| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Neuer GVU-Trojaner, Ähnlich wie 2.04!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.07.2012, 18:15
| #1 |
 |  Neuer GVU-Trojaner, Ähnlich wie 2.04! Hallo Zusammen, auch ich habe mir den GVU-Trojaner eingefangen. Es sieht aus wie der Trojaner 2.04 allerdings mit einem Web-Fenster auf der rechten Seite. Wenn ich den Rechner startet kann ich erstmal arbeiten, wenn ich ins Internet möchte sperrt er den Rechner. Wenn ich den restart -taste drücke und den Restart abbreche kann ich wieder ins internet. Der Task-Manager geht aber nicht an Ich habe Avira sowie Spyboot und Zonelabs auf meinem Rechner. Ich habe den Rechner Scannen lassen. Weder Avira noch Spyboot haben was erkannt. Ich habe die Kaspersky Rescue Disk versucht. Der hat aber die angegebenen Begriffe in der registry nicht gefunden. Ich habe jetzt Malwarebytes Anti-Malware gestartet. Der hat jetzt was gefunden. Anbei wie auf der Seite beschrieben die OTL-TXT und die Extra.txt Vielen Dank im voraus an alle. Die OTL-TXT:OTL Logfile: Code:
ATTFilter OTL logfile created on: 06.07.2012 19:44:33 - Run 2 OTL by OldTimer - Version 3.2.53.1 Folder = H:\Dokumente und Einstellungen\xxxx\Desktop Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,24 Gb Total Physical Memory | 2,25 Gb Available Physical Memory | 69,38% Memory free 5,09 Gb Paging File | 4,03 Gb Available in Paging File | 79,35% Paging File free Paging file location(s): H:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = H: | %SystemRoot% = H:\WINDOWS | %ProgramFiles% = H:\Programme Drive D: | 264,60 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Drive H: | 465,75 Gb Total Space | 430,51 Gb Free Space | 92,43% Space Free | Partition Type: NTFS Drive I: | 3,73 Gb Total Space | 2,03 Gb Free Space | 54,52% Space Free | Partition Type: FAT32 Computer Name: xxxx | User Name: xxxx | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.07.06 19:25:28 | 000,595,968 | ---- | M] (OldTimer Tools) -- H:\Dokumente und Einstellungen\xxxx\Desktop\OTL.exe PRC - [2012.07.01 23:46:51 | 000,913,888 | ---- | M] (Mozilla Corporation) -- H:\Programme\Mozilla Firefox\firefox.exe PRC - [2012.06.03 10:44:46 | 000,071,096 | ---- | M] () -- H:\Programme\CDBurnerXP\NMSAccessU.exe PRC - [2012.05.10 20:15:07 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- H:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2012.05.10 20:15:05 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- H:\Programme\Avira\AntiVir Desktop\avshadow.exe PRC - [2012.05.10 20:15:04 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- H:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2012.05.10 20:15:03 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- H:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) -- H:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe PRC - [2012.04.04 15:56:38 | 000,462,408 | ---- | M] (Malwarebytes Corporation) -- H:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe PRC - [2012.03.27 14:40:49 | 000,357,808 | ---- | M] (Adobe Systems Incorporated) -- H:\Programme\Adobe\Reader 9.0\Reader\AcroRd32.exe PRC - [2012.02.27 01:15:42 | 000,055,144 | ---- | M] (Apple Inc.) -- H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe PRC - [2012.01.18 14:02:04 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- H:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2011.11.09 21:05:42 | 002,420,616 | ---- | M] (Check Point Software Technologies LTD) -- H:\Programme\CheckPoint\ZoneAlarm\vsmon.exe PRC - [2011.11.09 21:01:38 | 000,073,360 | ---- | M] (Check Point Software Technologies LTD) -- H:\Programme\CheckPoint\ZoneAlarm\zatray.exe PRC - [2011.11.03 16:44:28 | 000,497,280 | ---- | M] (Check Point Software Technologies) -- H:\Programme\CheckPoint\ZAForceField\ISWSVC.exe PRC - [2010.09.16 22:04:06 | 001,164,584 | ---- | M] () -- H:\Programme\DivX\DivX Update\DivXUpdate.exe PRC - [2009.12.03 11:12:12 | 000,976,320 | ---- | M] (SEIKO EPSON CORPORATION) -- H:\Programme\Epson Software\Event Manager\EEventManager.exe PRC - [2009.08.06 17:59:52 | 000,381,440 | ---- | M] (shbox.de) -- H:\Programme\FreePDF_XP\fpassist.exe PRC - [2009.05.14 18:07:14 | 000,759,048 | ---- | M] (ABBYY) -- H:\Programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe PRC - [2009.03.17 14:24:06 | 000,161,632 | ---- | M] (Microsoft Corporation) -- H:\Programme\Microsoft LifeCam\MSCamS32.exe PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- H:\Programme\Spybot - Search & Destroy\TeaTimer.exe PRC - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () -- H:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- H:\WINDOWS\explorer.exe PRC - [2007.11.09 05:33:34 | 005,050,368 | ---- | M] (Arcor AG & Co. KG) -- H:\Programme\Arcor\Arcor Wlan-Monitor 1.0\ArcorWlanUtility.exe PRC - [2007.08.21 20:02:36 | 000,072,240 | ---- | M] (VMware, Inc.) -- H:\Programme\VMware\VMware Workstation\vmware-tray.exe PRC - [2007.08.21 20:02:22 | 000,121,392 | ---- | M] (VMware, Inc.) -- H:\WINDOWS\system32\vmnetdhcp.exe PRC - [2007.08.21 20:02:10 | 000,150,064 | ---- | M] (VMware, Inc.) -- H:\WINDOWS\system32\vmnat.exe PRC - [2007.08.21 20:02:10 | 000,109,104 | ---- | M] (VMware, Inc.) -- H:\Programme\VMware\VMware Workstation\vmware-authd.exe PRC - [2007.08.21 20:01:56 | 000,055,856 | ---- | M] (VMware, Inc.) -- H:\Programme\VMware\VMware Workstation\hqtray.exe PRC - [2007.03.23 10:02:52 | 000,269,104 | ---- | M] (VMware, Inc.) -- H:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe ========== Modules (No Company Name) ========== MOD - [2012.07.06 15:24:25 | 000,218,624 | ---- | M] () -- H:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Temp\glom0_og.exe MOD - [2012.07.01 23:46:50 | 002,042,848 | ---- | M] () -- H:\Programme\Mozilla Firefox\mozjs.dll MOD - [2012.06.03 10:44:46 | 000,071,096 | ---- | M] () -- H:\Programme\CDBurnerXP\NMSAccessU.exe MOD - [2012.05.10 20:15:07 | 000,398,288 | ---- | M] () -- H:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2012.01.03 23:52:52 | 007,581,696 | ---- | M] () -- h:\Programme\Adobe\Reader 9.0\Reader\RdLang32.DEU MOD - [2011.11.03 16:28:56 | 000,225,280 | ---- | M] () -- H:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\npFFApi.dll MOD - [2011.06.24 22:56:36 | 000,087,328 | ---- | M] () -- H:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\zlib1.dll MOD - [2011.06.24 22:56:14 | 001,241,888 | ---- | M] () -- H:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\libxml2.dll MOD - [2010.09.16 22:04:50 | 000,095,528 | ---- | M] () -- H:\Programme\DivX\DivX Update\DivXUpdateCheck.dll MOD - [2010.09.16 22:04:06 | 001,164,584 | ---- | M] () -- H:\Programme\DivX\DivX Update\DivXUpdate.exe MOD - [2009.10.03 02:48:16 | 000,106,496 | ---- | M] () -- H:\Programme\Adobe\Reader 9.0\Reader\plug_ins\Escript.deu MOD - [2009.10.03 02:45:02 | 000,012,288 | ---- | M] () -- H:\Programme\Adobe\Reader 9.0\Reader\plug_ins\updater.DEU MOD - [2009.02.27 17:41:26 | 000,311,296 | ---- | M] () -- H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU MOD - [2009.02.27 17:40:12 | 001,712,128 | ---- | M] () -- H:\Programme\Adobe\Reader 9.0\Reader\plug_ins\Annots.DEU MOD - [2009.02.27 13:52:56 | 000,258,048 | ---- | M] () -- H:\Programme\Adobe\Reader 9.0\Reader\sqlite.dll MOD - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () -- H:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe MOD - [2008.09.16 20:18:06 | 000,132,608 | ---- | M] () -- H:\Programme\WinRAR\RarExt.dll MOD - [2008.04.14 14:00:00 | 000,014,336 | ---- | M] () -- H:\WINDOWS\system32\msdmo.dll MOD - [2007.11.05 17:46:54 | 000,233,472 | ---- | M] () -- H:\Programme\Arcor\Arcor Wlan-Monitor 1.0\ZydasUSBController.dll MOD - [2007.08.21 20:02:34 | 000,080,432 | ---- | M] () -- H:\Programme\VMware\VMware Workstation\zlib1.dll MOD - [2007.08.21 20:02:18 | 000,970,288 | ---- | M] () -- H:\Programme\VMware\VMware Workstation\libxml2.dll MOD - [2007.03.23 10:03:02 | 000,834,352 | ---- | M] () -- H:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\libeay32.dll MOD - [2007.03.23 10:02:50 | 000,166,704 | ---- | M] () -- H:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\ssleay32.dll MOD - [2005.11.01 17:36:28 | 000,045,056 | ---- | M] () -- H:\Programme\Arcor\Arcor Wlan-Monitor 1.0\ZDWlan.dll MOD - [2005.09.21 21:39:52 | 000,212,992 | ---- | M] () -- H:\Programme\Arcor\Arcor Wlan-Monitor 1.0\dot1x_dll.dll MOD - [2005.01.06 18:33:30 | 000,116,224 | ---- | M] () -- H:\WINDOWS\system32\redmonnt.dll MOD - [2004.03.05 15:00:58 | 000,155,648 | ---- | M] () -- H:\Programme\Arcor\Arcor Wlan-Monitor 1.0\ssleay32.dll MOD - [2004.03.05 15:00:26 | 000,827,392 | ---- | M] () -- H:\Programme\Arcor\Arcor Wlan-Monitor 1.0\libeay32.dll ========== Win32 Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - [2012.07.01 23:46:51 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- H:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.06.03 10:44:46 | 000,071,096 | ---- | M] () [Auto | Running] -- H:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess) SRV - [2012.05.10 20:15:07 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- H:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.05.10 20:15:04 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- H:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2012.04.04 15:56:40 | 000,654,408 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- H:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2012.02.27 01:15:42 | 000,055,144 | ---- | M] (Apple Inc.) [Auto | Running] -- H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device) SRV - [2011.11.09 21:05:42 | 002,420,616 | ---- | M] (Check Point Software Technologies LTD) [Auto | Running] -- H:\Programme\CheckPoint\ZoneAlarm\vsmon.exe -- (vsmon) SRV - [2011.11.03 16:44:28 | 000,497,280 | ---- | M] (Check Point Software Technologies) [Auto | Running] -- H:\Programme\CheckPoint\ZAForceField\ISWSVC.exe -- (IswSvc) SRV - [2009.05.14 18:07:14 | 000,759,048 | ---- | M] (ABBYY) [Auto | Running] -- H:\Programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe -- (ABBYY.Licensing.FineReader.Sprint.9.0) SRV - [2009.03.17 14:24:06 | 000,161,632 | ---- | M] (Microsoft Corporation) [Auto | Running] -- H:\Programme\Microsoft LifeCam\MSCamS32.exe -- (MSCamSvc) SRV - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () [Auto | Running] -- H:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe -- (AAV UpdateService) SRV - [2007.08.21 20:02:22 | 000,121,392 | ---- | M] (VMware, Inc.) [Auto | Running] -- H:\WINDOWS\system32\vmnetdhcp.exe -- (VMnetDHCP) SRV - [2007.08.21 20:02:10 | 000,150,064 | ---- | M] (VMware, Inc.) [Auto | Running] -- H:\WINDOWS\system32\vmnat.exe -- (VMware NAT Service) SRV - [2007.08.21 20:02:10 | 000,109,104 | ---- | M] (VMware, Inc.) [Auto | Running] -- H:\Programme\VMware\VMware Workstation\vmware-authd.exe -- (VMAuthdService) SRV - [2007.08.07 12:34:56 | 000,186,928 | ---- | M] (VMware, Inc.) [On_Demand | Stopped] -- H:\Programme\VMware\VMware Workstation\vmware-ufad.exe -- (ufad-ws60) SRV - [2007.03.23 10:02:52 | 000,269,104 | ---- | M] (VMware, Inc.) [Auto | Running] -- H:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe -- (vmount2) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - File not found [Kernel | Boot | Stopped] -- -- (cerc6) DRV - [2012.07.06 19:16:43 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- H:\WINDOWS\system32\drivers\jhhje.sys -- (kjhf) DRV - [2012.06.03 10:44:46 | 000,005,504 | ---- | M] () [File_System | Auto | Running] -- H:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen) DRV - [2012.05.10 20:15:07 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- H:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.05.10 20:15:07 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- H:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.04.04 15:56:40 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- H:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2011.11.09 21:01:38 | 000,525,840 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- H:\WINDOWS\system32\vsdatant.sys -- (Vsdatant) DRV - [2011.11.03 16:44:20 | 000,027,016 | ---- | M] (Check Point Software Technologies) [Kernel | Auto | Running] -- H:\Programme\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL) DRV - [2011.09.16 16:08:07 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- H:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2009.10.08 16:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- H:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2009.03.17 14:24:06 | 000,030,560 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\drivers\nx6000.sys -- (MSHUSBVideo) DRV - [2008.10.31 11:38:08 | 004,942,336 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2008.08.07 19:14:56 | 000,111,360 | R--- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp) DRV - [2007.08.21 20:02:46 | 000,034,864 | ---- | M] (VMware, Inc.) [Kernel | Auto | Running] -- H:\WINDOWS\system32\drivers\hcmon.sys -- (hcmon) DRV - [2007.08.21 20:02:44 | 000,025,008 | ---- | M] (VMware, Inc.) [Kernel | Auto | Running] -- H:\WINDOWS\system32\drivers\vmnetuserif.sys -- (VMnetuserif) DRV - [2007.08.21 20:02:44 | 000,020,912 | ---- | M] (VMware, Inc.) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\VMkbd.sys -- (vmkbd) DRV - [2007.08.21 20:02:42 | 000,924,976 | ---- | M] (VMware, Inc.) [Kernel | Auto | Running] -- H:\WINDOWS\system32\drivers\vmx86.sys -- (vmx86) DRV - [2007.08.21 20:02:06 | 000,015,920 | ---- | M] (VMware, Inc.) [Kernel | Auto | Running] -- H:\WINDOWS\system32\drivers\vmparport.sys -- (VMparport) DRV - [2007.08.21 20:01:30 | 000,028,592 | R--- | M] (VMware, Inc.) [Kernel | Auto | Running] -- H:\WINDOWS\system32\drivers\vmnetbridge.sys -- (VMnetBridge) DRV - [2007.08.21 20:01:30 | 000,016,816 | R--- | M] (VMware, Inc.) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\vmnetadapter.sys -- (VMnetAdapter) DRV - [2007.08.07 12:33:54 | 000,019,248 | ---- | M] (VMware, Inc.) [Kernel | Auto | Running] -- H:\Programme\VMware\VMware Workstation\vstor2-ws60.sys -- (vstor2-ws60) DRV - [2007.03.23 10:03:00 | 000,018,480 | ---- | M] (VMware, Inc.) [Kernel | Auto | Running] -- H:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vstor2.sys -- (vstor2) DRV - [2006.12.04 18:10:34 | 000,489,472 | ---- | M] (Arcor) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\ARWUSB.sys -- (WN4501HLFIR(Arcor)) Arcor-Easy Stick A 50 WLAN(Arcor) DRV - [2004.10.25 13:40:58 | 000,017,664 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Running] -- H:\WINDOWS\system32\drivers\ZDPSp50.sys -- (ZDPSp50) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - H:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com) IE - HKCU\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - H:\Programme\Winload\prxtbWin1.dll (Conduit Ltd.) IE - HKCU\..\URLSearchHook: {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - H:\Programme\ZoneAlarm-Sicherheit\prxtbZone.dll (Conduit Ltd.) IE - HKCU\..\SearchScopes,DefaultScope = {78703713-EDB4-43A6-83E8-9F0C3126D524} IE - HKCU\..\SearchScopes\{78703713-EDB4-43A6-83E8-9F0C3126D524}: "URL" = hxxp://www.google.de/search?q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2613550 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local ========== FireFox ========== FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de" FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: H:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_262.dll () FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: H:\Programme\iTunes\Mozilla Plugins\npitunes.dll () FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: H:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: H:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: H:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll File not found FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: H:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: h:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\Adobe Reader: H:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: H:\Programme\CheckPoint\ZAForceField\TrustChecker [2012.03.11 00:26:11 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Components: H:\Programme\Mozilla Firefox\components [2012.07.02 00:04:31 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0.1\extensions\\Plugins: H:\Programme\Mozilla Firefox\plugins [2012.07.02 00:04:31 | 000,000,000 | ---D | M] [2009.10.18 00:52:38 | 000,000,000 | ---D | M] (No name found) -- H:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Mozilla\Extensions [2012.06.30 09:47:51 | 000,000,000 | ---D | M] (No name found) -- H:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\nqzdy8wz.default\extensions [2012.06.01 23:34:19 | 000,000,000 | ---D | M] (ZoneAlarm-Sicherheit Community Toolbar) -- H:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\nqzdy8wz.default\extensions\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} [2012.05.09 13:08:16 | 000,000,000 | ---D | M] (No name found) -- H:\Programme\Mozilla Firefox\extensions [2012.02.25 12:53:27 | 000,000,000 | ---D | M] (Skype Click to Call) -- H:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} [2012.07.01 23:46:51 | 000,085,472 | ---- | M] (Mozilla Foundation) -- H:\Programme\mozilla firefox\components\browsercomps.dll [2012.04.02 19:27:39 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- H:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2012.02.29 21:32:38 | 000,001,392 | ---- | M] () -- H:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.02.29 21:32:38 | 000,002,252 | ---- | M] () -- H:\Programme\mozilla firefox\searchplugins\bing.xml [2012.02.29 21:32:38 | 000,001,153 | ---- | M] () -- H:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.02.29 21:32:38 | 000,006,805 | ---- | M] () -- H:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.02.29 21:32:38 | 000,001,178 | ---- | M] () -- H:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.02.29 21:32:38 | 000,001,105 | ---- | M] () -- H:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2012.01.14 14:31:50 | 000,440,353 | ---- | M]) - H:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 15141 more lines... O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - H:\Programme\Winload\prxtbWin1.dll (Conduit Ltd.) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - H:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - H:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.) O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - H:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com) O2 - BHO: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - H:\Programme\ZoneAlarm-Sicherheit\prxtbZone.dll (Conduit Ltd.) O2 - BHO: (Yontoo Layers) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - H:\Programme\Yontoo Layers Runtime\YontooIEClient.dll (Yontoo LLC) O3 - HKLM\..\Toolbar: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - H:\Programme\Winload\prxtbWin1.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - H:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.) O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - H:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3 - HKLM\..\Toolbar: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - H:\Programme\ZoneAlarm-Sicherheit\prxtbZone.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\WebBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - H:\Programme\Winload\prxtbWin1.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Programme\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - H:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies) O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm-Sicherheit Toolbar) - {FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - H:\Programme\ZoneAlarm-Sicherheit\prxtbZone.dll (Conduit Ltd.) O4 - HKLM..\Run: [Adobe ARM] H:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [Alcmtr] H:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [AppleSyncNotifier] H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe (Apple Inc.) O4 - HKLM..\Run: [APSDaemon] H:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [avgnt] H:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [DivXUpdate] H:\Programme\DivX\DivX Update\DivXUpdate.exe () O4 - HKLM..\Run: [EEventManager] H:\Programme\Epson Software\Event Manager\EEventManager.exe (SEIKO EPSON CORPORATION) O4 - HKLM..\Run: [FreePDF Assistant] H:\Programme\FreePDF_XP\fpassist.exe (shbox.de) O4 - HKLM..\Run: [ISW] H:\Programme\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies) O4 - HKLM..\Run: [LifeCam] H:\Programme\Microsoft LifeCam\LifeExp.exe (Microsoft Corporation) O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] H:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [SunJavaUpdateSched] H:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [VMware hqtray] H:\Programme\VMware\VMware Workstation\hqtray.exe (VMware, Inc.) O4 - HKLM..\Run: [vmware-tray] H:\Programme\VMware\VMware Workstation\vmware-tray.exe (VMware, Inc.) O4 - HKLM..\Run: [ZoneAlarm] H:\Programme\CheckPoint\ZoneAlarm\zatray.exe (Check Point Software Technologies LTD) O4 - HKCU..\Run: [EPSON SX125 Series] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIGGE.EXE (SEIKO EPSON CORPORATION) O4 - HKCU..\Run: [SpybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] H:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - Startup: H:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Arcor Wlan-Monitor 1.0.lnk = H:\Programme\Arcor\Arcor Wlan-Monitor 1.0\ArcorWlanUtility.exe (Arcor AG & Co. KG) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - H:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - H:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - H:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1251879778859 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{81704228-60C1-4C5B-8C75-BA89E7D4517D}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B92075BE-7551-449E-823D-CA1A9C88F820}: DhcpNameServer = 192.168.2.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - H:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - H:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.) O20 - HKLM Winlogon: Shell - (explorer.exe) - H:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (H:\WINDOWS\system32\userinit.exe) - H:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: H:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: H:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.07.06 19:58:04 | 000,000,000 | ---D | C] -- H:\Kaspersky Rescue Disk 10.0 [2012.07.06 19:31:14 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\xxxx\Eigene Dateien\trojaner [2012.07.06 19:23:54 | 000,595,968 | ---- | C] (OldTimer Tools) -- H:\Dokumente und Einstellungen\xxxx\Desktop\OTL.exe [2012.07.06 18:47:13 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Malwarebytes [2012.07.06 18:47:01 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.07.06 18:46:59 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- H:\WINDOWS\System32\drivers\mbam.sys [2012.07.06 18:46:59 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.07.06 18:46:58 | 000,000,000 | ---D | C] -- H:\Programme\Malwarebytes' Anti-Malware [2012.07.06 16:35:55 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2012.07.06 16:35:54 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Canneverbe Limited [2012.07.06 16:35:34 | 000,000,000 | ---D | C] -- H:\Programme\CDBurnerXP [2012.07.02 00:04:21 | 000,000,000 | ---D | C] -- H:\Dokumente und Einstellungen\All Users\Startmenü\Programme\QuickTime [2012.07.02 00:04:06 | 000,000,000 | ---D | C] -- H:\Programme\QuickTime [6 H:\WINDOWS\System32\*.tmp files -> H:\WINDOWS\System32\*.tmp -> ] [3 H:\WINDOWS\*.tmp files -> H:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.07.06 19:47:59 | 004,503,728 | ---- | M] () -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\go_0molg.pad [2012.07.06 19:34:10 | 000,302,592 | ---- | M] () -- H:\Dokumente und Einstellungen\xxxx\Desktop\c7r4mhcg.exe [2012.07.06 19:33:25 | 000,013,706 | ---- | M] () -- H:\WINDOWS\System32\wpa.dbl [2012.07.06 19:25:28 | 000,595,968 | ---- | M] (OldTimer Tools) -- H:\Dokumente und Einstellungen\xxxx\Desktop\OTL.exe [2012.07.06 19:23:18 | 000,000,000 | ---- | M] () -- H:\Dokumente und Einstellungen\xxxx\defogger_reenable [2012.07.06 19:16:43 | 000,054,016 | ---- | M] () -- H:\WINDOWS\System32\drivers\jhhje.sys [2012.07.06 19:01:00 | 000,000,224 | ---- | M] () -- H:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2012.07.06 18:47:01 | 000,000,756 | ---- | M] () -- H:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.07.06 18:16:51 | 000,002,048 | --S- | M] () -- H:\WINDOWS\bootstat.dat [2012.07.06 16:35:35 | 000,001,576 | ---- | M] () -- H:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk [2012.07.06 15:25:46 | 000,000,664 | ---- | M] () -- H:\WINDOWS\System32\d3d9caps.dat [2012.07.06 15:24:25 | 000,001,608 | ---- | M] () -- H:\Dokumente und Einstellungen\xxxx\Startmenü\Programme\Autostart\ctfmon.lnk [2012.07.02 00:04:21 | 000,001,584 | ---- | M] () -- H:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk [2012.07.01 23:59:35 | 000,001,846 | ---- | M] () -- H:\Dokumente und Einstellungen\All Users\Desktop\Safari.lnk [2012.06.15 20:51:28 | 000,119,744 | ---- | M] () -- H:\WINDOWS\System32\FNTCACHE.DAT [2012.06.15 20:49:57 | 000,451,636 | ---- | M] () -- H:\WINDOWS\System32\perfh007.dat [2012.06.15 20:49:57 | 000,435,522 | ---- | M] () -- H:\WINDOWS\System32\perfh009.dat [2012.06.15 20:49:57 | 000,081,602 | ---- | M] () -- H:\WINDOWS\System32\perfc007.dat [2012.06.15 20:49:57 | 000,069,004 | ---- | M] () -- H:\WINDOWS\System32\perfc009.dat [2012.06.15 20:46:44 | 000,001,374 | ---- | M] () -- H:\WINDOWS\imsins.BAK [6 H:\WINDOWS\System32\*.tmp files -> H:\WINDOWS\System32\*.tmp -> ] [3 H:\WINDOWS\*.tmp files -> H:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.07.06 19:34:10 | 000,302,592 | ---- | C] () -- H:\Dokumente und Einstellungen\xxxx\Desktop\c7r4mhcg.exe [2012.07.06 19:23:18 | 000,000,000 | ---- | C] () -- H:\Dokumente und Einstellungen\xxxx\defogger_reenable [2012.07.06 19:16:43 | 000,054,016 | ---- | C] () -- H:\WINDOWS\System32\drivers\jhhje.sys [2012.07.06 18:47:01 | 000,000,756 | ---- | C] () -- H:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.07.06 16:35:35 | 000,001,576 | ---- | C] () -- H:\Dokumente und Einstellungen\All Users\Desktop\CDBurnerXP.lnk [2012.07.06 16:35:35 | 000,001,520 | ---- | C] () -- H:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CDBurnerXP.lnk [2012.07.06 16:35:34 | 000,005,504 | ---- | C] () -- H:\WINDOWS\System32\drivers\StarOpen.sys [2012.07.06 15:25:46 | 000,000,664 | ---- | C] () -- H:\WINDOWS\System32\d3d9caps.dat [2012.07.06 15:24:25 | 004,503,728 | ---- | C] () -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\go_0molg.pad [2012.07.06 15:24:25 | 000,001,608 | ---- | C] () -- H:\Dokumente und Einstellungen\xxxx\Startmenü\Programme\Autostart\ctfmon.lnk [2012.07.02 00:04:21 | 000,001,584 | ---- | C] () -- H:\Dokumente und Einstellungen\All Users\Desktop\QuickTime Player.lnk [2012.02.16 23:43:04 | 000,003,072 | ---- | C] () -- H:\WINDOWS\System32\iacenc.dll [2011.06.27 20:58:54 | 000,000,484 | ---- | C] () -- H:\WINDOWS\SIERRA.INI [2011.01.03 00:58:41 | 000,000,000 | ---- | C] () -- H:\WINDOWS\EEventManager.INI [2010.12.15 21:12:33 | 000,000,056 | -H-- | C] () -- H:\WINDOWS\System32\ezsidmv.dat [2010.11.22 00:02:33 | 000,018,412 | -H-- | C] () -- H:\WINDOWS\System32\mlfcache.dat [2009.11.14 19:18:40 | 000,031,744 | ---- | C] () -- H:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini ========== LOP Check ========== [2012.04.08 13:37:45 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV [2012.07.06 16:35:55 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited [2011.11.21 22:15:22 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CheckPoint [2011.08.31 17:12:23 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON [2009.09.02 10:08:32 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF [2009.09.06 10:55:23 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier [2011.09.10 17:37:55 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tarma Installer [2010.12.31 14:36:19 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL [2010.11.21 23:18:21 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521} [2009.12.06 20:53:49 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\AskToolbar [2012.07.06 16:35:54 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Canneverbe Limited [2010.08.05 15:12:44 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\CheckPoint [2012.02.11 14:36:48 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\Epson [2009.09.02 09:32:22 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\OpenOffice.org [2012.07.06 15:25:05 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\PriceGong [2012.04.04 21:37:42 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\SAD-Office-Vorlagen [2012.04.04 21:35:36 | 000,000,000 | ---D | M] -- H:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\SAD-Shared [2012.07.06 19:01:00 | 000,000,224 | ---- | M] () -- H:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job ========== Purity Check ========== < End of report > Und die Extra.TXT:OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 06.07.2012 19:27:05 - Run 1
OTL by OldTimer - Version 3.2.53.1 Folder = H:\Dokumente und Einstellungen\xxxx\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
3,24 Gb Total Physical Memory | 2,07 Gb Available Physical Memory | 64,03% Memory free
5,09 Gb Paging File | 3,78 Gb Available in Paging File | 74,28% Paging File free
Paging file location(s): H:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = H: | %SystemRoot% = H:\WINDOWS | %ProgramFiles% = H:\Programme
Drive D: | 264,60 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive H: | 465,75 Gb Total Space | 430,65 Gb Free Space | 92,46% Space Free | Partition Type: NTFS
Drive I: | 3,73 Gb Total Space | 2,03 Gb Free Space | 54,52% Space Free | Partition Type: FAT32
Computer Name: xxxx | User Name: xxxx | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- H:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "H:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "H:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring" = 1
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{02E89EFC-7B07-4D5A-AA03-9EC0902914EE}" = VC 9.0 Runtime
"{03B8AA32-F23C-4178-B8E6-09ECD07EAA47}" = Epson Event Manager
"{0E64B098-8018-4256-BA23-C316A43AD9B0}" = QuickTime
"{13702021-43FB-480C-912F-D9B74A538288}" = OpenProj
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{195FF80D-6C1E-4B7A-A48E-45C0AEAC0F24}" = Microsoft LifeCam
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{22ECD529-F555-4014-BF5E-08456C9E6A6C}" = Arcor Wlan-Monitor 1.0
"{23B8A91D-680B-462B-87AD-3D70F7341731}" = iTunes
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
"{2B120B1D-1908-4FB3-8C9D-72128A74E80A}" = ZoneAlarm Security
"{32A3A4F4-B792-11D6-A78A-00B0D0160160}" = Java(TM) SE Development Kit 6 Update 16
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{39F58DDB-B2B8-4B86-AF20-4706A80EB30D}" = Epson Easy Photo Print 2
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{7B08D306-7266-4647-A926-2F78817ED1E0}" = Microsoft Corporation
"{7B63B2922B174135AFC0E1377DD81EC2}" =
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{8D1E61D1-1395-4E97-997F-D002DB3A5074}" = OpenOffice.org 3.2
"{926BD0E8-24A3-41D2-AF9B-340F1A37ED12}" = MobileMe Control Panel
"{926C96FB-9D0A-4504-8000-C6D3A4A3118E}" = Java DB 10.4.2.1
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A386CC19-1E79-4D4C-A54B-C8747871E4AD}" = ZoneAlarm Firewall
"{A3FF5CB2-FB35-4658-8751-9EDE1D65B3AA}" = VMware Workstation
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.1 - Deutsch
"{AFA42FE1-A5C3-485F-9180-BFCF5BF1F1C3}" = AAVUpdateManager
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C6579A65-9CAE-4B31-8B6B-3306E0630A66}" = Apple Software Update
"{C779648B-410E-4BBA-B75B-5815BCEFE71D}" = Safari
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CCD2BAD2-0919-40CB-80CC-E9538B0E4C2E}" = Steuer-Spar-Erklärung 2012
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{EB879750-CCBD-4013-BFD5-0294D4DA5BD0}" = Apple Application Support
"{EFC04D3F-A152-47E7-8517-EE0F6201AFEF}" = Apple Mobile Device Support
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F9000000-0018-0000-0000-074957833700}" = ABBYY FineReader 9.0 Sprint
"ABBYY FineReader 9.0 Sprint" = ABBYY FineReader 9.0 Sprint
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DivX Setup.divx.com" = DivX-Setup
"EPSON Scanner" = EPSON Scan
"EPSON SX125 Series" = Druckerdeinstallation für EPSON SX125 Series
"EPSON SX125 Series Manual" = EPSON SX125 Series Handbuch
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"FreePDF_XP" = FreePDF (Remove only)
"GPL Ghostscript 8.70" = GPL Ghostscript 8.70
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie8" = Windows Internet Explorer 8
"InstallShield_{22ECD529-F555-4014-BF5E-08456C9E6A6C}" = Arcor Wlan-Monitor 1.0
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 13.0.1 (x86 de)" = Mozilla Firefox 13.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MSNINST" = MSN
"Nano" = Nano 1.1.1
"nbi-nb-base-6.7.1.0.0" = NetBeans IDE 6.7.1
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Note" = Note
"Noten-Übung" = Noten-Übung
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"SSC Service Utility_is1" = SSC Service Utility v3.10
"VLC media player" = VLC media player 1.1.5
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Winload Toolbar" = Winload Toolbar
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"ZoneAlarm Free" = ZoneAlarm Free
"ZoneAlarm Toolbar" = ZoneAlarm Toolbar
"ZoneAlarm-Sicherheit Toolbar" = ZoneAlarm-Sicherheit Toolbar
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 09.05.2012 04:16:56 | Computer Name = xxxx | Source = Bonjour Service | ID = 100
Description = mDNS_Execute: SendResponses didn't send all its responses; will try
again in one second
Error - 09.05.2012 04:16:57 | Computer Name = xxxx | Source = Bonjour Service | ID = 100
Description = mDNS_Execute: SendResponses didn't send all its responses; will try
again in one second
Error - 09.05.2012 04:16:58 | Computer Name = xxxx | Source = Bonjour Service | ID = 100
Description = mDNS_Execute: SendResponses didn't send all its responses; will try
again in one second
Error - 09.05.2012 04:16:59 | Computer Name = xxxx | Source = Bonjour Service | ID = 100
Description = mDNS_Execute: SendResponses didn't send all its responses; will try
again in one second
Error - 09.05.2012 04:17:00 | Computer Name = xxxx | Source = Bonjour Service | ID = 100
Description = mDNS_Execute: SendResponses didn't send all its responses; will try
again in one second
Error - 09.05.2012 04:17:01 | Computer Name = xxxx | Source = Bonjour Service | ID = 100
Description = mDNS_Execute: SendResponses didn't send all its responses; will try
again in one second
Error - 09.05.2012 04:42:53 | Computer Name = xxxx | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 09.05.2012 04:42:53 | Computer Name = xxxx | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 06.07.2012 10:34:37 | Computer Name = xxxx | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
Error - 06.07.2012 10:34:37 | Computer Name = xxxx | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
in der signierten Datei. .
[ System Events ]
Error - 06.07.2012 12:20:29 | Computer Name = xxxx | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek FLASH Drive SM_USB20 USB Device nicht laden.
Error - 06.07.2012 12:20:31 | Computer Name = xxxx | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek FLASH Drive SM_USB20 USB Device nicht laden.
Error - 06.07.2012 12:28:18 | Computer Name = xxxx | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek FLASH Drive SM_USB20 USB Device nicht laden.
Error - 06.07.2012 12:28:20 | Computer Name = xxxx | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek FLASH Drive SM_USB20 USB Device nicht laden.
Error - 06.07.2012 12:29:22 | Computer Name = xxxx | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek FLASH Drive SM_USB20 USB Device nicht laden.
Error - 06.07.2012 12:29:25 | Computer Name = xxxx | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek FLASH Drive SM_USB20 USB Device nicht laden.
Error - 06.07.2012 12:45:07 | Computer Name = xxxx | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek FLASH Drive SM_USB20 USB Device nicht laden.
Error - 06.07.2012 12:45:09 | Computer Name = xxxx | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek FLASH Drive SM_USB20 USB Device nicht laden.
Error - 06.07.2012 13:04:11 | Computer Name = xxxx | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek FLASH Drive SM_USB20 USB Device nicht laden.
Error - 06.07.2012 13:04:13 | Computer Name = xxxx | Source = Wechselmediendienst | ID = 262255
Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der
Bibliothek FLASH Drive SM_USB20 USB Device nicht laden.
< End of report >
Geändert von gizem (06.07.2012 um 18:56 Uhr) |
|
06.07.2012, 18:43
| #2 |
| /// Malware-holic   | Neuer GVU-Trojaner, Ähnlich wie 2.04! hi
__________________und die malwarefundmeldung sollen wir erraten, oder postest du das log, würde dann um einiges einfacher gehen :-)
__________________ |
|
06.07.2012, 18:59
| #3 |
| | Neuer GVU-Trojaner, Ähnlich wie 2.04! Sorry,
__________________bin auch noch das erste mal in einem Forum. anbei die Malware logfile. Ich habe die Malware erst mal in quarantäne geschoben. Vielen Dank im voraus. Malwarebytes Anti-Malware (Test) 1.61.0.1400 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: v2012.07.06.09 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 xxxx :: xxxxxx [Administrator] Schutz: Aktiviert 06.07.2012 18:49:26 mbam-log-2012-07-06 (19-16-14).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 219596 Laufzeit: 9 Minute(n), 40 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 H:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\glom0_og.exe (Spyware.Zbot.DG) -> Keine Aktion durchgeführt. (Ende) |
|
06.07.2012, 19:01
| #4 |
| /// Malware-holic | Neuer GVU-Trojaner, Ähnlich wie 2.04! hi, war auch nicht bös gemeint. für eine weitere analyse benötige ich mal folgendes. C:\Dokumente und Einstellungen\name\Anwendungsdaten\Sun\Java\Deployment\cache dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte Trojaner-Board Upload Channel wenn erledigt, bitte melden
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
06.07.2012, 19:05
| #6 |
| /// Malware-holic | Neuer GVU-Trojaner, Ähnlich wie 2.04! mach bitte das was hier steht.
__________________ --> Neuer GVU-Trojaner, Ähnlich wie 2.04! |
|
06.07.2012, 19:35
| #7 |
| | Neuer GVU-Trojaner, Ähnlich wie 2.04! Hi marcusg, Habe aber keinen Ordner 'Anwendungsdaten' bzw. ich sehe es nicht. Nochmals sorry, lesen hilft manchmal. Habe die Ordner eingeblendet, kommt sofort Die Datei ist zu groß glaube ich. Ich habe die aktuellsten Dateien von heute hochgeladen. Reicht das aus? |
|
06.07.2012, 20:22
| #8 |
| /// Malware-holic | Neuer GVU-Trojaner, Ähnlich wie 2.04! File-Upload.net - Ihr kostenloser File Hoster! dort hochladen, link als private nachicht an mich
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
08.07.2012, 14:57
| #9 |
| | Neuer GVU-Trojaner, Ähnlich wie 2.04! Hi marcusg, ist hochgeladen und den Link habe ich dir gesendet. P.s. Nachdem ich den Scan über Malwarebytes gemacht hatte und den Trojaner in die quarantäne geschoben habe kommt die Sperre nicht mehr. Dafür habe ich jetzt nach dem hochfahren folgende Meldung. RunDLL Fehler beim Laden von C:\dokument~1\XXXX\Lokale~1\Temp\glom0_og.exe Das angegebene Modul wurde nicht gefunden vielen Dank im voraus und ein schönes Wochenende:-) |
|
10.07.2012, 21:23
| #10 | |
| /// Malware-holic | Neuer GVU-Trojaner, Ähnlich wie 2.04! danke Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
11.07.2012, 19:22
| #11 |
| | Neuer GVU-Trojaner, Ähnlich wie 2.04! Hallo Marcusg, habe Combofix geladen, den Anweisungen gefolgt und durchlaufen lassen. Eine ganze Nacht und halben Tag. Avira und andere Programme habe ich abgeschaltet. Danach ist der Rechner abgestürzt. Leider habe ich bei mir auf H keine Combofix.txt erhalten. Komme auch mit dem Rechner nicht mehr ins Internet. Fehlermeldung ist auch noch da. Soll ich es nochmal durchlaufen lassen? Ist das normal das es so lange dauert? Melde mich jetzt von einem zweiten Rechner aus. |
|
11.07.2012, 19:25
| #12 |
| /// Malware-holic | Neuer GVU-Trojaner, Ähnlich wie 2.04! poste die fehlermeldung bitte
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
11.07.2012, 20:08
| #13 |
| | Neuer GVU-Trojaner, Ähnlich wie 2.04! Ich meine die Meldung mit der Rundll RunDLL Fehler beim Laden von C:\dokument~1\XXXX\Lokale~1\Temp\glom0_og.exe Das angegebene Modul wurde nicht gefunden |
|
14.07.2012, 12:44
| #14 |
| /// Malware-holic | Neuer GVU-Trojaner, Ähnlich wie 2.04! starte in den abgesicherten modus mit netzwerk, geht bei pc start über f8 und versuche combofix erneut
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
15.07.2012, 11:34
| #15 |
| | Neuer GVU-Trojaner, Ähnlich wie 2.04! Hallo marcusg, vielen Dank nochmal für deine Hilfe:-). jetzt hat es auch geklappt Code:
ATTFilter ComboFix 12-07-10.01 - XXXX 15.07.2012 11:42:10.1.2 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3318.2880 [GMT 2:00]
ausgeführt von:: h:\dokumente und einstellungen\XXXX\Desktop\ComboFix.exe
AV: Avira Desktop *Enabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: ZoneAlarm Free Firewall *Enabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\1.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\2260.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\a.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\b.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\c.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\d.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\e.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\f.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\g.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\h.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\i.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\j.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\k.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\l.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\m.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\n.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\o.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\p.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\q.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\r.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\s.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\t.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\u.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\v.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\w.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\wlu.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\x.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\y.txt
h:\dokumente und einstellungen\XXXX\Anwendungsdaten\PriceGong\Data\z.txt
h:\dokumente und einstellungen\XXXX\WINDOWS
.
.
((((((((((((((((((((((( Dateien erstellt von 2012-06-15 bis 2012-07-15 ))))))))))))))))))))))))))))))
.
.
2012-07-06 17:58 . 2012-07-06 18:11 -------- d---a-w- H:\Kaspersky Rescue Disk 10.0
2012-07-06 16:47 . 2012-07-06 16:47 -------- d-----w- h:\dokumente und einstellungen\XXXX\Anwendungsdaten\Malwarebytes
2012-07-06 16:46 . 2012-07-06 16:46 -------- d-----w- h:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2012-07-06 16:46 . 2012-04-04 13:56 22344 ----a-w- h:\windows\system32\drivers\mbam.sys
2012-07-06 16:46 . 2012-07-06 16:47 -------- d-----w- h:\programme\Malwarebytes' Anti-Malware
2012-07-06 15:21 . 2012-07-06 15:21 -------- d-----w- h:\dokumente und einstellungen\Administrator
2012-07-06 14:35 . 2012-07-06 14:35 -------- d-----w- h:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
2012-07-06 14:35 . 2012-07-06 14:35 -------- d-----w- h:\dokumente und einstellungen\XXXX\Anwendungsdaten\Canneverbe Limited
2012-07-06 14:35 . 2012-07-06 14:35 -------- d-----w- h:\programme\CDBurnerXP
2012-07-06 14:35 . 2012-06-03 08:44 5504 ----a-w- h:\windows\system32\drivers\StarOpen.sys
2012-07-01 21:46 . 2012-07-01 21:46 770384 ----a-w- h:\programme\Mozilla Firefox\msvcr100.dll
2012-07-01 21:46 . 2012-07-01 21:46 421200 ----a-w- h:\programme\Mozilla Firefox\msvcp100.dll
2012-06-15 18:41 . 2012-05-11 14:40 521728 -c----w- h:\windows\system32\dllcache\jsdbgui.dll
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-30 18:40 . 2012-04-03 12:22 426184 ----a-w- h:\windows\system32\FlashPlayerApp.exe
2012-06-30 18:40 . 2011-05-28 22:37 70344 ----a-w- h:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-02 13:19 . 2009-09-02 08:23 18456 ----a-w- h:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-09-02 08:23 15896 ----a-w- h:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2009-09-01 09:09 329240 ----a-w- h:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2009-09-01 09:09 210968 ----a-w- h:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2009-09-01 09:09 219160 ----a-w- h:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-09-02 08:23 45080 ----a-w- h:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-09-02 08:23 15896 ----a-w- h:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2009-09-01 09:09 35864 ----a-w- h:\windows\system32\wups.dll
2012-06-02 13:19 . 2009-09-01 09:09 53784 ----a-w- h:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2008-04-14 12:00 97304 ----a-w- h:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-09-02 08:23 23576 ----a-w- h:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2009-09-01 09:09 577048 ----a-w- h:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2009-09-01 09:09 1933848 ----a-w- h:\windows\system32\wuaueng.dll
2012-05-31 13:22 . 2008-04-14 12:00 604160 ----a-w- h:\windows\system32\crypt32.dll
2012-05-16 15:07 . 2008-04-14 12:00 916992 ----a-w- h:\windows\system32\wininet.dll
2012-05-15 13:56 . 2008-04-14 12:00 1863296 ----a-w- h:\windows\system32\win32k.sys
2012-05-11 14:40 . 2008-04-14 12:00 43520 ----a-w- h:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2008-04-14 12:00 1469440 ------w- h:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2008-04-14 12:00 385024 ----a-w- h:\windows\system32\html.iec
2012-05-10 18:15 . 2012-05-09 08:42 83392 ----a-w- h:\windows\system32\drivers\avgntflt.sys
2012-05-10 18:15 . 2012-05-09 08:42 137928 ----a-w- h:\windows\system32\drivers\avipbb.sys
2012-05-05 03:14 . 2008-04-14 12:00 2150912 ----a-w- h:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2008-04-14 07:30 2029056 ----a-w- h:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2009-09-01 09:07 139656 ----a-w- h:\windows\system32\drivers\rdpwd.sys
2012-04-18 18:56 . 2012-04-18 18:56 94208 ----a-w- h:\windows\system32\QuickTimeVR.qtx
2012-04-18 18:56 . 2012-04-18 18:56 69632 ----a-w- h:\windows\system32\QuickTime.qts
2012-07-01 21:46 . 2011-05-06 21:01 85472 ----a-w- h:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "h:\programme\Ask.com\GenericAskToolbar.dll" [2009-09-30 1182088]
"{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "h:\programme\Winload\prxtbWin1.dll" [2011-05-09 176936]
"{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}"= "h:\programme\ZoneAlarm-Sicherheit\prxtbZone.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
2011-05-09 09:49 176936 ----a-w- h:\programme\Winload\prxtbWin1.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2009-09-30 09:40 1182088 ----a-w- h:\programme\Ask.com\GenericAskToolbar.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]
2011-05-09 09:49 176936 ----a-w- h:\programme\ZoneAlarm-Sicherheit\prxtbZone.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "h:\programme\Ask.com\GenericAskToolbar.dll" [2009-09-30 1182088]
"{40c3cc16-7269-4b32-9531-17f2950fb06f}"= "h:\programme\Winload\prxtbWin1.dll" [2011-05-09 176936]
"{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}"= "h:\programme\ZoneAlarm-Sicherheit\prxtbZone.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "h:\programme\Ask.com\GenericAskToolbar.dll" [2009-09-30 1182088]
"{40C3CC16-7269-4B32-9531-17F2950FB06F}"= "h:\programme\Winload\prxtbWin1.dll" [2011-05-09 176936]
"{FC2B76FC-2132-4D80-A9A3-1F5C6E49066B}"= "h:\programme\ZoneAlarm-Sicherheit\prxtbZone.dll" [2011-05-09 176936]
.
[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
.
[HKEY_CLASSES_ROOT\clsid\{40c3cc16-7269-4b32-9531-17f2950fb06f}]
.
[HKEY_CLASSES_ROOT\clsid\{fc2b76fc-2132-4d80-a9a3-1f5c6e49066b}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="h:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"EPSON SX125 Series"="h:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIGGE.EXE" [2009-09-14 200704]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-10-28 17331200]
"IgfxTray"="h:\windows\system32\igfxtray.exe" [2008-02-08 135168]
"HotKeysCmds"="h:\windows\system32\hkcmd.exe" [2008-02-08 159744]
"Persistence"="h:\windows\system32\igfxpers.exe" [2008-02-08 131072]
"FreePDF Assistant"="h:\programme\FreePDF_XP\fpassist.exe" [2009-08-06 381440]
"vmware-tray"="h:\programme\VMware\VMware Workstation\vmware-tray.exe" [2007-08-21 72240]
"VMware hqtray"="h:\programme\VMware\VMware Workstation\hqtray.exe" [2007-08-21 55856]
"DivXUpdate"="h:\programme\DivX\DivX Update\DivXUpdate.exe" [2010-09-16 1164584]
"AppleSyncNotifier"="h:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-10-06 59240]
"EEventManager"="h:\programme\Epson Software\Event Manager\EEventManager.exe" [2009-12-03 976320]
"LifeCam"="h:\programme\Microsoft LifeCam\LifeExp.exe" [2009-03-17 157552]
"APSDaemon"="h:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"ISW"="h:\programme\CheckPoint\ZAForceField\ForceField.exe" [2011-11-03 738944]
"ZoneAlarm"="h:\programme\CheckPoint\ZoneAlarm\zatray.exe" [2011-11-09 73360]
"Adobe Reader Speed Launcher"="h:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="h:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"SunJavaUpdateSched"="h:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
"iTunesHelper"="h:\programme\iTunes\iTunesHelper.exe" [2012-03-27 421736]
"avgnt"="h:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-05-10 348624]
"QuickTime Task"="h:\programme\QuickTime\QTTask.exe" [2012-04-18 421888]
"Malwarebytes' Anti-Malware"="h:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="h:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
h:\dokumente und einstellungen\XXXX\Startmenü\Programme\Autostart\
ctfmon.lnk - h:\windows\system32\rundll32.exe [2008-4-14 33792]
.
h:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Arcor Wlan-Monitor 1.0.lnk - h:\programme\Arcor\Arcor Wlan-Monitor 1.0\ArcorWlanUtility.exe [2007-11-9 5050368]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
S0 cerc6;cerc6; [x]
S0 kjhf;kjhf;h:\windows\system32\drivers\jhhje.sys --> h:\windows\system32\drivers\jhhje.sys [?]
S1 avkmgr;avkmgr;h:\windows\system32\drivers\avkmgr.sys [09.05.2012 10:42 36000]
S2 AAV UpdateService;AAV UpdateService;h:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 16:35 128296]
S2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;h:\programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [14.05.2009 18:07 759048]
S2 AntiVirSchedulerService;Avira Planer;h:\programme\Avira\AntiVir Desktop\sched.exe [09.05.2012 10:42 86224]
S2 ISWKL;ZoneAlarm Toolbar ISWKL;h:\programme\CheckPoint\ZAForceField\ISWKL.sys [03.11.2011 16:44 27016]
S2 IswSvc;ZoneAlarm Toolbar IswSvc;h:\programme\CheckPoint\ZAForceField\ISWSVC.exe [03.11.2011 16:44 497280]
S2 MBAMService;MBAMService;h:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [06.07.2012 18:46 654408]
S3 MBAMProtector;MBAMProtector;h:\windows\system32\drivers\mbam.sys [06.07.2012 18:46 22344]
S3 MozillaMaintenance;Mozilla Maintenance Service;h:\programme\Mozilla Maintenance Service\maintenanceservice.exe [09.05.2012 13:08 113120]
S3 MSHUSBVideo;NX6000/NX3000/VX5000/VX5500/VX2000/VX7000 Filter Driver;h:\windows\system32\drivers\nx6000.sys [04.04.2011 20:16 30560]
S3 WN4501HLFIR(Arcor);Arcor-Easy Stick A 50 WLAN(Arcor);h:\windows\system32\drivers\ARWUSB.sys [04.12.2006 18:10 489472]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\BlueBirds.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-05-09 h:\windows\Tasks\AppleSoftwareUpdate.job
- h:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2012-07-11 h:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- h:\programme\Ask.com\UpdateTask.exe [2009-09-30 09:40]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
TCP: Interfaces\{81704228-60C1-4C5B-8C75-BA89E7D4517D}: NameServer = 192.168.0.1
FF - ProfilePath - h:\dokumente und einstellungen\XXXX\Anwendungsdaten\Mozilla\Firefox\Profiles\nqzdy8wz.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - user.js: yahoo.homepage.dontask - true);user_pref(extentions.y2layers.installId, 72ad1cda-44cb-4bcb-95d1-d11972622d58
FF - user.js: extentions.y2layers.defaultEnableAppsList - Buzzdock,BuzzdockTease,DropDownDeals,BestVideoDownloader,BestVideoDownloader,
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - h:\programme\DivX\DivXCodecUninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-07-15 11:47
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-07-15 11:49:22
ComboFix-quarantined-files.txt 2012-07-15 09:49
.
Vor Suchlauf: 13 Verzeichnis(se), 467.193.364.480 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 468.931.792.896 Bytes frei
.
- - End Of File - - 9B3873728F0DC1CC4807F7C0CCBD0007
P.s die Meldung ist immer noch da. RunDLL Fehler beim Laden von C:\dokument~1\XXXX\Lokale~1\Temp\glom0_og.exe Das angegebene Modul wurde nicht gefunden. vielen herzlichen Dank übrigen für eure Mühe. Bin froh dass es solche Leute wie euch gibt. |
|
| Themen zu Neuer GVU-Trojaner, Ähnlich wie 2.04! |
| anti-malware, arbeiten, avira, cdburnerxp, conduit, glom0, hallo zusammen, interne, internet, kaspersky, malwarebytes, neuer, plug-in, rechner, rechte, rechten, registry, rescue, safer networking, scan, scanne, scannen, searchscopes, sperrt, spyboot, starte, startet, tarma, task-manager, virus, windows internet, winload toolbar, yontoo, zonelabs, zusammen |
Linear-Darstellung
