| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU-Trojaner und mehr? ... XP HomeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.07.2012, 09:53
| #1 |
 |  GVU-Trojaner und mehr? ... XP Home Hallo ihr fleißigen Helfer, auch bei mir hat der GVU-Trojaner zugeschlagen  und ich brauche eure Unterstützung.Und dafür jetzt schon mal ein fettes DANKE! Nachdem es mir dann gestern irgendwann gelungen ist, wieder Zugriff auf meinen Rechner zu haben, habe ich die ersten Schritte schon durchführen können. Hier die ersten Ergebnisse: mam: Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.22.07 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 3ze :: 3ZE-EEE [Administrator] 22.07.2012 17:33:08 mbam-log-2012-07-22 (17-33-08).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 381018 Laufzeit: 6 Stunde(n), 3 Minute(n), 46 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Dokumente und Einstellungen\3ze\Lokale Einstellungen\Temp\rool0_pk.exe (Spyware.Zbot.DG) -> Löschen bei Neustart. C:\Dokumente und Einstellungen\3ze\Startmenü\Programme\Autostart\ctfmon.lnk (Trojan.Ransom.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter OTL logfile created on: 23.07.2012 09:37:43 - Run 2 OTL by OldTimer - Version 3.2.54.0 Folder = C:\Dokumente und Einstellungen\3ze\Desktop\KAMPF Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1,99 Gb Total Physical Memory | 1,11 Gb Available Physical Memory | 55,54% Memory free 3,33 Gb Paging File | 2,55 Gb Available in Paging File | 76,68% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 72,06 Gb Total Space | 6,20 Gb Free Space | 8,61% Space Free | Partition Type: NTFS Drive D: | 72,05 Gb Total Space | 7,11 Gb Free Space | 9,87% Space Free | Partition Type: NTFS Computer Name: 3ZE-EEE | User Name: 3ze | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\Dokumente und Einstellungen\3ze\Desktop\KAMPF\OTL.exe (OldTimer Tools) PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\StumbleUpon\IE\StumbleUponUpdater.exe () PRC - C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.) PRC - C:\WINDOWS\system32\FsUsbExService.Exe (Teruten) PRC - C:\Programme\EeePC\ACPI\AsAcpiSvr.exe (ASUSTeK Computer Inc.) PRC - C:\Programme\EeePC\ACPI\AsTray.exe (ASUSTeK Computer Inc.) PRC - C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe (ASUSTeK Computer Inc.) PRC - C:\Programme\EeePC\ACPI\AsEPCMon.exe (ASUSTeK Computer Inc.) PRC - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.) PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - C:\WINDOWS\system32\cmd.exe (Microsoft Corporation) PRC - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (Rocket Division Software) PRC - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe (PowerQuest Corporation) ========== Modules (No Company Name) ========== MOD - C:\Programme\Mozilla Firefox\mozjs.dll () MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll () MOD - C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\StumbleUpon\IE\StumbleUponUpdater.exe () MOD - C:\Programme\IZArc\IZArcCM.dll () MOD - C:\Programme\Notepad++\NppShell.dll () MOD - C:\WINDOWS\system32\btwicons.dll () MOD - C:\Programme\WIDCOMM\Bluetooth Software\BTKeyInd.dll () MOD - C:\WINDOWS\system32\msdmo.dll () MOD - C:\WINDOWS\system32\vsmon1.dll () MOD - C:\WINDOWS\system32\pdfcmnnt.dll () ========== Win32 Services (SafeList) ========== SRV - (WFJNSPZSD) -- C:\DOKUME~1\3ze\LOKALE~1\Temp\WFJNSPZSD.exe File not found SRV - (QFKZG) -- C:\DOKUME~1\3ze\LOKALE~1\Temp\QFKZG.exe File not found SRV - (MUL) -- C:\DOKUME~1\3ze\LOKALE~1\Temp\MUL.exe File not found SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation) SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated) SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) SRV - (StumbleUponUpdater) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\StumbleUpon\IE\StumbleUponUpdater.exe () SRV - (FsUsbExService) -- C:\WINDOWS\system32\FsUsbExService.Exe (Teruten) SRV - (ServiceLayer) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe (Nokia.) SRV - (VMCService) -- C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone) SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) SRV - (StarWindService) -- C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (Rocket Division Software) SRV - (V2i Protector) -- C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe (PowerQuest Corporation) SRV - (GEARSecurity) -- C:\WINDOWS\system32\gearsec.exe (GEAR Software) ========== Driver Services (SafeList) ========== DRV - (WDICA) -- File not found DRV - (sptd) -- System32\Drivers\sptd.sys File not found DRV - (PDRFRAME) -- File not found DRV - (PDRELI) -- File not found DRV - (PDFRAME) -- File not found DRV - (PDCOMP) -- File not found DRV - (PCIDump) -- File not found DRV - (lbrtfdc) -- File not found DRV - (i2omgmt) -- File not found DRV - (Changer) -- File not found DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira GmbH) DRV - (ui11rdr) -- C:\WINDOWS\system32\drivers\ui11rdr.SYS (1&1 Internet AG) DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (FsUsbExDisk) -- C:\WINDOWS\system32\FsUsbExDisk.Sys () DRV - (sscdmdm) -- C:\WINDOWS\system32\drivers\sscdmdm.sys (MCCI Corporation) DRV - (sscdbus) SAMSUNG USB Composite Device driver (WDM) -- C:\WINDOWS\system32\drivers\sscdbus.sys (MCCI Corporation) DRV - (sscdmdfl) -- C:\WINDOWS\system32\drivers\sscdmdfl.sys (MCCI Corporation) DRV - (SRS_PremiumSound_Service) -- C:\WINDOWS\system32\drivers\SRS_PremiumSound_i386.sys () DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.) DRV - (AR5416) -- C:\WINDOWS\system32\drivers\athw.sys (Atheros Communications, Inc.) DRV - (L1c) -- C:\WINDOWS\system32\drivers\l1c51x86.sys (Atheros Communications, Inc.) DRV - (uvclf) -- C:\WINDOWS\system32\drivers\uvclf.sys (GenesysLogic Technologies, Inc.) DRV - (pccsmcfd) -- C:\WINDOWS\system32\drivers\pccsmcfd.sys (Nokia) DRV - (BTKRNL) -- C:\WINDOWS\system32\drivers\btkrnl.sys (Broadcom Corporation.) DRV - (BTWUSB) -- C:\WINDOWS\system32\drivers\btwusb.sys (Broadcom Corporation.) DRV - (Ambfilt) -- C:\WINDOWS\system32\drivers\Ambfilt.sys (Creative) DRV - (uiwbrdr) -- C:\WINDOWS\system32\drivers\uiwbrdr.SYS (WEB.DE GmbH) DRV - (BTWDNDIS) -- C:\WINDOWS\system32\drivers\btwdndis.sys (Broadcom Corporation.) DRV - (btaudio) -- C:\WINDOWS\system32\drivers\btaudio.sys (Broadcom Corporation.) DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation) DRV - (AsusACPI) -- C:\WINDOWS\system32\drivers\ASUSACPI.SYS (ASUSTeK Computer Inc.) DRV - (hwdatacard) -- C:\WINDOWS\system32\drivers\ewusbmdm.sys (Huawei Technologies Co., Ltd.) DRV - (btwhid) -- C:\WINDOWS\system32\drivers\btwhid.sys (Broadcom Corporation.) DRV - (BTDriver) -- C:\WINDOWS\system32\drivers\btport.sys (Broadcom Corporation.) DRV - (Monfilt) -- C:\WINDOWS\system32\drivers\Monfilt.sys (Creative Technology Ltd.) DRV - (Ser2pl) -- C:\WINDOWS\system32\drivers\ser2pl.sys (Prolific Technology Inc.) DRV - (PQV2i) -- C:\WINDOWS\System32\drivers\PQV2i.sys (StorageCraft) DRV - (PQIMount) -- C:\WINDOWS\System32\drivers\PQIMount.sys (PowerQuest Corporation) DRV - (sermouse) -- C:\WINDOWS\system32\drivers\sermouse.sys () DRV - (BrPar) -- C:\WINDOWS\system32\drivers\BRPAR.SYS (Brother Industries Ltd.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes] IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://eeepc.asus.com/de/index.html IE - HKCU\..\SearchScopes,DefaultScope = {6C35856C-5D80-495E-A72F-87FB05262959} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU\..\SearchScopes\{6C35856C-5D80-495E-A72F-87FB05262959}: "URL" = hxxp://www.google.de/search?q={searchTerms} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "https://freemail.web.de/msg/popmail.htm?user=manoswa | hxxp://www.spiegel.de/ | hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official" FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.1 FF - prefs.js..extensions.enabledItems: abhere2@moztw.org:3.6.20101102 FF - prefs.js..extensions.enabledItems: {ea627165-1724-4db5-ccde-fdc12f45452e}:2.1 FF - prefs.js..extensions.enabledItems: {AE37D527-6604-461c-8102-975CF8053A2F}:0.5.3.1 FF - prefs.js..extensions.enabledItems: {B0D70E72-2FC1-4b9f-A3D4-5921C854D906}:1.2 FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.1 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_265.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll File not found FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.) FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf: C:\Programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll (Foxit Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKCU\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Dokumente und Einstellungen\3ze\Lokale Einstellungen\Anwendungsdaten\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.07.19 07:45:23 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 14.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.04.26 07:11:18 | 000,000,000 | ---D | M] [2009.09.29 01:24:10 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Extensions [2011.11.15 09:04:59 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\4hell\extensions [2011.03.18 16:20:54 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\4hell\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.11.10 11:55:00 | 000,000,000 | ---D | M] (WebMail Notifier) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\4hell\extensions\{37fa1426-b82d-11db-8314-0800200c9a66} [2011.11.10 15:21:19 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\4hell\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2012.01.27 11:06:07 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\e0p9lpv8.s a f e\extensions [2010.05.01 20:48:28 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\e0p9lpv8.s a f e\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2012.01.27 11:06:07 | 000,000,000 | ---D | M] (WebMail Notifier) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\e0p9lpv8.s a f e\extensions\{37fa1426-b82d-11db-8314-0800200c9a66} [2012.07.04 19:14:05 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMANNUS\extensions [2011.11.09 09:08:33 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMANNUS\extensions\@TitlebarTweaksPlus [2011.11.09 09:08:33 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMANNUS\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.11.09 09:08:33 | 000,000,000 | ---D | M] (BBCode) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMANNUS\extensions\{AE37D527-6604-461c-8102-975CF8053A2F} [2011.11.09 09:08:32 | 000,000,000 | ---D | M] ("Biet-O-Matic Firefox Erweiterung") -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMANNUS\extensions\{B0D70E72-2FC1-4b9f-A3D4-5921C854D906} [2012.04.14 12:39:50 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMANNUS\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2011.11.09 09:08:31 | 000,000,000 | ---D | M] ("AskForSanitize") -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMANNUS\extensions\{ea627165-1724-4db5-ccde-fdc12f45452e} [2012.06.22 19:54:39 | 000,000,000 | ---D | M] (LavaFox V2-Purple) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMANNUS\extensions\zigboom555@aol.com [2012.04.12 10:40:13 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMZ\extensions [2011.11.09 09:09:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMZ\extensions\@TitlebarTweaksPlus [2011.11.09 09:09:26 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMZ\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.11.09 09:09:26 | 000,000,000 | ---D | M] (BBCode) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMZ\extensions\{AE37D527-6604-461c-8102-975CF8053A2F} [2011.11.09 09:09:25 | 000,000,000 | ---D | M] ("Biet-O-Matic Firefox Erweiterung") -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMZ\extensions\{B0D70E72-2FC1-4b9f-A3D4-5921C854D906} [2012.01.24 11:14:20 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMZ\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2011.11.09 09:09:23 | 000,000,000 | ---D | M] ("AskForSanitize") -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\faceMZ\extensions\{ea627165-1724-4db5-ccde-fdc12f45452e} [2012.07.18 08:04:34 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\leer\extensions [2012.04.02 09:01:50 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\leer\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2012.07.05 11:52:49 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\ntrij0d7.web.de\extensions [2012.07.16 19:19:08 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\OHRSAUSE\extensions [2011.11.10 18:29:07 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\OHRSAUSE\extensions\@TitlebarTweaksPlus [2011.11.10 18:29:07 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\OHRSAUSE\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.11.10 18:29:07 | 000,000,000 | ---D | M] (BBCode) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\OHRSAUSE\extensions\{AE37D527-6604-461c-8102-975CF8053A2F} [2011.11.10 18:29:06 | 000,000,000 | ---D | M] ("Biet-O-Matic Firefox Erweiterung") -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\OHRSAUSE\extensions\{B0D70E72-2FC1-4b9f-A3D4-5921C854D906} [2012.04.06 19:41:21 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\OHRSAUSE\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2011.11.10 18:29:03 | 000,000,000 | ---D | M] ("AskForSanitize") -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\OHRSAUSE\extensions\{ea627165-1724-4db5-ccde-fdc12f45452e} [2012.07.16 19:19:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\OHRSAUSE\extensions\staged [2012.02.09 11:11:47 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\s1rh87ln.default\extensions [2010.05.06 16:22:21 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\s1rh87ln.default\extensions\@TitlebarTweaksPlus [2010.05.04 17:34:58 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\s1rh87ln.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2010.01.17 10:55:33 | 000,000,000 | ---D | M] (BBCode) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\s1rh87ln.default\extensions\{AE37D527-6604-461c-8102-975CF8053A2F} [2010.01.22 02:13:29 | 000,000,000 | ---D | M] ("Biet-O-Matic Firefox Erweiterung") -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\s1rh87ln.default\extensions\{B0D70E72-2FC1-4b9f-A3D4-5921C854D906} [2012.01.22 19:11:36 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\s1rh87ln.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d} [2010.08.05 16:33:47 | 000,000,000 | ---D | M] ("AskForSanitize") -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\s1rh87ln.default\extensions\{ea627165-1724-4db5-ccde-fdc12f45452e} [2012.02.09 11:11:47 | 000,000,000 | ---D | M] (StumbleUpon) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\s1rh87ln.default\extensions\toolbar@stumbleupon.com [2012.01.23 13:24:29 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\u4xsnsza.leo webmail\extensions [2010.08.23 20:27:21 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\u4xsnsza.leo webmail\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2012.01.23 13:24:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Mozilla\Firefox\Profiles\u4xsnsza.leo webmail\extensions\staged [2012.03.20 18:50:36 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.01.22 19:11:36 | 000,634,964 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\3ZE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\S1RH87LN.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI [2012.01.22 19:11:36 | 000,044,727 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\3ZE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\S1RH87LN.DEFAULT\EXTENSIONS\{FA8476CF-A98C-4E08-99B4-65A69CB4B7D4}.XPI [2012.01.22 19:11:30 | 000,055,148 | ---- | M] () (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\3ZE\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\S1RH87LN.DEFAULT\EXTENSIONS\ABHERE2@MOZTW.ORG.XPI [2012.02.21 10:15:01 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF [2012.07.19 07:45:23 | 000,136,672 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2012.02.21 10:15:00 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2011.11.01 09:40:22 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.11.01 09:40:22 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011.11.01 09:40:22 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.11.01 09:40:22 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.11.01 09:40:22 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.11.01 09:40:22 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2010.03.16 17:07:40 | 000,380,722 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 13114 more lines... O2 - BHO: (Skype add-on (mastermind)) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O2 - BHO: (StumbleUpon) - {DB616CFF-D989-48A8-9C85-E2A8D56AB2CA} - C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\StumbleUpon\IE\StumbleUpon.dll (StumbleUpon Inc.) O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [AsusACPIServer] C:\Programme\EeePC\ACPI\AsAcpiSvr.exe (ASUSTeK Computer Inc.) O4 - HKLM..\Run: [AsusEPCMonitor] C:\Programme\EeePC\ACPI\AsEPCMon.exe (ASUSTeK Computer Inc.) O4 - HKLM..\Run: [AsusTray] C:\Programme\EeePC\ACPI\AsTray.exe (ASUSTeK Computer Inc.) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [NPSStartup] File not found O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [SynAsusAcpi] C:\Programme\Synaptics\SynTP\SynAsusAcpi.exe (Synaptics Incorporated) O4 - HKCU..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.) O4 - HKCU..\Run: [Eee Docking] C:\Programme\ASUS\Eee Docking\Eee Docking.exe File not found O4 - HKCU..\Run: [mount.exe] C:\Programme\GiPo@Utilities\FileUtilities.3\mount.exe (Gibin Software House (hxxp://www.gibinsoft.net)) O4 - Startup: C:\Dokumente und Einstellungen\3ze\Startmenü\Programme\Autostart\Lies.txt () O4 - Startup: C:\Dokumente und Einstellungen\3ze\Startmenü\Programme\Autostart\Verknüpfung mit TO DO.txt.lnk = C:\Dokumente und Einstellungen\3ze\Eigene Dateien\A N D E R E\AnsichtsSache\TO DO.txt () O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ SuperHybridEngine.lnk = C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe (ASUSTeK Computer Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CleanTemp 1.5.lnk = C:\Programme\CleanTemp 1.5\CleanTemp.exe (Update Computer Services) O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta () O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm () O8 - Extra context menu item: Senden an Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.) O9 - Extra Button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (Skype Technologies S.A.) O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm () O9 - Extra Button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe File not found O9 - Extra 'Tools' menuitem : ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26) O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31) O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{79F9DFE5-3166-46A0-AB34-99B61EDA2B81}: NameServer = 192.168.178.1 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\IrfanView\IrfanView_Wallpaper.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2009.05.12 22:51:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{263d33ab-22f5-11df-976b-002618507778}\Shell\AutoRun\command - "" = E:\HvbCFV.exE O33 - MountPoints2\{263d33ab-22f5-11df-976b-002618507778}\Shell\OpeN\COmMand - "" = E:\hvBcfV.exe O33 - MountPoints2\{5a6a30e8-92f9-11df-9818-0025d324824f}\Shell - "" = AutoRun O33 - MountPoints2\{5a6a30e8-92f9-11df-9818-0025d324824f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{5a6a30e8-92f9-11df-9818-0025d324824f}\Shell\AutoRun\command - "" = E:\preinst.exe O33 - MountPoints2\{afcd7245-0289-11df-9741-002618507778}\Shell\AutoRun\command - "" = E:\Menu.exe O33 - MountPoints2\{b3c7adb6-3d10-11e0-98e0-0025d324824f}\Shell - "" = AutoRun O33 - MountPoints2\{b3c7adb6-3d10-11e0-98e0-0025d324824f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b3c7adb6-3d10-11e0-98e0-0025d324824f}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\{b3c7adb7-3d10-11e0-98e0-0025d324824f}\Shell - "" = AutoRun O33 - MountPoints2\{b3c7adb7-3d10-11e0-98e0-0025d324824f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{b3c7adb7-3d10-11e0-98e0-0025d324824f}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\{c15dfd13-e5c6-11e0-99be-0025d324824f}\Shell - "" = AutoRun O33 - MountPoints2\{c15dfd13-e5c6-11e0-99be-0025d324824f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{c15dfd13-e5c6-11e0-99be-0025d324824f}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\{e6edd032-0946-11e1-99f3-0025d324824f}\Shell - "" = AutoRun O33 - MountPoints2\{e6edd032-0946-11e1-99f3-0025d324824f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{e6edd032-0946-11e1-99f3-0025d324824f}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O33 - MountPoints2\{e6edd033-0946-11e1-99f3-0025d324824f}\Shell - "" = AutoRun O33 - MountPoints2\{e6edd033-0946-11e1-99f3-0025d324824f}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{e6edd033-0946-11e1-99f3-0025d324824f}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.07.22 23:06:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\3ze\Desktop\KAMPF [2012.07.22 17:31:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.07.22 17:31:11 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.07.16 17:12:12 | 000,000,000 | -HSD | C] -- C:\Config.Msi [2012.07.10 15:32:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\foobar2000 [2012.07.10 15:32:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\3ze\Eigene Dateien\StreamTransport [2012.07.10 11:42:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\StreamTransport [2012.07.10 11:42:45 | 003,982,240 | ---- | C] (Adobe Systems, Inc.) -- C:\WINDOWS\System32\Flash10d.ocx [2012.07.10 11:42:44 | 000,000,000 | ---D | C] -- C:\Programme\StreamTransport [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.07.23 09:37:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2012.07.23 07:26:41 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.07.22 18:44:02 | 004,503,728 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kp_0loor.pad [2012.07.16 17:23:44 | 000,237,552 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2012.07.16 17:18:29 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK [2012.07.16 17:17:39 | 000,472,284 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2012.07.16 17:17:39 | 000,452,158 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2012.07.16 17:17:39 | 000,090,710 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2012.07.16 17:17:39 | 000,075,992 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2012.07.12 10:37:12 | 000,426,184 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe [2012.07.12 10:37:12 | 000,070,344 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl [2012.07.10 11:42:48 | 000,000,680 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ StreamTransport.lnk [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.07.03 06:37:41 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.07.21 14:54:56 | 004,503,728 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kp_0loor.pad [2012.07.10 11:42:48 | 000,000,680 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ StreamTransport.lnk [2012.02.16 10:15:22 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll [2012.02.07 15:59:24 | 000,038,467 | ---- | C] () -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Microsoft Excel 97-2003.ADR [2012.02.07 15:58:30 | 000,038,526 | ---- | C] () -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\Kommagetrennte Werte (DOS).ADR [2012.02.05 19:14:11 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll [2012.02.05 19:14:11 | 000,036,608 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys [2012.02.05 19:13:55 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\$_hpcst$.hpc [2012.02.01 22:28:30 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll [2011.12.11 18:56:51 | 000,025,713 | ---- | C] () -- C:\WINDOWS\CSTBox.INI [2011.09.20 10:12:34 | 000,000,391 | ---- | C] () -- C:\WINDOWS\MeinPlatz.ini [2011.09.14 18:42:41 | 000,000,312 | ---- | C] () -- C:\WINDOWS\BRDIAG.INI [2011.09.14 18:42:41 | 000,000,023 | ---- | C] () -- C:\WINDOWS\Brownie.ini [2011.09.14 18:42:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brmx2001.ini [2011.09.14 18:42:39 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\BROSNMP.DLL [2011.09.14 18:42:39 | 000,026,624 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC32.DLL [2011.09.14 18:42:39 | 000,004,608 | ---- | C] () -- C:\WINDOWS\System32\BRGSRC16.DLL [2011.09.14 18:42:31 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\BRSS01A.ini [2011.09.14 18:42:28 | 000,000,416 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2011.09.14 18:42:28 | 000,000,026 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI [2010.12.02 10:09:47 | 000,015,873 | ---- | C] () -- C:\WINDOWS\System32\Inetde.dll [2010.09.08 14:57:18 | 000,000,136 | ---- | C] () -- C:\Dokumente und Einstellungen\3ze\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat [2009.11.21 11:52:43 | 000,190,976 | ---- | C] () -- C:\Dokumente und Einstellungen\3ze\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.06.23 14:02:02 | 000,097,410 | R--- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DeviceManager.xml.rc4 [2008.05.23 18:48:50 | 000,020,270 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DeviceInstaller.xml < End of report > Code:
ATTFilter OTL Extras logfile created on: 23.07.2012 09:37:43 - Run 2
OTL by OldTimer - Version 3.2.54.0 Folder = C:\Dokumente und Einstellungen\3ze\Desktop\KAMPF
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1,99 Gb Total Physical Memory | 1,11 Gb Available Physical Memory | 55,54% Memory free
3,33 Gb Paging File | 2,55 Gb Available in Paging File | 76,68% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 72,06 Gb Total Space | 6,20 Gb Free Space | 8,61% Space Free | Partition Type: NTFS
Drive D: | 72,05 Gb Total Space | 7,11 Gb Free Space | 9,87% Space Free | Partition Type: NTFS
Computer Name: 3ZE-EEE | User Name: 3ze | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
"AntiVirusDisableNotify" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
"DoNotAllowExceptions" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"5031:TCP" = 5031:TCP:*:Disabled:FritzFax
"5031:UDP" = 5031:UDP:*:Disabled:FritzFax
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\Programme\ICQLite\icq.exe" = C:\Programme\ICQLite\icq.exe:*:Enabled:ICQ Lite -- (ICQ, LLC.)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\ICQLite\icq.exe" = C:\Programme\ICQLite\icq.exe:*:Enabled:ICQ Lite -- (ICQ, LLC.)
"C:\Programme\MirandaPortable\App\miranda\miranda32.exe" = C:\Programme\MirandaPortable\App\miranda\miranda32.exe:*:Enabled:Miranda IM -- ( )
"C:\Programme\MirandaFusion\miranda32.exe" = C:\Programme\MirandaFusion\miranda32.exe:*:Enabled:Miranda Fusion -- ( )
"C:\Dokumente und Einstellungen\3ze\Lokale Einstellungen\Anwendungsdaten\Google\Google Earth\client\googleearth.exe" = C:\Dokumente und Einstellungen\3ze\Lokale Einstellungen\Anwendungsdaten\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
"C:\Programme\FRITZ!\igd_finder.exe" = C:\Programme\FRITZ!\igd_finder.exe:LocalSubNet:Enabled:AVM FRITZ!fax for FRITZ!Box - igd_finder.exe
"C:\Programme\FRITZ!\FriFax32.exe" = C:\Programme\FRITZ!\FriFax32.exe:*:Enabled:FRITZ!fax -- (AVM Berlin)
"E:\Skype\Phone\Skype.exe" = E:\Skype\Phone\Skype.exe:*:Enabled:Skype
"Z:\Skype\Phone\Skype.exe" = Z:\Skype\Phone\Skype.exe:*:Enabled:Skype
"C:\Dokumente und Einstellungen\3ze\Lokale Einstellungen\Anwendungsdaten\Google\Google Earth\plugin\geplugin.exe" = C:\Dokumente und Einstellungen\3ze\Lokale Einstellungen\Anwendungsdaten\Google\Google Earth\plugin\geplugin.exe:*:Enabled:Google Earth -- (Google)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Disabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
"C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server -- (PeeringPortal)
"C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server -- (PeeringPortal)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0C973594-7DDF-4BD0-84ED-3517F7622037}" = PC Connectivity Solution
"{13F3917B56CD4C25848BDC69916971BB}" = DivX Converter
"{1545207E-C6F3-31D7-9918-BDBB65075FBF}" = Microsoft .NET Framework 3.5 Language Pack - deu
"{19F5658D-92E8-4A08-8657-D38ABB1574B2}" = Asus ACPI Driver
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20B1B020-DEAE-48D1-9960-D4C3185D758B}" = Phase 5 HTML-Editor
"{20F1FFAF-1BFF-450C-A8C7-03D1BE24B950}" = Microsoft .NET Framework (German)
"{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86
"{256DDBE1-4010-4AD4-A62A-CA05F26B7970}_is1" = Anmeldebug Patch
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31
"{27CC6AB1-E72B-4179-AF1A-EAE507EBAF51}_is1" = ConvertHelper 2.2
"{28006915-2739-4EBE-B5E8-49B25D32EB33}" = Atheros Client Installation Program
"{2BAA27B6-F39E-490B-8D41-84A32D234D70}" = GiPo@FileUtilities 3.2
"{2BC21CD2-8053-406A-80F6-9AB61717B49D}" = ODF Add-in for Microsoft Office
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{389BE10D-555B-495B-A83E-E3D94B66D26A}" = CDRWIN 7
"{3FA365DF-2D68-45ED-8F83-8C8A33E65143}" = Apple Application Support
"{3FB39BED-37C8-4E60-8E02-315B8C2B07E3}" = USB2.0 UVC Camera Device
"{3FC7CBBC4C1E11DCA1A752EA55D89593}" = DivX Version Checker
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{536CB2B8-199F-4C8B-9C3A-D91666558772}" = CleanTemp 1.5.5
"{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}" = Skype web features
"{587178E7-B1DF-494E-9838-FA4DD36E873C}" = ASUSUpdate for Eee PC
"{5A1A9AB2-2F68-462D-A67D-7C855DFF5EEB}" = Microsoft Network Monitor: NetworkMonitor Parsers 3.4
"{5EE7D259-D137-4438-9A5F-42F432EC0421}" = VC80CRTRedist - 8.0.50727.4053
"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update
"{6C13128C-1782-456F-84A4-017CECE259CA}" = ICQ Lite
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7B63B2922B174135AFC0E1377DD81EC2}" =
"{84814E6B-2581-46EC-926A-823BD1C670F6}" = WIDCOMM Bluetooth Software
"{88F08F98-12BC-4613-81A2-8F9B88CFC73E}" = Super Hybrid Engine
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A74E887-8F0F-4017-AF53-CBA42211AAA5}" = Microsoft Sync Framework Runtime Native v1.0 (x86)
"{8D538DFC-1E7A-45F0-9C7B-D8B6629CC2DC}" = PowerQuest Drive Image 7.0
"{8FC4F1DD-F7FD-4766-804D-3C8FF1D309AF}" = Azurewave Wireless LAN Card
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{9309DD7E-EBFE-3C95-8B47-30D3A012F606}" = Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{97C82B44-D408-4F14-9252-47FC1636D23E}_is1" = IZArc 4.1.2
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A1071AEB-B0EF-3F5F-BC84-83A270EBE496}" = Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
"{A2F2C44A-869E-4C32-9CEC-E22B1CC91F06}" = Microsoft Network Monitor 3.4
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A6E92CAB-9E63-46DC-8ABF-0CAFF7B7CD02}" = eXPert PDF 4
"{B13A7C41581B411290FBC0395694E2A9}" = DivX Converter
"{BCE46757-7674-4416-BEDB-68205A60409E}" = Canon CanoScan Toolbox 4.1
"{BD64AF4A-8C80-4152-AD77-FCDDF05208AB}" = Microsoft Sync Framework Services Native v1.0 (x86)
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2D129C0-7508-11DF-9F1B-005056806466}" = Google Earth
"{C656142F-EFE1-44CD-BFAD-6CBC6DCB9860}" = Vodafone Mobile Connect Lite
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{DEC41CA8-C30F-4F70-9AEE-1B3EEB4A3B62}_is1" = ICQ Language
"{ECC3713C-08A4-40E3-95F1-7D0704F1CE5E}" = PL-2303 USB-to-Serial
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"{FA0BBB87-91A1-4BFD-9005-EB058BBA0E14}_is1" = StreamTransport version: 1.0.2.2171
"{FF495A24-41E2-4F8A-AEDF-254AD2EABCDA}" = mdPROJECTTIMER Standard
"1&1 Upload-Manager" = 1&1 Upload-Manager
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Ashampoo Burning Studio 2009_is1" = Ashampoo Burning Studio 2009
"Audacity_is1" = Audacity 1.2.6
"Avira AntiVir Desktop" = Avira Free Antivirus
"Biet-O-Matic v2.14.8" = Biet-O-Matic v2.14.8
"BleachBit" = BleachBit
"Brother HL-1430" = Brother HL-1430
"DivX Plus DirectShow Filters" = DivX Plus DirectShow Filters
"DivX Setup.divx.com" = DivX-Setup
"EeePC1005HA" = EeePC1005HA Screen Saver
"foobar2000" = foobar2000 v1.1.13
"Foxit Reader_is1" = Foxit Reader 5.0
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.2
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.2
"FRITZ! 2.0" = AVM FRITZ!fax für FRITZ!Box
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HookAnalyzer_is1" = RootKit Hook Analyzer 3.02
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"IETester" = IETester v0.4.11 (remove only)
"InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"IrfanView" = IrfanView (remove only)
"JDownloader" = JDownloader
"LAME for Audacity_is1" = LAME v3.98.3 for Audacity
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.62.0.1300
"mdPROJECTTIMER Standard" = mdPROJECTTIMER Standard
"MeinPlatz" = MeinPlatz
"Microsoft .NET Framework 3.5 Language Pack - deu" = Microsoft .NET Framework 3.5 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework Full v1.0.3705 (1031)" = Microsoft .NET Framework (German) v1.0.3705
"MirandaFusion" = Miranda Fusion 2.0.12
"Mozilla Firefox 14.0.1 (x86 de)" = Mozilla Firefox 14.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Notepad++" = Notepad++
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"Uninstall_is1" = Uninstall 1.0.0.1
"VLC media player" = VLC media player 1.0.3
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"WEB.DE Club SmartFax" = WEB.DE Club SmartFax
"WEB.DE SmartDrive Manager" = WEB.DE SmartDrive Manager
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"xp-AntiSpy" = xp-AntiSpy 3.97-5
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
========== HKEY_CURRENT_USER Uninstall List ==========
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"FileZilla Client" = FileZilla Client 3.5.2
========== Last 20 Event Log Errors ==========
[ Application Events ]
Error - 26.06.2012 18:10:49 | Computer Name = 3ZE-EEE | Source = eXPert PDF | ID = 3299
Description =
Error - 12.07.2012 09:37:11 | Computer Name = 3ZE-EEE | Source = Ci | ID = 4124
Description = Der Inhaltsindex auf d:\system volume information\catalog.wci ist
beschädigt. Fahren Sie den Indexdienst (cisvc) herunter, und starten Sie ihn erneut.
Error - 12.07.2012 09:37:11 | Computer Name = 3ZE-EEE | Source = Ci | ID = 4126
Description = Die Metadaten des Inhaltsindex auf d:\system volume information\catalog.wci
werden aufgeräumt. Wiederherstellen des Indexes erfolgt automatisch durch erneutes
Filtern aller Dokumente.
Error - 16.07.2012 11:02:05 | Computer Name = 3ZE-EEE | Source = MsiInstaller | ID = 11706
Description = Produkt: Microsoft Office Professional Edition 2003 -- Fehler 1706.
Setup kann die benötigten Dateien nicht finden. Überprüfen Sie Ihre Verbindung
mit dem Netzwerk oder dem CD-ROM-Laufwerk. Weitere mögliche Lösungen für dieses
Problem erhalten Sie unter C:\Programme\Microsoft Office\OFFICE11\1031\SETUP.CHM.
Error - 16.07.2012 11:02:05 | Computer Name = 3ZE-EEE | Source = MsiInstaller | ID = 1024
Description = Produkt: Microsoft Office Professional Edition 2003 - Update "Security
Update for Office 2003 (KB2598361): VBE6" konnte nicht installiert werden. Fehlercode
1603. Windows Installer kann Protokolle erstellen, um bei der Problembehandlung
betreffend der Installation von Softwarepaketen behilflich zu sein. Verwenden Sie
folgenden Link, um Anweisungen zur Aktivierung der Protokollierungsunterstützung
zu erhalten: hxxp://go.microsoft.com/fwlink/?LinkId=23127
Error - 19.07.2012 01:37:28 | Computer Name = 3ZE-EEE | Source = Ci | ID = 4124
Description = Der Inhaltsindex auf d:\system volume information\catalog.wci ist
beschädigt. Fahren Sie den Indexdienst (cisvc) herunter, und starten Sie ihn erneut.
Error - 19.07.2012 01:37:28 | Computer Name = 3ZE-EEE | Source = Ci | ID = 4126
Description = Die Metadaten des Inhaltsindex auf d:\system volume information\catalog.wci
werden aufgeräumt. Wiederherstellen des Indexes erfolgt automatisch durch erneutes
Filtern aller Dokumente.
Error - 21.07.2012 09:56:54 | Computer Name = 3ZE-EEE | Source = Ci | ID = 4124
Description = Der Inhaltsindex auf d:\system volume information\catalog.wci ist
beschädigt. Fahren Sie den Indexdienst (cisvc) herunter, und starten Sie ihn erneut.
Error - 21.07.2012 09:56:54 | Computer Name = 3ZE-EEE | Source = Ci | ID = 4126
Description = Die Metadaten des Inhaltsindex auf d:\system volume information\catalog.wci
werden aufgeräumt. Wiederherstellen des Indexes erfolgt automatisch durch erneutes
Filtern aller Dokumente.
Error - 22.07.2012 18:01:42 | Computer Name = 3ZE-EEE | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
[ OSession Events ]
Error - 09.02.2012 10:47:12 | Computer Name = 3ZE-EEE | Source = Microsoft Office 12 Sessions | ID = 7001
Description =
Error - 09.02.2012 10:47:30 | Computer Name = 3ZE-EEE | Source = Microsoft Office 12 Sessions | ID = 7001
Description =
[ System Events ]
Error - 22.07.2012 11:06:00 | Computer Name = 3ZE-EEE | Source = Service Control Manager | ID = 7002
Description = Der Dienst "BrPar" ist von der Gruppe "Parallel arbitrator" abhängig.
Kein Mitglied dieser Gruppe wurde jedoch gestartet.
Error - 22.07.2012 11:06:00 | Computer Name = 3ZE-EEE | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst CiSvc.
Error - 22.07.2012 11:06:24 | Computer Name = 3ZE-EEE | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
sptd
Error - 22.07.2012 18:30:28 | Computer Name = 3ZE-EEE | Source = Service Control Manager | ID = 7002
Description = Der Dienst "BrPar" ist von der Gruppe "Parallel arbitrator" abhängig.
Kein Mitglied dieser Gruppe wurde jedoch gestartet.
Error - 22.07.2012 18:30:28 | Computer Name = 3ZE-EEE | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst CiSvc.
Error - 22.07.2012 18:30:28 | Computer Name = 3ZE-EEE | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst CiSvc.
Error - 22.07.2012 18:30:45 | Computer Name = 3ZE-EEE | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
atapi PCIIde sptd
Error - 23.07.2012 01:27:53 | Computer Name = 3ZE-EEE | Source = Service Control Manager | ID = 7002
Description = Der Dienst "BrPar" ist von der Gruppe "Parallel arbitrator" abhängig.
Kein Mitglied dieser Gruppe wurde jedoch gestartet.
Error - 23.07.2012 01:27:53 | Computer Name = 3ZE-EEE | Source = Service Control Manager | ID = 7011
Description = Zeitüberschreitung (30000 ms) beim Warten auf eine Transaktionsrückmeldung
von Dienst CiSvc.
Error - 23.07.2012 01:28:36 | Computer Name = 3ZE-EEE | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
sptd
< End of report >
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kp_0loor.pad Was sagt ihr dazu? Zudem habe ich, denke ich zumindest, dubiose TCP-Verbindungen, die im Zusammenhang mit dem Trojaner stehen könnten. Die Verbindungen im unten stehenden log zu den "akamaitechnologies.com"-Servern finde ich verdächtig. Denn als ich mich gestern abgestrampelt hab, um wieder Zufriff zu bekommen, ist beim killen des ctfmon-Prozesses auch die TCP-Verbindung zu den "akamaitechnologies.com"-Servern abgebrochen (gestern hatten diese aber andere IPs). Vermutlich werdet ihr jetzt sagen, warte mal ab, bis wir fertig sind: cmd-Abfrage mit netstat -a: Code:
ATTFilter
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP 3ze-eee:http 3ze-eee:0 ABH™REN
TCP 3ze-eee:epmap 3ze-eee:0 ABH™REN
TCP 3ze-eee:https 3ze-eee:0 ABH™REN
TCP 3ze-eee:microsoft-ds 3ze-eee:0 ABH™REN
TCP 3ze-eee:3260 3ze-eee:0 ABH™REN
TCP 3ze-eee:3261 3ze-eee:0 ABH™REN
TCP 3ze-eee:64189 3ze-eee:0 ABH™REN
TCP 3ze-eee:1054 localhost:1055 HERGESTELLT
TCP 3ze-eee:1055 localhost:1054 HERGESTELLT
TCP 3ze-eee:1056 3ze-eee:0 ABH™REN
TCP 3ze-eee:5152 3ze-eee:0 ABH™REN
TCP 3ze-eee:netbios-ssn 3ze-eee:0 ABH™REN
TCP 3ze-eee:1045 213.199.179.142:40026 HERGESTELLT
TCP 3ze-eee:1320 muc03s02-in-f31.1e100.net:http WARTEND
TCP 3ze-eee:1321 a23-61-246-11.deploy.akamaitechnologies.com:http WARTEND
TCP 3ze-eee:1322 a23-61-246-11.deploy.akamaitechnologies.com:http WARTEND
TCP 3ze-eee:1323 a23-61-246-11.deploy.akamaitechnologies.com:http WARTEND
TCP 3ze-eee:1324 a23-61-246-11.deploy.akamaitechnologies.com:http WARTEND
TCP 3ze-eee:1325 a23-61-246-11.deploy.akamaitechnologies.com:http WARTEND
TCP 3ze-eee:1326 a23-61-246-11.deploy.akamaitechnologies.com:http WARTEND
TCP 3ze-eee:1327 a23-61-246-16.deploy.akamaitechnologies.com:http WARTEND
TCP 3ze-eee:1331 a23-61-246-16.deploy.akamaitechnologies.com:http WARTEND
TCP 3ze-eee:1333 a23-61-246-19.deploy.akamaitechnologies.com:http WARTEND
TCP 3ze-eee:1334 95.100.191.144:http WARTEND
TCP 3ze-eee:1335 fra07s07-in-f100.1e100.net:http WARTEND
TCP 3ze-eee:1336 95.100.191.139:http WARTEND
TCP 3ze-eee:1342 www-slb-13-03-frc1.facebook.com:http WARTEND
TCP 3ze-eee:1343 www-slb-13-03-frc1.facebook.com:http WARTEND
TCP 3ze-eee:1346 fra07s07-in-f102.1e100.net:http WARTEND
TCP 3ze-eee:1347 fra07s07-in-f102.1e100.net:http HERGESTELLT
TCP 3ze-eee:1348 fra07s07-in-f101.1e100.net:http HERGESTELLT
TCP 3ze-eee:1349 fritz.box:49000 HERGESTELLT
UDP 3ze-eee:https *:*
UDP 3ze-eee:microsoft-ds *:*
UDP 3ze-eee:isakmp *:*
UDP 3ze-eee:1028 *:*
UDP 3ze-eee:4500 *:*
UDP 3ze-eee:64189 *:*
UDP 3ze-eee:ntp *:*
UDP 3ze-eee:1029 *:*
UDP 3ze-eee:1900 *:*
UDP 3ze-eee:ntp *:*
UDP 3ze-eee:netbios-ns *:*
UDP 3ze-eee:netbios-dgm *:*
UDP 3ze-eee:1900 *:*
|
|
23.07.2012, 10:28
| #2 |
| /// Helfer-Team  | GVU-Trojaner und mehr? ... XP Home Fixen mit OTL Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).
Code:
ATTFilter :OTL
PRC - C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\StumbleUpon\IE\StumbleUponUpdater.exe ()
MOD - C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\StumbleUpon\IE\StumbleUponUpdater.exe ()
SRV - (WFJNSPZSD) -- C:\DOKUME~1\3ze\LOKALE~1\Temp\WFJNSPZSD.exe File not found
SRV - (QFKZG) -- C:\DOKUME~1\3ze\LOKALE~1\Temp\QFKZG.exe File not found
SRV - (MUL) -- C:\DOKUME~1\3ze\LOKALE~1\Temp\MUL.exe File not found
SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found
SRV - (StumbleUponUpdater) -- C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\StumbleUpon\IE\StumbleUponUpdater.exe ()
DRV - (WDICA) -- File not found
DRV - (sptd) -- System32\Drivers\sptd.sys File not found
DRV - (PDRFRAME) -- File not found
DRV - (PDRELI) -- File not found
DRV - (PDFRAME) -- File not found
DRV - (PDCOMP) -- File not found
DRV - (PCIDump) -- File not found
DRV - (lbrtfdc) -- File not found
DRV - (i2omgmt) -- File not found
DRV - (Changer) -- File not found
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes,DefaultScope = {6C35856C-5D80-495E-A72F-87FB05262959}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\..\SearchScopes\{6C35856C-5D80-495E-A72F-87FB05262959}: "URL" = http://www.google.de/search?q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "https://freemail.web.de/msg/popmail.htm?user=manoswa | http://www.spiegel.de/ | http://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.1
FF - prefs.js..extensions.enabledItems: abhere2@moztw.org:3.6.20101102
FF - prefs.js..extensions.enabledItems: {ea627165-1724-4db5-ccde-fdc12f45452e}:2.1
FF - prefs.js..extensions.enabledItems: {AE37D527-6604-461c-8102-975CF8053A2F}:0.5.3.1
FF - prefs.js..extensions.enabledItems: {B0D70E72-2FC1-4b9f-A3D4-5921C854D906}:1.2
FF - prefs.js..extensions.enabledItems: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.1
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [NPSStartup] File not found
O4 - HKCU..\Run: [Eee Docking] C:\Programme\ASUS\Eee Docking\Eee Docking.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ SuperHybridEngine.lnk = C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe (ASUSTeK Computer Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe (Broadcom Corporation.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CleanTemp 1.5.lnk = C:\Programme\CleanTemp 1.5\CleanTemp.exe (Update Computer Services)
O9 - Extra Button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe File not found
O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} Reg Error: Value error. (Reg Error: Key error.)
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{263d33ab-22f5-11df-976b-002618507778}\Shell\AutoRun\command - "" = E:\HvbCFV.exE
O33 - MountPoints2\{5a6a30e8-92f9-11df-9818-0025d324824f}\Shell - "" = AutoRun
O33 - MountPoints2\{5a6a30e8-92f9-11df-9818-0025d324824f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5a6a30e8-92f9-11df-9818-0025d324824f}\Shell\AutoRun\command - "" = E:\preinst.exe
O33 - MountPoints2\{afcd7245-0289-11df-9741-002618507778}\Shell\AutoRun\command - "" = E:\Menu.exe
O33 - MountPoints2\{b3c7adb6-3d10-11e0-98e0-0025d324824f}\Shell - "" = AutoRun
O33 - MountPoints2\{b3c7adb6-3d10-11e0-98e0-0025d324824f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b3c7adb6-3d10-11e0-98e0-0025d324824f}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{b3c7adb7-3d10-11e0-98e0-0025d324824f}\Shell - "" = AutoRun
O33 - MountPoints2\{b3c7adb7-3d10-11e0-98e0-0025d324824f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b3c7adb7-3d10-11e0-98e0-0025d324824f}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{c15dfd13-e5c6-11e0-99be-0025d324824f}\Shell - "" = AutoRun
O33 - MountPoints2\{c15dfd13-e5c6-11e0-99be-0025d324824f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c15dfd13-e5c6-11e0-99be-0025d324824f}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{e6edd032-0946-11e1-99f3-0025d324824f}\Shell - "" = AutoRun
O33 - MountPoints2\{e6edd032-0946-11e1-99f3-0025d324824f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e6edd032-0946-11e1-99f3-0025d324824f}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
O33 - MountPoints2\{e6edd033-0946-11e1-99f3-0025d324824f}\Shell - "" = AutoRun
O33 - MountPoints2\{e6edd033-0946-11e1-99f3-0025d324824f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e6edd033-0946-11e1-99f3-0025d324824f}\Shell\AutoRun\command - "" = E:\setup_vmc_lite.exe /checkApplicationPresence
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2012.07.21 14:54:56 | 004,503,728 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kp_0loor.pad
:Files
C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\StumbleUpon\IE\StumbleUponUpdater.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CleanTemp 1.5.lnk = C:\Programme\CleanTemp 1.5\CleanTemp.exe
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]
Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden. Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
__________________ |
|
23.07.2012, 10:51
| #3 |
| | GVU-Trojaner und mehr? ... XP Home Hallo t'john,
__________________erledigt und hier das log: Code:
ATTFilter All processes killed
========== OTL ==========
No active process named StumbleUponUpdater.exe was found!
Service WFJNSPZSD stopped successfully!
Service WFJNSPZSD deleted successfully!
File C:\DOKUME~1\3ze\LOKALE~1\Temp\WFJNSPZSD.exe File not found not found.
Service QFKZG stopped successfully!
Service QFKZG deleted successfully!
File C:\DOKUME~1\3ze\LOKALE~1\Temp\QFKZG.exe File not found not found.
Service MUL stopped successfully!
Service MUL deleted successfully!
File C:\DOKUME~1\3ze\LOKALE~1\Temp\MUL.exe File not found not found.
Service AppMgmt stopped successfully!
Service AppMgmt deleted successfully!
File %SystemRoot%\System32\appmgmts.dll File not found not found.
Service StumbleUponUpdater stopped successfully!
Service StumbleUponUpdater deleted successfully!
C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\StumbleUpon\IE\StumbleUponUpdater.exe moved successfully.
Service WDICA stopped successfully!
Service WDICA deleted successfully!
File File not found not found.
Service sptd stopped successfully!
Service sptd deleted successfully!
File System32\Drivers\sptd.sys File not found not found.
Service PDRFRAME stopped successfully!
Service PDRFRAME deleted successfully!
File File not found not found.
Service PDRELI stopped successfully!
Service PDRELI deleted successfully!
File File not found not found.
Service PDFRAME stopped successfully!
Service PDFRAME deleted successfully!
File File not found not found.
Service PDCOMP stopped successfully!
Service PDCOMP deleted successfully!
File File not found not found.
Service PCIDump stopped successfully!
Service PCIDump deleted successfully!
File File not found not found.
Service lbrtfdc stopped successfully!
Service lbrtfdc deleted successfully!
File File not found not found.
Service i2omgmt stopped successfully!
Service i2omgmt deleted successfully!
File File not found not found.
Service Changer stopped successfully!
Service Changer deleted successfully!
File File not found not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6C35856C-5D80-495E-A72F-87FB05262959}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6C35856C-5D80-495E-A72F-87FB05262959}\ not found.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
Prefs.js: false removed from browser.search.update
Prefs.js: "https://freemail.web.de/msg/popmail.htm?user=manoswa | hxxp://www.spiegel.de/ | hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official" removed from browser.startup.homepage
Prefs.js: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.1 removed from extensions.enabledItems
Prefs.js: abhere2@moztw.org:3.6.20101102 removed from extensions.enabledItems
Prefs.js: {ea627165-1724-4db5-ccde-fdc12f45452e}:2.1 removed from extensions.enabledItems
Prefs.js: {AE37D527-6604-461c-8102-975CF8053A2F}:0.5.3.1 removed from extensions.enabledItems
Prefs.js: {B0D70E72-2FC1-4b9f-A3D4-5921C854D906}:1.2 removed from extensions.enabledItems
Prefs.js: {b9db16a4-6edc-47ec-a1f4-b86292ed211d}:4.8.1 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 removed from extensions.enabledItems
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NPSStartup deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Eee Docking deleted successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ SuperHybridEngine.lnk moved successfully.
C:\Programme\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe moved successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk moved successfully.
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe moved successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CleanTemp 1.5.lnk moved successfully.
C:\Programme\CleanTemp 1.5\CleanTemp.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E59EB121-F339-4851-A3BA-FE49C35617C2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E59EB121-F339-4851-A3BA-FE49C35617C2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E59EB121-F339-4851-A3BA-FE49C35617C2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E59EB121-F339-4851-A3BA-FE49C35617C2}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}\DownloadInformation\\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}\ not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{263d33ab-22f5-11df-976b-002618507778}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{263d33ab-22f5-11df-976b-002618507778}\ not found.
File E:\HvbCFV.exE not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5a6a30e8-92f9-11df-9818-0025d324824f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5a6a30e8-92f9-11df-9818-0025d324824f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5a6a30e8-92f9-11df-9818-0025d324824f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5a6a30e8-92f9-11df-9818-0025d324824f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5a6a30e8-92f9-11df-9818-0025d324824f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5a6a30e8-92f9-11df-9818-0025d324824f}\ not found.
File E:\preinst.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{afcd7245-0289-11df-9741-002618507778}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afcd7245-0289-11df-9741-002618507778}\ not found.
File E:\Menu.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b3c7adb6-3d10-11e0-98e0-0025d324824f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b3c7adb6-3d10-11e0-98e0-0025d324824f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b3c7adb6-3d10-11e0-98e0-0025d324824f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b3c7adb6-3d10-11e0-98e0-0025d324824f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b3c7adb6-3d10-11e0-98e0-0025d324824f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b3c7adb6-3d10-11e0-98e0-0025d324824f}\ not found.
File E:\setup_vmc_lite.exe /checkApplicationPresence not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b3c7adb7-3d10-11e0-98e0-0025d324824f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b3c7adb7-3d10-11e0-98e0-0025d324824f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b3c7adb7-3d10-11e0-98e0-0025d324824f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b3c7adb7-3d10-11e0-98e0-0025d324824f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b3c7adb7-3d10-11e0-98e0-0025d324824f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b3c7adb7-3d10-11e0-98e0-0025d324824f}\ not found.
File E:\setup_vmc_lite.exe /checkApplicationPresence not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c15dfd13-e5c6-11e0-99be-0025d324824f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c15dfd13-e5c6-11e0-99be-0025d324824f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c15dfd13-e5c6-11e0-99be-0025d324824f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c15dfd13-e5c6-11e0-99be-0025d324824f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c15dfd13-e5c6-11e0-99be-0025d324824f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c15dfd13-e5c6-11e0-99be-0025d324824f}\ not found.
File E:\setup_vmc_lite.exe /checkApplicationPresence not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e6edd032-0946-11e1-99f3-0025d324824f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e6edd032-0946-11e1-99f3-0025d324824f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e6edd032-0946-11e1-99f3-0025d324824f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e6edd032-0946-11e1-99f3-0025d324824f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e6edd032-0946-11e1-99f3-0025d324824f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e6edd032-0946-11e1-99f3-0025d324824f}\ not found.
File E:\setup_vmc_lite.exe /checkApplicationPresence not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e6edd033-0946-11e1-99f3-0025d324824f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e6edd033-0946-11e1-99f3-0025d324824f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e6edd033-0946-11e1-99f3-0025d324824f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e6edd033-0946-11e1-99f3-0025d324824f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e6edd033-0946-11e1-99f3-0025d324824f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e6edd033-0946-11e1-99f3-0025d324824f}\ not found.
File E:\setup_vmc_lite.exe /checkApplicationPresence not found.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\kp_0loor.pad moved successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\StumbleUpon\IE\StumbleUponUpdater.exe not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\CleanTemp 1.5.lnk = C:\Programme\CleanTemp 1.5\CleanTemp.exe not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache wurde geleert.
C:\Dokumente und Einstellungen\3ze\Desktop\KAMPF\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\3ze\Desktop\KAMPF\cmd.txt deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: 3ze
->Temp folder emptied: 688 bytes
->Temporary Internet Files folder emptied: 23464412 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 1729324209 bytes
->Flash cache emptied: 1340 bytes
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33036 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49554 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4675341 bytes
RecycleBin emptied: 1499679 bytes
Total Files Cleaned = 1.678,00 mb
[EMPTYFLASH]
User: 3ze
->Flash cache emptied: 0 bytes
User: All Users
User: Default User
User: LocalService
User: NetworkService
Total Flash Files Cleaned = 0,00 mb
OTL by OldTimer - Version 3.2.54.0 log created on 07232012_114048
Files\Folders moved on Reboot...
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
|
|
23.07.2012, 16:39
| #4 |
| /// Helfer-Team | GVU-Trojaner und mehr? ... XP Home Sehr gut!  Wie laeuft der Rechner? 1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.danach: 2. Schritt Downloade Dir bitte AdwCleaner auf deinen Desktop.
|
|
23.07.2012, 20:35
| #5 |
| | GVU-Trojaner und mehr? ... XP Home Hallo t'john, der Rechner läuft augenscheinlich ohne Probleme. Schon mal sehr schön so. Hier die logs, Malwarebytes hat ein bisschen gedauert. mbam: Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.23.09 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 3ze :: 3ZE-EEE [Administrator] 23.07.2012 18:00:35 mbam-log-2012-07-23 (18-00-35).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 367504 Laufzeit: 2 Stunde(n), 25 Minute(n), 22 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter # AdwCleaner v1.703 - Logfile created 07/23/2012 at 20:45:40
# Updated 20/07/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : 3ze - 3ZE-EEE
# Running from : C:\Dokumente und Einstellungen\3ze\Desktop\adwcleaner.exe
# Option [Search]
***** [Services] *****
***** [Files / Folders] *****
Folder Found : C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\pdfforge
***** [Registry] *****
***** [Registre - GUID] *****
Key Found : HKLM\SOFTWARE\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
***** [Internet Browsers] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Registry is clean.
*************************
AdwCleaner[R1].txt - [888 octets] - [23/07/2012 20:45:40]
########## EOF - C:\AdwCleaner[R1].txt - [1015 octets] ##########
Ich schätze, wir sind trotz der gut aussehenden logs noch nicht fertig? Zudem bin ich gestern bei meiner Recherche auf der Seite von SOPHOS hxxp://www.sophos.com/de-de/threat-center/threat-analyses/viruses-and-spyware/Troj~Reveton-AL/detailed-analysis.aspx auf Hinweise gestoßen, was der mit ctfmon eingeschleppte Fiesling in der Registry verändert. Ich hab das eben mal bei mir nachgeprüft, die auf der obigen Seite gelisteteten Einträge (created und modified keys) sind bei mir identsich vorhanden. Code:
ATTFilter Registry Keys Created
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
2500 0x00000003
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
2500 0x00000003
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
2500 0x00000003
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
2500 0x00000003
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
2500 0x00000003
HKCU\Software\Microsoft\Internet Explorer\Main
NoProtectedModeBanner 0x00000001
Registry Keys Modified
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
1609 0x00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
1609 0x00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
1609 0x00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
1609 0x00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1609 0x00000000
Danke und Gruß, manne |
|
23.07.2012, 21:34
| #6 |
| /// Helfer-Team | GVU-Trojaner und mehr? ... XP Home Diese Reg-Keys setzen die Security-Zones runter. Diese kannst du so zurücksetzen: ![Name: Eigenschaften-von-Internetsicherheit-XP[1].png
Hits: 438
Größe: 36,4 KB](https://www.trojaner-board.de/attachments/38648d1343075643-gvu-trojaner-mehr-xp-home-eigenschaften-internetsicherheit-xp-1-.png)
danach: Malware-Scan mit Emsisoft Anti-Malware Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm. Lade über Jetzt Updaten die aktuellen Signaturen herunter. Wähle den Freeware-Modus aus. Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers. Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten. Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________ --> GVU-Trojaner und mehr? ... XP Home |
|
24.07.2012, 07:06
| #7 |
| | GVU-Trojaner und mehr? ... XP Home Hallo t'john, danke für die Registry-Erklärung. Hab die Stufe wieder angepasst. Soll ich die vom Fiesling neu erstellten DWORD-Werte (die 2500er-Werte) dann noch löschen? Nach Rückstellung auf die Standardstufe haben diese Werte sich nicht verändert (nur die modifizierten 1609er-Werte stehen wieder auf 1). Hier die logs: AdwCleaner: Code:
ATTFilter # AdwCleaner v1.703 - Logfile created 07/23/2012 at 22:48:59
# Updated 20/07/2012 by Xplode
# Operating system : Microsoft Windows XP Service Pack 3 (32 bits)
# User : 3ze - 3ZE-EEE
# Running from : C:\Dokumente und Einstellungen\3ze\Desktop\adwcleaner.exe
# Option [Delete]
***** [Services] *****
***** [Files / Folders] *****
Folder Deleted : C:\Dokumente und Einstellungen\3ze\Anwendungsdaten\pdfforge
***** [Registry] *****
***** [Registre - GUID] *****
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{A3F2A195-0D11-463b-96BB-D2FF1B7490A1}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{ECD0ECC6-DCA4-4013-A915-12355AB70999}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
***** [Internet Browsers] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Registry is clean.
*************************
AdwCleaner[R1].txt - [1016 octets] - [23/07/2012 20:45:40]
AdwCleaner[S1].txt - [956 octets] - [23/07/2012 22:48:59]
########## EOF - C:\AdwCleaner[S1].txt - [1083 octets] ##########
 über dem scan von a2 bin ich dann eingeschlafen. ... Emisoft AntiMalware: Code:
ATTFilter
Emsisoft Anti-Malware - Version 6.6
Letztes Update: 23.07.2012 22:57:35
Scan Einstellungen:
Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\
Archiv Scan: An
ADS Scan: An
Scan Beginn: 23.07.2012 22:58:03
c:\programme\powerquest\drive image 7.0\shared\pqv2iobj.dll gefunden: Riskware.RemoteAdmin.Win32.RemotelyAnywhere.o!E1
C:\Programme\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe gefunden: Adware.Win32.Toolbar.Dealio.AMN!E1
C:\Dokumente und Einstellungen\3ze\Desktop\Transfer\WIN98_2009_10_27\Eigene Dateien\Treiber + Software\PC Repair System\pcrepairsystem.zip -> LSASecretsView\LSASecretsView.exe gefunden: not-a-virus.PSWTool.LSASecretView!E2
C:\Dokumente und Einstellungen\3ze\Desktop\Transfer\WIN98_2009_10_27\Eigene Dateien\Treiber + Software\PC Repair System\pcrepairsystem.zip -> ProduKey\ProduKey.exe gefunden: not-a-virus.Hacktool.ProduKey!E2
C:\Dokumente und Einstellungen\3ze\Desktop\Transfer\WIN98_2009_10_27\Eigene Dateien\Treiber + Software\PC Repair System\pcrepairsystem.zip -> WirelessKeyView\WirelessKeyView.exe gefunden: not-a-virus:PSWTool.Win32.IEPassView!E2
Gescannt 661992
Gefunden 5
Scan Ende: 24.07.2012 02:07:32
Scan Zeit: 3:09:29
Da blickt man ein bisschen wehmütig zurück, damals konnte man sich (wenn man nicht ganz dämlich war) gar nichts einfangen, win98 war ne Festung.  |
|
25.07.2012, 00:50
| #8 | |
| /// Helfer-Team | GVU-Trojaner und mehr? ... XP Home Sehr gut! Zitat:
Deinstalliere: Emsisoft Anti-Malware ESET Online Scanner Vorbereitung
|
|
25.07.2012, 19:15
| #9 |
| | GVU-Trojaner und mehr? ... XP Home Hallo t'john, der Easy Photo Uploader für facebook wurde als Adware erkannt. Ist dem wirklich so? Er wird überall als Nicht-Adware angepriesen. ? Hier der eset.log Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=670beab6cca1154989cf56beea2be3f3
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-25 09:41:24
# local_time=2012-07-25 11:41:24 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777191 100 0 5440235 5440235 0 0
# compatibility_mode=8192 67108863 100 0 405 405 0 0
# scanned=193455
# found=3
# cleaned=3
# scan_time=14718
C:\Dokumente und Einstellungen\3ze\Eigene Dateien\Treiber und Software\Facebook Photo Uploader\Easy Photo Uploader for facebook\EasyPhotoUploader_for_Facebook_setup_1.0.0.8.exe Win32/Adware.Linkular.AB application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Programme\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Win32/Toolbar.Widgi application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\System Volume Information\_restore{FE782E9B-561B-478B-A991-2D42F01118FD}\RP367\A0122834.exe Win32/Toolbar.Widgi application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
|
|
25.07.2012, 19:29
| #10 |
| /// Helfer-Team | GVU-Trojaner und mehr? ... XP Home Sehr gut! Malware mit Combofix beseitigen Lade Combofix von einem der folgenden Download-Spiegel herunter: BleepingComputer.com - ForoSpyware.com und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig! Beachte die ausführliche Original-Anleitung. Zurzeit ist Combofix auf folgenden Windows-Versionen lauffähig:
Vorbereitung und wichtige Hinweise
Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen! |
|
25.07.2012, 23:36
| #11 |
| | GVU-Trojaner und mehr? ... XP Home Hallo t'john, das hat wohl nicht geklappt. Combofix arbeitete die verschiedenen Suchläufe ab. Dann hat es sich plötzlich beendet, es wurde keine logfiles erstellt und der Rechner startete einfach sofort neu. Dann kam 5mal hintereinander die Windowsmeldung "Windows wird nach einem schwerwiegenden Fehler wieder ausgeführt.." Im Explorer hat sich dafür ein merkwürdiges Phänomen eingeschlichen. Unter C:\ wird ein Verzeichnis "Combofix" aufgeführt. Dieses hat das selbe Symbol wie der Arbeitsplatz und verhält sich auch so Clicke ich drauf, wird im rechten Fenster der Inhalt des Arbeitsplatzes angezeigt. Clicke ich an dieser Stelle erneut auf C: öffnet sich ein neuer (Unter-)Berzeichnisbaum von C:. Auch hier gibts dann wieder diesen Ordner Combofix. Usw. usw., das geht endlos. Was nun? |
|
26.07.2012, 11:01
| #12 |
| /// Helfer-Team | GVU-Trojaner und mehr? ... XP Home Gib es eine C:\ComboFix.txt Poste bitte den Inhalt. |
|
26.07.2012, 11:12
| #13 |
| | GVU-Trojaner und mehr? ... XP Home Nein, gibt es nicht. Es wurden wie gesagt keine logs erstellt. |
|
26.07.2012, 11:32
| #14 |
| /// Helfer-Team | GVU-Trojaner und mehr? ... XP Home 1. Schritt Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten. dann: CustomScan mit OTL Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.
Code:
ATTFilter netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
|
|
26.07.2012, 11:53
| #15 |
| | GVU-Trojaner und mehr? ... XP Home Mach ich, mbam braucht dann wieder seine Zeit. Als Anhang noch ein shot von dem beschriebenen Combofix-Arbeitsplatz-Phänomen.  |
|
| Themen zu GVU-Trojaner und mehr? ... XP Home |
| 7-zip, akamai, antivir, application/pdf:, audacity, avira, bho, bleachbit, c:\windows\system32\cmd.exe, canon, ctfmon.lnk, desktop, device driver, error, excel, expert pdf, fehler, firefox, flash player, google earth, gruppe, helper, heuristiks/extra, heuristiks/shuriken, home, iexplore.exe, installation, jdownloader, logfile, mozilla, mp3, msiinstaller, netbios-ns, netstat, nicht installiert, plug-in, realtek, registry, rootkit, scan, searchscopes, senden, software, starten, super, vodafone, windows internet |
Textbox von OTL - wenn OTL auf deutsch ist wird sie mit 
beschriftet
.
Linear-Darstellung
