C:\Users\HOLGER\Desktop\Defogger.exe 2012-06-27 18:24 - 2012-06-27 18:24 - 00001071 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk 2012-06-27 18:24 - 2012-06-27 18:24 - 00000000 ____D C:\Users\HOLGER\AppData\Roaming\Malwarebytes 2012-06-27 18:24 - 2012-06-27 18:24 - 00000000 ____D C:\Users\All Users\Malwarebytes 2012-06-27 18:24 - 2012-06-27 18:24 - 00000000 ____D C:\Program Files\Malwarebytes' Anti-Malware 2012-06-27 18:24 - 2012-04-04 14:56 - 00022344 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys 2012-06-27 08:44 - 2012-06-27 08:44 - 00000000 ____D C:\Users\HOLGER\AppData\Local\Apps\2.0 2012-06-27 08:36 - 2012-06-27 08:36 - 10063000 ____A (Malwarebytes Corporation ) C:\Users\HOLGER\Desktop\mbam-setup-1.61.0.1400.exe 2012-06-24 19:54 - 2012-06-24 19:54 - 02347224 ____A (SPAMfighter ApS) C:\Users\HOLGER\Documents\spywarefighter.exe 2012-06-24 19:52 - 2012-06-24 19:52 - 05837544 ____A (Uniblue Systems Ltd ) C:\Users\HOLGER\Documents\speedupmypc.exe 2012-06-24 14:42 - 2012-06-24 14:42 - 00739840 ____A (Google Inc.) C:\Users\HOLGER\Documents\ChromeSetup.exe 2012-06-24 14:35 - 2012-06-24 14:36 - 77711976 ____A C:\Users\HOLGER\Documents\PANDAGP12.exe 2012-06-24 09:53 - 2012-06-24 09:53 - 00000000 ____D C:\Program Files\Panda Security 2012-06-24 09:53 - 2009-06-30 09:37 - 00028552 ____A (Panda Security, S.L.) C:\Windows\System32\Drivers\pavboot.sys 2012-06-22 05:09 - 2012-06-02 23:19 - 01933848 ____A (Microsoft Corporation) C:\Windows\System32\wuaueng.dll 2012-06-22 05:09 - 2012-06-02 23:19 - 00577048 ____A (Microsoft Corporation) C:\Windows\System32\wuapi.dll 2012-06-22 05:09 - 2012-06-02 23:19 - 00053784 ____A (Microsoft Corporation) C:\Windows\System32\wuauclt.exe 2012-06-22 05:09 - 2012-06-02 23:19 - 00045080 ____A (Microsoft Corporation) C:\Windows\System32\wups2.dll 2012-06-22 05:09 - 2012-06-02 23:19 - 00035864 ____A (Microsoft Corporation) C:\Windows\System32\wups.dll 2012-06-22 05:09 - 2012-06-02 23:12 - 02422272 ____A (Microsoft Corporation) C:\Windows\System32\wucltux.dll 2012-06-22 05:09 - 2012-06-02 23:12 - 00088576 ____A (Microsoft Corporation) C:\Windows\System32\wudriver.dll 2012-06-22 05:09 - 2012-06-02 14:19 - 00171904 ____A (Microsoft Corporation) C:\Windows\System32\wuwebv.dll 2012-06-22 05:09 - 2012-06-02 14:12 - 00033792 ____A (Microsoft Corporation) C:\Windows\System32\wuapp.exe 2012-06-19 05:13 - 2012-07-09 19:51 - 03961792 ____A (Solid State Networks) C:\Users\HOLGER\Documents\install_flashplayer11x32ax_gtba_aih.exe 2012-06-18 21:54 - 2012-06-18 21:43 - 00002543 ____A C:\Users\HOLGER\Documents\BauFaktura.lnk 2012-06-18 21:48 - 2012-06-18 21:48 - 00002104 ____A C:\Users\HOLGER\Desktop\T-Online Browser.lnk 2012-06-18 21:39 - 2012-06-18 21:39 - 00002543 ____A C:\Users\HOLGER\Desktop\BauFaktura.lnk 2012-06-18 19:09 - 2012-06-18 19:09 - 00000000 ____D C:\Program Files\Mozilla Maintenance Service 2012-06-18 19:08 - 2012-06-18 19:08 - 16420744 ____A (Mozilla) C:\Users\HOLGER\Documents\Firefox%20Setup%2013.0.1.exe 2012-06-13 16:48 - 2012-05-01 05:44 - 00164352 ____A (Microsoft Corporation) C:\Windows\System32\profsvc.dll 2012-06-13 16:48 - 2012-04-28 04:17 - 00183808 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys 2012-06-13 16:48 - 2012-04-26 05:45 - 00129536 ____A (Microsoft Corporation) C:\Windows\System32\rdpcorekmts.dll 2012-06-13 16:48 - 2012-04-26 05:45 - 00058880 ____A (Microsoft Corporation) C:\Windows\System32\rdpwsx.dll 2012-06-13 16:48 - 2012-04-26 05:41 - 00008192 ____A (Microsoft Corporation) C:\Windows\System32\rdrmemptylst.exe 2012-06-13 16:48 - 2012-04-07 12:26 - 02342400 ____A (Microsoft Corporation) C:\Windows\System32\msi.dll 2012-06-13 16:47 - 2012-04-24 05:36 - 01158656 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll 2012-06-13 16:47 - 2012-04-24 05:36 - 00140288 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll 2012-06-13 16:47 - 2012-04-24 05:36 - 00103936 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll 2012-06-11 11:19 - 2012-06-11 11:19 - 09120256 ____A (Georg Huonker, Leidringen) C:\Users\HOLGER\Desktop\StartBau.exe ============ 3 Months Modified Files ======================== 2012-07-11 20:35 - 2010-12-11 13:32 - 02008209 ____A C:\Windows\WindowsUpdate.log 2012-07-11 18:45 - 2011-10-23 09:40 - 00000932 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3655861120-308642264-2925887876-1000UA.job 2012-07-11 18:26 - 2009-07-14 05:34 - 00009888 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 2012-07-11 18:26 - 2009-07-14 05:34 - 00009888 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0 2012-07-11 18:23 - 2010-01-22 12:40 - 01612484 ____A C:\Windows\System32\PerfStringBackup.INI 2012-07-11 18:18 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT 2012-07-11 18:18 - 2009-07-14 05:39 - 00124920 ____A C:\Windows\setupact.log 2012-07-11 18:16 - 2012-07-11 18:16 - 00004320 ____A C:\Users\HOLGER\Desktop\ExeFix.reg 2012-07-11 09:45 - 2011-10-23 09:40 - 00000910 ____A C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3655861120-308642264-2925887876-1000Core.job 2012-07-11 08:07 - 2009-07-14 05:33 - 00506016 ____A C:\Windows\System32\FNTCACHE.DAT 2012-07-11 08:01 - 2010-01-22 14:33 - 57442464 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe 2012-07-10 18:33 - 2012-07-10 18:33 - 00088306 ____A C:\Users\HOLGER\Desktop\OTL.Txt 2012-07-10 05:37 - 2010-01-22 13:43 - 00181302 ____A C:\Windows\PFRO.log 2012-07-09 21:33 - 2012-07-09 21:33 - 00302592 ____A C:\Users\HOLGER\Desktop\19kliqzp.exe 2012-07-09 19:51 - 2012-07-09 19:51 - 00595968 ____A (OldTimer Tools) C:\Users\HOLGER\Desktop\OTL.com 2012-07-09 19:51 - 2012-06-19 05:13 - 03961792 ____A (Solid State Networks) C:\Users\HOLGER\Documents\install_flashplayer11x32ax_gtba_aih.exe 2012-07-09 14:25 - 2012-07-09 14:25 - 00012605 ____A C:\ComboFix.txt 2012-07-09 14:25 - 2011-01-24 08:21 - 00460288 __ASH C:\Users\HOLGER\Desktop\Thumbs.db 2012-07-09 14:07 - 2009-07-14 03:04 - 00000215 ____A C:\Windows\system.ini 2012-07-09 13:56 - 2012-07-04 17:16 - 04573972 ____R (Swearware) C:\Users\HOLGER\Desktop\ComboFix.com 2012-07-05 16:05 - 2012-07-05 16:05 - 00294400 ____A C:\Users\HOLGER\Desktop\exeHelper.com 2012-07-02 09:06 - 2009-07-14 05:53 - 00032640 ____A C:\Windows\Tasks\SCHEDLGU.TXT 2012-07-01 21:11 - 2012-07-01 21:11 - 00160704 ____A C:\Windows\Minidump\070112-13228-01.dmp 2012-07-01 21:11 - 2011-06-10 06:49 - 330985728 ____A C:\Windows\MEMORY.DMP 2012-07-01 21:04 - 2012-07-01 21:04 - 00001889 ____A C:\Users\HOLGER\Desktop\aswMBR.txt 2012-07-01 21:04 - 2012-07-01 20:39 - 00000512 ____A C:\Users\HOLGER\Desktop\MBR.dat 2012-07-01 20:59 - 2012-07-01 20:39 - 00003778 ____A C:\Users\HOLGER\Desktop\aswMBR1.txt 2012-07-01 20:50 - 2012-07-01 20:49 - 00160704 ____A C:\Windows\Minidump\070112-17440-01.dmp 2012-07-01 20:36 - 2012-07-01 20:36 - 00200696 ____A C:\Windows\Minidump\070112-17050-01.dmp 2012-07-01 20:12 - 2012-07-01 20:11 - 00160704 ____A C:\Windows\Minidump\070112-18891-01.dmp 2012-07-01 20:01 - 2012-07-01 20:00 - 00200696 ____A C:\Windows\Minidump\070112-18922-01.dmp 2012-07-01 19:41 - 2012-07-01 19:41 - 04731392 ____A (AVAST Software) C:\Users\HOLGER\Desktop\aswMBR.exe 2012-06-30 21:20 - 2012-06-30 21:20 - 02134616 ____A (Kaspersky Lab ZAO) C:\Users\HOLGER\Desktop\tdsskiller.exe 2012-06-28 07:25 - 2012-06-28 06:52 - 00000474 ____A C:\Windows\System32\defogger_disable.log 2012-06-28 06:52 - 2012-06-28 06:52 - 00000000 ____A C:\Users\HOLGER\defogger_reenable 2012-06-28 06:50 - 2012-06-28 06:50 - 00050477 ____A C:\Users\HOLGER\Desktop\Defogger.exe 2012-06-27 18:24 - 2012-06-27 18:24 - 00001071 ____A C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk 2012-06-27 08:36 - 2012-06-27 08:36 - 10063000 ____A (Malwarebytes Corporation ) C:\Users\HOLGER\Desktop\mbam-setup-1.61.0.1400.exe 2012-06-24 19:54 - 2012-06-24 19:54 - 02347224 ____A (SPAMfighter ApS) C:\Users\HOLGER\Documents\spywarefighter.exe 2012-06-24 19:52 - 2012-06-24 19:52 - 05837544 ____A (Uniblue Systems Ltd ) C:\Users\HOLGER\Documents\speedupmypc.exe 2012-06-24 14:42 - 2012-06-24 14:42 - 00739840 ____A (Google Inc.) C:\Users\HOLGER\Documents\ChromeSetup.exe 2012-06-24 14:36 - 2012-06-24 14:35 - 77711976 ____A C:\Users\HOLGER\Documents\PANDAGP12.exe 2012-06-21 15:59 - 2010-12-11 14:54 - 00002543 ____A C:\Users\Public\Desktop\BauFaktura.lnk 2012-06-19 17:08 - 2011-03-23 20:29 - 12580112 ____A (Mozilla) C:\Users\HOLGER\Downloads\Firefox Setup 4.0.exe 2012-06-19 16:49 - 2012-01-12 06:58 - 00001988 ____A C:\Users\Public\Desktop\Adobe Reader 9.lnk 2012-06-18 21:48 - 2012-06-18 21:48 - 00002104 ____A C:\Users\HOLGER\Desktop\T-Online Browser.lnk 2012-06-18 21:43 - 2012-06-18 21:54 - 00002543 ____A C:\Users\HOLGER\Documents\BauFaktura.lnk 2012-06-18 21:39 - 2012-06-18 21:39 - 00002543 ____A C:\Users\HOLGER\Desktop\BauFaktura.lnk 2012-06-18 19:17 - 2010-12-12 13:58 - 00160675 ____A C:\Users\All Users\lxeescan.log 2012-06-18 19:08 - 2012-06-18 19:08 - 16420744 ____A (Mozilla) C:\Users\HOLGER\Documents\Firefox%20Setup%2013.0.1.exe 2012-06-12 03:40 - 2012-07-11 08:00 - 02345984 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys 2012-06-11 11:19 - 2012-06-11 11:19 - 09120256 ____A (Georg Huonker, Leidringen) C:\Users\HOLGER\Desktop\StartBau.exe 2012-06-09 05:41 - 2012-07-11 06:42 - 12873728 ____A (Microsoft Corporation) C:\Windows\System32\shell32.dll 2012-06-06 06:05 - 2012-07-11 06:42 - 01390080 ____A (Microsoft Corporation) C:\Windows\System32\msxml6.dll 2012-06-06 06:05 - 2012-07-11 06:42 - 01236992 ____A (Microsoft Corporation) C:\Windows\System32\msxml3.dll 2012-06-06 06:03 - 2012-07-11 06:42 - 00805376 ____A (Microsoft Corporation) C:\Windows\System32\cdosys.dll 2012-06-04 05:42 - 2012-06-04 05:42 - 16179464 ____A (Mozilla) C:\Users\HOLGER\Desktop\FirefoxSetup12.0.exe 2012-06-02 23:19 - 2012-06-22 05:09 - 01933848 ____A (Microsoft Corporation) C:\Windows\System32\wuaueng.dll 2012-06-02 23:19 - 2012-06-22 05:09 - 00577048 ____A (Microsoft Corporation) C:\Windows\System32\wuapi.dll 2012-06-02 23:19 - 2012-06-22 05:09 - 00053784 ____A (Microsoft Corporation) C:\Windows\System32\wuauclt.exe 2012-06-02 23:19 - 2012-06-22 05:09 - 00045080 ____A (Microsoft Corporation) C:\Windows\System32\wups2.dll 2012-06-02 23:19 - 2012-06-22 05:09 - 00035864 ____A (Microsoft Corporation) C:\Windows\System32\wups.dll 2012-06-02 23:12 - 2012-06-22 05:09 - 02422272 ____A (Microsoft Corporation) C:\Windows\System32\wucltux.dll 2012-06-02 23:12 - 2012-06-22 05:09 - 00088576 ____A (Microsoft Corporation) C:\Windows\System32\wudriver.dll 2012-06-02 14:19 - 2012-06-22 05:09 - 00171904 ____A (Microsoft Corporation) C:\Windows\System32\wuwebv.dll 2012-06-02 14:12 - 2012-06-22 05:09 - 00033792 ____A (Microsoft Corporation) C:\Windows\System32\wuapp.exe 2012-06-02 10:07 - 2012-07-11 08:02 - 12314624 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll 2012-06-02 09:43 - 2012-07-11 08:02 - 09737728 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll 2012-06-02 09:33 - 2012-07-11 08:02 - 01800192 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll 2012-06-02 09:26 - 2012-07-11 08:02 - 01103872 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll 2012-06-02 09:25 - 2012-07-11 08:02 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl 2012-06-02 09:25 - 2012-07-11 08:02 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll 2012-06-02 09:23 - 2012-07-11 08:02 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll 2012-06-02 09:21 - 2012-07-11 08:02 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll 2012-06-02 09:20 - 2012-07-11 08:02 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe 2012-06-02 09:19 - 2012-07-11 08:02 - 01793024 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll 2012-06-02 09:19 - 2012-07-11 08:02 - 00716800 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll 2012-06-02 09:17 - 2012-07-11 08:03 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll 2012-06-02 09:16 - 2012-07-11 08:03 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb 2012-06-02 09:14 - 2012-07-11 08:02 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll 2012-06-02 05:45 - 2012-07-11 06:42 - 00134000 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ksecpkg.sys 2012-06-02 05:45 - 2012-07-11 06:42 - 00067440 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ksecdd.sys 2012-06-02 05:40 - 2012-07-11 06:42 - 00369336 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\cng.sys 2012-06-02 05:40 - 2012-07-11 06:42 - 00225280 ____A (Microsoft Corporation) C:\Windows\System32\schannel.dll 2012-06-02 05:39 - 2012-07-11 06:42 - 00219136 ____A (Microsoft Corporation) C:\Windows\System32\ncrypt.dll 2012-05-24 20:24 - 2012-05-24 20:23 - 25630704 ____A (DVDVideoSoft Ltd. ) C:\Users\HOLGER\Downloads\FreeYouTubeDownload (1).exe 2012-05-14 19:38 - 2012-05-14 19:38 - 35447642 ____A C:\Users\HOLGER\Downloads\2CDC001008C0109_Kap_1.zip 2012-05-09 06:05 - 2012-05-09 05:58 - 00118272 ____A C:\Users\HOLGER\Downloads\Bestellfurmular Fa. Ullrich(2).xls 2012-05-09 05:16 - 2012-03-13 07:30 - 00137928 ____A (Avira GmbH) C:\Windows\System32\Drivers\avipbb.sys 2012-05-09 05:16 - 2012-03-13 07:30 - 00083392 ____A (Avira GmbH) C:\Windows\System32\Drivers\avgntflt.sys 2012-05-07 16:44 - 2012-05-07 16:44 - 00126118 ____A C:\Users\HOLGER\Downloads\I135A067.$01 2012-05-03 21:35 - 2012-05-03 21:35 - 00290444 ____A C:\Users\HOLGER\Downloads\1269_120426_LVZ_Weidachtal_Sanierung_Saal_Elektroinstallation.D83 2012-05-01 05:44 - 2012-06-13 16:48 - 00164352 ____A (Microsoft Corporation) C:\Windows\System32\profsvc.dll 2012-04-28 04:17 - 2012-06-13 16:48 - 00183808 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys 2012-04-27 04:59 - 2012-04-27 04:59 - 00105472 ____A C:\Users\HOLGER\Downloads\Bestellfurmular Fa. Ullrich(1).xls 2012-04-27 04:57 - 2012-04-27 04:57 - 00105472 ____A C:\Users\HOLGER\Downloads\Bestellfurmular Fa. Ullrich.xls 2012-04-26 05:45 - 2012-06-13 16:48 - 00129536 ____A (Microsoft Corporation) C:\Windows\System32\rdpcorekmts.dll 2012-04-26 05:45 - 2012-06-13 16:48 - 00058880 ____A (Microsoft Corporation) C:\Windows\System32\rdpwsx.dll 2012-04-26 05:41 - 2012-06-13 16:48 - 00008192 ____A (Microsoft Corporation) C:\Windows\System32\rdrmemptylst.exe 2012-04-25 05:32 - 2012-04-25 05:32 - 00047104 ____A C:\Users\HOLGER\Downloads\Kobold Liste 24042012.xls 2012-04-24 05:36 - 2012-06-13 16:47 - 01158656 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll 2012-04-24 05:36 - 2012-06-13 16:47 - 00140288 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll 2012-04-24 05:36 - 2012-06-13 16:47 - 00103936 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll 2012-04-18 21:50 - 2012-04-18 21:50 - 06467391 ____A C:\Users\HOLGER\Downloads\datanorm(13).zip ========================= Known DLLs (Whitelisted) ============ ========================= Bamital & volsnap Check ============ C:\Windows\explorer.exe => MD5 is legit C:\Windows\System32\winlogon.exe => MD5 is legit C:\Windows\System32\wininit.exe => MD5 is legit C:\Windows\System32\svchost.exe => MD5 is legit C:\Windows\System32\services.exe => MD5 is legit C:\Windows\System32\User32.dll => MD5 is legit C:\Windows\System32\userinit.exe => MD5 is legit C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit ==================== EXE ASSOCIATION ===================== HKLM\...\.exe: exefile => OK HKLM\...\exefile\DefaultIcon: %1 => OK HKLM\...\exefile\open\command: "%1" %* => OK ========================= Memory info ====================== Percentage of memory in use: 13% Total physical RAM: 3839.24 MB Available physical RAM: 3329.65 MB Total Pagefile: 3837.52 MB Available Pagefile: 3332.41 MB Total Virtual: 2047.88 MB Available Virtual: 1970.3 MB ======================= Partitions ========================= 1 Drive c: (Boot) (Fixed) (Total:910.41 GB) (Free:820.12 GB) NTFS 2 Drive e: (Recover) (Fixed) (Total:20 GB) (Free:10 GB) NTFS 4 Drive g: () (Removable) (Total:0.24 GB) (Free:0 GB) FAT32 5 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS 6 Drive y: (System Reserved) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)] Datentr„ger ### Status Gr”áe Frei Dyn GPT --------------- ------------- ------- ------- --- --- Datentr„ger 0 Online 931 GB 0 B Datentr„ger 1 Online 251 MB 0 B Partitions of Disk 0: =============== Partition ### Typ Gr”áe Offset ------------- ---------------- ------- ------- Partition 1 Prim„r 100 MB 1024 KB Partition 2 Prim„r 910 GB 101 MB Partition 3 Prim„r 20 GB 910 GB Partition 4 OEM 1025 MB 930 GB ================================================================================== Disk: 0 Partition 1 Typ : 07 Versteckt: Nein Aktiv : Ja Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 1 Y System Rese NTFS Partition 100 MB Fehlerfre ================================================================================== Disk: 0 Partition 2 Typ : 07 Versteckt: Nein Aktiv : Nein Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 2 C Boot NTFS Partition 910 GB Fehlerfre ================================================================================== Disk: 0 Partition 3 Typ : 07 Versteckt: Nein Aktiv : Nein Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 3 E Recover NTFS Partition 20 GB Fehlerfre ================================================================================== Disk: 0 Partition 4 Typ : 12 Versteckt: Ja Aktiv : Nein Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 5 NTFS Partition 1025 MB Fehlerfre Versteck ================================================================================== Partitions of Disk 1: =============== Partition ### Typ Gr”áe Offset ------------- ---------------- ------- ------- Partition 1 Prim„r 251 MB 16 KB ================================================================================== Disk: 1 Partition 1 Typ : 0B Versteckt: Nein Aktiv : Ja Volume ### Bst Bezeichnung DS Typ Gr”áe Status Info ---------- --- ----------- ----- ---------- ------- --------- -------- * Volume 4 G FAT32 Wechselmed 251 MB Fehlerfre ================================================================================== ========================================================== Last Boot: 2012-07-08 21:57 ======================= End Of Log ========================== |
11.07.2012, 22:31 | #37 |
/// Selecta Jahrusso | TR/ Agent.Gen Hy, Malware sehe ich da keine mehr, ergo ist es die Registry. Kannst du mir nochmal Schritt für Schritt erklären, wie du .exe Dateien starten kannst? 2. würde ich gerne wissen, mit welchem Browser du die Dateien herunter ladest und ob du es schon mal mit dem IE versucht hast. Ich werde mal mit Kollegen sprechen, wahrscheinlich seh ich nur den Wald vor lauter Bäumen nicht
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
12.07.2012, 06:55 | #38 |
| TR/ Agent.Gen ich arbeite da mit dem browser von t- online aber einfach nur deshalb weils einfacher ist den zu öffnen, da ich die verlinkung auf dem desktop habe ich klicke auf das icon am desktop dann geht das fenster "öffne mit" auf entweder seh ich das gesuchte zeichen und öffne damit oder ich gehe auf durchsuchen und suche dann den pfad bis zur exe datei ( den lass ich mir vorher im untermemü anzeigen, wenn es keine datei auf dem desktop ist ) und klicke dann da auf die exe. das funzt meistens aber nicht bei allen. das word z.b. kann ich so nicht öffnen da kommt immer " existiert nicht " ich kann aber z.b. ein gespeicherts dokument anklicken, dann geht das word auf. sachen wie wordpad oder paint kann ich garnicht öffnen auch nicht über dies umwege. ich habe ganz an anfang versucht eine sytemrückstellung zu machen, ging aber auchnicht da kam eine fehlermeldung von wegen progamm existiert nicht oder so. wenn du das genau wissen willst wie die fehlermeldung heisst muss ich das heute mittag nochmal machen bin gerade an einem anderen pc. achja und beim anklicken - durchsuchen, öffnen mit, kann man auch keinen haken setzen bei "datei immer mit diesem programm öffnen". wenn man die programme dann mal geöffnet hat, scheinen sie auch normal zu laufen zumindest ist bis jetzt nichts aufgefallen allerdings wird im moment auch nur das nötigste an diesem PC gemacht ich hoffe ich habs verständlich erklären können :-) |
12.07.2012, 15:59 | #39 |
/// Selecta Jahrusso | TR/ Agent.Gen Hast du eine Windows Disk ? Ich glaube, eine Reparaturinstallation ist hier noch das einzige, was hilft.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
13.07.2012, 07:05 | #40 |
| TR/ Agent.Gen Guten morgen ich habe eine Application & Support-Disc und 1 Recovery Disc |
13.07.2012, 07:47 | #41 |
/// Selecta Jahrusso | TR/ Agent.Gen Hy, Mir macht der Dateityp der Files etwas Kopfweh. Da steht EXE-Datei statt Anwendung. Ich sehe aber, dass nur die Heruntergeladenen Dateien auf deinem Desktop Weiß sind. Wie sieht dass denn mit bestehenden Dateien aus ?
Code:
ATTFilter /md5start pbrush.exe explorer.exe /md5stop
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
13.07.2012, 08:24 | #42 |
| TR/ Agent.Gen ich kann OTL nicht als admin öffnen diese option gibt es bei mir nicht es ist bei allen programmen so ich kann sie nur öffnen wenn ich mir den weg zur exe. suche und dann wieder über öffnen mit und dann wieder den weg ausser wenn ich z.b. worddokument das ich abgespeichert habe öffnen möchte dann ist das kein problem klick und word geht auf, wenn ich aber auf word direkt gehe dann findet er den pfad nicht genauso mit paint und den anderen programmen ich habe eben festgestellt das mir auf ganz viele sachen der zugriff verweigert wird unter anderem auch auf die eigenen daten es ist bei allen nutzern ein schloss davor. OTL Logfile: Code:
ATTFilter OTL logfile created on: 13.07.2012 09:35:02 - Run 5 OTL by OldTimer - Version 3.2.53.1 Folder = C:\Users\HOLGER\Desktop Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,25 Gb Total Physical Memory | 2,02 Gb Available Physical Memory | 62,31% Memory free 6,50 Gb Paging File | 5,32 Gb Available in Paging File | 81,82% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 910,41 Gb Total Space | 818,41 Gb Free Space | 89,89% Space Free | Partition Type: NTFS Drive D: | 20,00 Gb Total Space | 10,00 Gb Free Space | 50,01% Space Free | Partition Type: NTFS Computer Name: HOLGER-PC | User Name: HOLGER | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days ========== Custom Scans ========== < MD5 for: EXPLORER.EXE > [2011.02.26 07:19:21 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=0FB9C74046656D1579A64660AD67B746 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.21669_none_54149f9ef14031fc\explorer.exe [2009.07.14 03:14:20 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=15BC38A7492BEFE831966ADB477CF76F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe [2011.02.26 07:51:13 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=255CF508D7CFB10E0794D6AC93280BD8 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20910_none_525b5180f3f95373\explorer.exe [2009.10.31 07:45:39 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=2626FC9755BE22F805D3CFA0CE3EE727 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16450_none_51a66d6ddafc2ed1\explorer.exe [2011.02.26 07:33:07 | 002,614,784 | ---- | M] (Microsoft Corporation) MD5=2AF58D15EDC06EC6FDACCE1F19482BBF -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16768_none_51a3a583dafd0cef\explorer.exe [2010.11.20 14:17:09 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=40D777B7A95E00593EB1568C68514493 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17514_none_53bc10fdd7fe87ca\explorer.exe [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=8B88EBBB05A0E56B7DCC708498C02B3E -- C:\Windows\erdnt\cache\explorer.exe [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=8B88EBBB05A0E56B7DCC708498C02B3E -- C:\Windows\explorer.exe [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) MD5=8B88EBBB05A0E56B7DCC708498C02B3E -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7601.17567_none_5389023fd8245f84\explorer.exe [2009.08.03 07:49:47 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=9FF6C4C91A3711C0A3B18F87B08B518D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20500_none_526619d4f3f142e6\explorer.exe [2009.08.03 07:35:50 | 002,613,248 | ---- | M] (Microsoft Corporation) MD5=B95EEB0F4E5EFBF1038A35B3351CF047 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16404_none_51e07e31dad00878\explorer.exe [2009.10.31 08:00:51 | 002,614,272 | ---- | M] (Microsoft Corporation) MD5=C76153C7ECA00FA852BB0C193378F917 -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.20563_none_52283b2af41f3691\explorer.exe < > < End of report > ich melde mich hiermit übers wochenende ab, bin ab sonntagabend wieder da :-) |
14.07.2012, 13:01 | #43 | |
/// Selecta Jahrusso | TR/ Agent.GenZitat:
Ich geh mich jetzt mal mit ein Paar Experts unterhalten. Stell dich schon mal auf eine Neuinstallation ein.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
14.07.2012, 13:59 | #44 |
/// Selecta Jahrusso | TR/ Agent.Gen Versuch mal bitte folgendes. Downloade dir bitte die angehängte look.bat auf deinem Desktop. Rechtsklick --> Als Admin ausführen. Dies wird eine look.txt auf deinem Desktop erstellen. Hänge diese bitte in deiner nächsten Antwort an.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie Geändert von Larusso (14.07.2012 um 20:11 Uhr) |
15.07.2012, 20:39 | #45 |
| TR/ Agent.Gen SteelWerX Registry Console Tool 2.0 Written by Bobbi Flekman 2006 (C) HKEY_LOCAL_MACHINE\software\classes\.exe <NO NAME> REG_SZ exefile Content Type REG_SZ application/x-msdownload HKEY_LOCAL_MACHINE\software\classes\.exe\PersistentHandler <NO NAME> REG_SZ {098f2470-bae0-11cd-b579-08002b30bfeb} ...... SteelWerX Registry Console Tool 2.0 Written by Bobbi Flekman 2006 (C) HKEY_LOCAL_MACHINE\software\classes\exefile <NO NAME> REG_SZ Application EditFlags REG_BINARY 38070000 FriendlyTypeName REG_EXPAND_SZ @%SystemRoot%\System32\shell32.dll,-10156 HKEY_LOCAL_MACHINE\software\classes\exefile\DefaultIcon <NO NAME> REG_SZ %1 HKEY_LOCAL_MACHINE\software\classes\exefile\shell HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open EditFlags REG_BINARY 00000000 HKEY_LOCAL_MACHINE\software\classes\exefile\shell\open\command <NO NAME> REG_EXPAND_SZ "%1" %* IsolatedCommand REG_SZ "%1" %* HKEY_LOCAL_MACHINE\software\classes\exefile\shell\runas HasLUAShield REG_SZ HKEY_LOCAL_MACHINE\software\classes\exefile\shell\runas\command <NO NAME> REG_SZ "%1" %* IsolatedCommand REG_SZ "%1" %* HKEY_LOCAL_MACHINE\software\classes\exefile\shell\runasuser <NO NAME> REG_SZ @shell32.dll,-50944 Extended REG_SZ SuppressionPolicyEx REG_SZ {F211AA05-D4DF-4370-A2A0-9F19C09756A7} HKEY_LOCAL_MACHINE\software\classes\exefile\shell\runasuser\command DelegateExecute REG_SZ {ea72d00e-4960-42fa-ba92-7792a7944c1d} HKEY_LOCAL_MACHINE\software\classes\exefile\shellex HKEY_LOCAL_MACHINE\software\classes\exefile\shellex\ContextMenuHandlers <NO NAME> REG_SZ Compatibility HKEY_LOCAL_MACHINE\software\classes\exefile\shellex\ContextMenuHandlers\Compatibility <NO NAME> REG_SZ {1d27f844-3a1f-4410-85ac-14651078412d} HKEY_LOCAL_MACHINE\software\classes\exefile\shellex\DropHandler <NO NAME> REG_SZ {86C86720-42A0-1069-A2E8-08002B30309D} HKEY_LOCAL_MACHINE\software\classes\exefile\shellex\PropertySheetHandlers HKEY_LOCAL_MACHINE\software\classes\exefile\shellex\PropertySheetHandlers\PifProps <NO NAME> REG_SZ {86F19A00-42A0-1069-A2E9-08002B30309D} HKEY_LOCAL_MACHINE\software\classes\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page <NO NAME> REG_SZ {513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8} ..... SteelWerX Registry Console Tool 2.0 Written by Bobbi Flekman 2006 (C) HKEY_CLASSES_ROOT\exefile <NO NAME> REG_SZ Application EditFlags REG_BINARY 38070000 FriendlyTypeName REG_EXPAND_SZ @%SystemRoot%\System32\shell32.dll,-10156 HKEY_CLASSES_ROOT\exefile\DefaultIcon HKEY_CLASSES_ROOT\exefile\shell HKEY_CLASSES_ROOT\exefile\shellex ALLUSERSPROFILE=C:\ProgramData APPDATA=C:\Users\HOLGER\AppData\Roaming CommonProgramFiles=C:\Program Files\Common Files COMPUTERNAME=HOLGER-PC ComSpec=C:\Windows\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Users\HOLGER LOCALAPPDATA=C:\Users\HOLGER\AppData\Local LOGONSERVER=\\HOLGER-PC NUMBER_OF_PROCESSORS=2 OS=Windows_NT Path=C:\Windows\system32;C:\Windows;C:\Windows\system32\wbem;C:\Program Files\NVIDIA Corporation\PhysX\Common;C:\Program Files\Common Files\Microsoft Shared\Windows Live;C:\Windows\System32\WindowsPowerShell\v1.0;C:\Program Files\T-Online\T-Online_Software_6\Basis-Software\Basis2;C:\Program Files\Samsung\Samsung PC Studio 3 PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 23 Stepping 10, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=170a ProgramData=C:\ProgramData ProgramFiles=C:\Program Files PROMPT=$P$G PSModulePath=C:\Windows\system32\WindowsPowerShell\v1.0\Modules\ PUBLIC=C:\Users\Public SystemDrive=C: SystemRoot=C:\Windows TEMP=C:\Users\HOLGER\AppData\Local\Temp TMP=C:\Users\HOLGER\AppData\Local\Temp TouchAppsTargetDir=C:\Program Files\Microsoft Touch Pack for Windows 7\ USERDOMAIN=HOLGER-PC USERNAME=HOLGER USERPROFILE=C:\Users\HOLGER windir=C:\Windows |