Bundestrojaner eingefangen

markus13 · 01.08.2012, 10:51

Hallo liebes Trojaner-Board,

ich habe heute Morgen mit Entsetzen feststellen müssen, dass ich mir diesen sch.... Trojaner eingefangen habe.

Im Anschluss schicke ich die Ergebnisse des Scans mit Malware und OTL.

Malware: (mbam-log)

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.01.03

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Markus :: ANDI-MARKUS-PC [Administrator]

01.08.2012 11:14:27
mbam-log-2012-08-01 (11-14-27).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 210177
Laufzeit: 2 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

OTL-Ergebnisse:

OTL logfile created on: 01.08.2012 10:57:22 - Run 1
OTL by OldTimer - Version 3.2.55.0 Folder = E:\
64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,92 Gb Total Physical Memory | 3,43 Gb Available Physical Memory | 87,52% Memory free
7,83 Gb Paging File | 7,36 Gb Available in Paging File | 93,94% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 421,81 Gb Total Space | 238,24 Gb Free Space | 56,48% Space Free | Partition Type: NTFS
Drive D: | 29,00 Gb Total Space | 26,85 Gb Free Space | 92,61% Space Free | Partition Type: NTFS
Drive E: | 1,97 Gb Total Space | 1,96 Gb Free Space | 99,84% Space Free | Partition Type: FAT

Computer Name: ANDI-MARKUS-PC | User Name: Markus | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: All users | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - E:\OTL.exe (OldTimer Tools)

========== Modules (No Company Name) ==========

========== Win32 Services (SafeList) ==========

SRV:64bit: - (Dnscache) -- C:\Windows\SysNative\pouaj9hjw.dll (Parental Solutions Inc.)
SRV:64bit: - (TPHDEXLGSVC) -- C:\Windows\SysNative\TPHDEXLG64.exe (Lenovo.)
SRV - (AVGIDSAgent) -- C:\Program Files (x86)\AVG\AVG2012\AVGIDSAgent.exe (AVG Technologies CZ, s.r.o.)
SRV - (avgwd) -- C:\Program Files (x86)\AVG\AVG2012\avgwdsvc.exe (AVG Technologies CZ, s.r.o.)
SRV - (AdobeARMservice) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (Update-Service) -- C:\Windows\SysWOW64\UpdSvc.dll (Joosoft.com GmbH)
SRV - (ServiceLayer) -- C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe (Nokia)
SRV - (wlidsvc) -- C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (Microsoft Corp.)
SRV - (btwdins) -- C:\Programme\Lenovo\Bluetooth Software\btwdins.exe (Broadcom Corporation.)
SRV - (UNS) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (Intel Corporation)
SRV - (LMS) -- C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (Intel Corporation)
SRV - (EgisTec Service) -- C:\Program Files (x86)\EgisTec BioExcess\EgisService.exe (Egis Technology Inc. )
SRV - (EgisTec Ticket Service) -- C:\Program Files (x86)\Common Files\EgisTec\Services\EgisTicketService.exe (Egis Technology Inc. )
SRV - (EgisTec Service Help) -- C:\Program Files (x86)\EgisTec Port Locker\Egishlpsvc.exe (Egis Technology Inc. )
SRV - (HPSLPSVC) -- C:\Program Files (x86)\HP\Digital Imaging\bin\HPSLPSVC64.DLL (Hewlett-Packard Co.)
SRV - (wlcrasvc) -- C:\Programme\Windows Live\Mesh\wlcrasvc.exe (Microsoft Corporation)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (BrYNSvc) -- C:\Program Files (x86)\Browny02\BrYNSvc.exe (Brother Industries, Ltd.)
SRV - (osppsvc) -- C:\Programme\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (Microsoft Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)

========== Driver Services (SafeList) ==========

DRV:64bit: - (AVGIDSHA) -- C:\Windows\SysNative\drivers\avgidsha.sys (AVG Technologies CZ, s.r.o. )
DRV:64bit: - (Avgtdia) -- C:\Windows\SysNative\drivers\avgtdia.sys (AVG Technologies CZ, s.r.o.)
DRV:64bit: - (Fs_Rec) -- C:\windows\SysNative\drivers\fs_rec.sys (Microsoft Corporation)
DRV:64bit: - (Avgldx64) -- C:\Windows\SysNative\drivers\avgldx64.sys (AVG Technologies CZ, s.r.o.)
DRV:64bit: - (Avgrkx64) -- C:\Windows\SysNative\drivers\avgrkx64.sys (AVG Technologies CZ, s.r.o.)
DRV:64bit: - (Avgmfx64) -- C:\Windows\SysNative\drivers\avgmfx64.sys (AVG Technologies CZ, s.r.o.)
DRV:64bit: - (AVGIDSFilter) -- C:\Windows\SysNative\drivers\avgidsfiltera.sys (AVG Technologies CZ, s.r.o. )
DRV:64bit: - (AVGIDSDriver) -- C:\Windows\SysNative\drivers\avgidsdrivera.sys (AVG Technologies CZ, s.r.o. )
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (fbfmon) -- C:\Windows\SysNative\drivers\fbfmon.sys (Lenovo)
DRV:64bit: - (BPntDrv) -- C:\Windows\SysNative\drivers\BPntDrv.sys (Lenovo)
DRV:64bit: - (LHDmgr) -- C:\Windows\SysNative\drivers\LhdX64.sys (Lenovo.)
DRV:64bit: - (ACPIVPC) -- C:\Windows\SysNative\drivers\AcpiVpc.sys (Lenovo Corporation)
DRV:64bit: - (EgisTecFF) -- C:\Windows\SysNative\drivers\EgisTecFF.sys (Egis Technology Inc.)
DRV:64bit: - (mwlPSDVDisk) -- C:\Windows\SysNative\drivers\mwlPSDVDisk.sys (Egis Technology Inc.)
DRV:64bit: - (mwlPSDFilter) -- C:\Windows\SysNative\drivers\mwlPSDFilter.sys (Egis Technology Inc.)
DRV:64bit: - (mwlPSDNServ) -- C:\Windows\SysNative\drivers\mwlPSDNserv.sys (Egis Technology Inc.)
DRV:64bit: - (UsbserFilt) -- C:\Windows\SysNative\drivers\usbser_lowerfltjx64.sys (Nokia)
DRV:64bit: - (upperdev) -- C:\Windows\SysNative\drivers\usbser_lowerfltx64.sys (Nokia)
DRV:64bit: - (nmwcdc) -- C:\Windows\SysNative\drivers\ccdcmbox64.sys (Nokia)
DRV:64bit: - (nmwcd) -- C:\Windows\SysNative\drivers\ccdcmbx64.sys (Nokia)
DRV:64bit: - (USBAAPL64) -- C:\Windows\SysNative\drivers\usbaapl64.sys (Apple, Inc.)
DRV:64bit: - (BrSerIb) -- C:\Windows\SysNative\drivers\BrSerIb.sys (Brother Industries Ltd.)
DRV:64bit: - (BrUsbSIb) -- C:\Windows\SysNative\drivers\BrUsbSib.sys (Brother Industries Ltd.)
DRV:64bit: - (igfx) -- C:\Windows\SysNative\drivers\igdkmd64.sys (Intel Corporation)
DRV:64bit: - (iaStor) -- C:\Windows\SysNative\drivers\iaStor.sys (Intel Corporation)
DRV:64bit: - (BTWAMPFL) -- C:\Windows\SysNative\drivers\btwampfl.sys (Broadcom Corporation.)
DRV:64bit: - (btwavdt) -- C:\Windows\SysNative\drivers\btwavdt.sys (Broadcom Corporation.)
DRV:64bit: - (btwaudio) -- C:\Windows\SysNative\drivers\btwaudio.sys (Broadcom Corporation.)
DRV:64bit: - (btwl2cap) -- C:\Windows\SysNative\drivers\btwl2cap.sys (Broadcom Corporation.)
DRV:64bit: - (btwrchid) -- C:\Windows\SysNative\drivers\btwrchid.sys (Broadcom Corporation.)
DRV:64bit: - (ETD) -- C:\Windows\SysNative\drivers\ETD.sys (ELAN Microelectronics Corp.)
DRV:64bit: - (clwvd) -- C:\Windows\SysNative\drivers\clwvd.sys (CyberLink Corporation)
DRV:64bit: - (RSUSBVSTOR) -- C:\Windows\SysNative\drivers\rtsuvstor.sys (Realtek Semiconductor Corp.)
DRV:64bit: - (TsUsbFlt) -- C:\Windows\SysNative\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV:64bit: - (usbser) -- C:\Windows\SysNative\drivers\usbser.sys (Microsoft Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (TsUsbGD) -- C:\Windows\SysNative\drivers\TsUsbGD.sys (Microsoft Corporation)
DRV:64bit: - (FPSensor) -- C:\Windows\SysNative\drivers\FPSensor.sys (Egis Technology Inc.)
DRV:64bit: - (BCM43XX) -- C:\Windows\SysNative\drivers\BCMWL664.SYS (Broadcom Corporation)
DRV:64bit: - (MEIx64) -- C:\Windows\SysNative\drivers\HECIx64.sys (Intel Corporation)
DRV:64bit: - (IntcDAud) -- C:\Windows\SysNative\drivers\IntcDAud.sys (Intel(R) Corporation)
DRV:64bit: - (Shockprf) -- C:\Windows\SysNative\drivers\ApsX64.sys (Lenovo.)
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek )
DRV:64bit: - (TPDIGIMN) -- C:\Windows\SysNative\drivers\ApsHM64.sys (Lenovo.)
DRV:64bit: - (wsvd) -- C:\Windows\SysNative\drivers\wsvd.sys (CyberLink)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (WSDPrintDevice) -- C:\Windows\SysNative\drivers\WSDPrint.sys (Microsoft Corporation)
DRV:64bit: - (StillCam) -- C:\Windows\SysNative\drivers\serscan.sys (Microsoft Corporation)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (GEARAspiWDM) -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys (GEAR Software Inc.)
DRV:64bit: - (pccsmcfd) -- C:\Windows\SysNative\drivers\pccsmcfdx64.sys (Nokia)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.lenovo.com/ [binary data]
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://lenovo.msn.com
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.lenovo.com/ [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://lenovo.msn.com
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-21-889688967-3246695938-3363739068-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=LENN&bmod=LENN
IE - HKU\S-1-5-21-889688967-3246695938-3363739068-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale=de_DE
IE - HKU\S-1-5-21-889688967-3246695938-3363739068-1004\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKU\S-1-5-21-889688967-3246695938-3363739068-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=LENDF8&pc=MALN&src=IE-SearchBox
IE - HKU\S-1-5-21-889688967-3246695938-3363739068-1004\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7LENN
IE - HKU\S-1-5-21-889688967-3246695938-3363739068-1004\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = hxxp://isearch.avg.com/search?cid={950EB0F9-0B8A-4097-B4F7-322B44DD1657}&mid=0a9c0ded6e5a47d184b7b1915f10b43c-18b3cd41c3f61fc062a75971865a6938f47bb19b&lang=en&ds=AVG&pr=fr&d=&v=&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-889688967-3246695938-3363739068-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - user.js - File not found

FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.2.1: C:\windows\system32\npDeployJava1.dll (Sun Microsystems, Inc.)
FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.2.1: C:\Program Files\Oracle\JavaFX 2.0 Runtime\bin\new_plugin\npjp2.dll (Oracle Corporation)
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_32: C:\windows\SysWOW64\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3508.1109: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3538.0513: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3555.0308: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{41ecbc0b-34d5-4cd4-935f-253a30e2cb7e}: C:\Program Files (x86)\EgisTec BioExcess\FFExt [2011.11.06 02:09:20 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2011.12.10 17:27:01 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{1E73965B-8B48-48be-9C8D-68B920ABC1C4}: C:\Program Files (x86)\AVG\AVG2012\Firefox4\ [2012.07.18 19:12:58 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{F53C93F1-07D5-430c-86D4-C9531B27DFAF}: C:\Program Files (x86)\AVG\AVG2012\Firefox\DoNotTrack\ [2012.07.13 17:30:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Components: C:\Program Files (x86)\Mozilla Firefox\components [2012.04.30 21:09:35 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.2\extensions\\Plugins: C:\Program Files (x86)\Mozilla Firefox\plugins

[2011.12.11 13:42:43 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Markus\AppData\Roaming\mozilla\Extensions
[2012.05.04 20:54:31 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions
[2012.05.04 20:54:32 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files (x86)\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA}
[2012.07.13 17:30:11 | 000,000,000 | ---D | M] (AVG Do Not Track) -- C:\PROGRAM FILES (X86)\AVG\AVG2012\FIREFOX\DONOTTRACK
[2012.02.25 17:27:24 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files (x86)\mozilla firefox\components\browsercomps.dll
[2012.02.23 21:57:36 | 000,001,392 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.01.06 11:22:00 | 000,003,739 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
[2012.02.23 21:57:36 | 000,002,252 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\bing.xml
[2012.02.23 21:57:36 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml
[2012.02.23 21:57:36 | 000,006,805 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.02.23 21:57:36 | 000,001,178 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.02.23 21:57:36 | 000,001,105 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (AVG Do Not Track) - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Program Files (x86)\AVG\AVG2012\avgdtiea.dll (AVG Technologies CZ, s.r.o.)
O2:64bit: - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG2012\avgssiea.dll (AVG Technologies CZ, s.r.o.)
O2:64bit: - BHO: (EgisPBIE Class) - {7B51CCBE-4AF9-44A6-BDAB-D7F7E4C4E6F9} - C:\Program Files (x86)\EgisTec BioExcess\x64\EgisPBIE.dll (Egis Technology Inc.)
O2:64bit: - BHO: (Windows Live ID Sign-in Helper) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corp.)
O2:64bit: - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.0 Runtime\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (AVG Do Not Track) - {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA} - C:\Program Files (x86)\AVG\AVG2012\avgdtiex.dll (AVG Technologies CZ, s.r.o.)
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG2012\avgssie.dll (AVG Technologies CZ, s.r.o.)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (EgisPBIE Class) - {7B51CCBE-4AF9-44A6-BDAB-D7F7E4C4E6F9} - C:\Program Files (x86)\EgisTec BioExcess\EgisPBIE.dll (Egis Technology Inc.)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL (Microsoft Corporation)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [Energy Management] C:\Program Files (x86)\Lenovo\Energy Management\Energy Management.exe (Lenovo (Beijing) Limited)
O4:64bit: - HKLM..\Run: [EnergyUtility] C:\Program Files (x86)\Lenovo\Energy Management\Utility.exe (Lenovo(beijing) Limited)
O4:64bit: - HKLM..\Run: [ETDCtrl] C:\Programme\Elantech\ETDCtrl.exe (ELAN Microelectronics Corp.)
O4:64bit: - HKLM..\Run: [HotKeysCmds] C:\Windows\SysNative\hkcmd.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [IgfxTray] C:\Windows\SysNative\igfxtray.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [Lenovo EE Boot Optimizer] C:\Program Files (x86)\Lenovo\Boot Optimizer\PopWnd.exe (Lenovo)
O4:64bit: - HKLM..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4:64bit: - HKLM..\Run: [TpShocks] C:\Windows\SysNative\TpShocks.exe (Lenovo.)
O4:64bit: - HKLM..\Run: [wmcodecdspps] C:\Users\Markus\AppData\Local\Microsoft\Windows\1320\wmcodecdspps.exe ()
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [AVG_TRAY] C:\Program Files (x86)\AVG\AVG2012\avgtray.exe (AVG Technologies CZ, s.r.o.)
O4 - HKLM..\Run: [BrStsMon00] C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [ControlCenter4] C:\Program Files (x86)\ControlCenter4\BrCcBoot.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [EgisTecPMMUpdate] C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe (Egis Technology Inc.)
O4 - HKLM..\Run: [EgisUpdate] C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe (Egis Technology Inc.)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Program Files (x86)\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [PLTSR] C:\Program Files (x86)\EgisTec Port Locker\EgisPLTSR.exe (Egis Technology Inc. )
O4 - HKLM..\Run: [UpdateP2GShortCut] C:\Program Files (x86)\Lenovo\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [UpdatePRCShortCut] C:\Program Files\Lenovo\OneKey App\OneKey Recovery\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)
O4 - HKLM..\Run: [VitaKeyTSR] C:\Program Files (x86)\EgisTec BioExcess\EgisTSR.exe (Egis Technology Inc. )
O4 - HKLM..\Run: [YouCam Mirage] C:\Program Files (x86)\Lenovo\YouCam\YCMMirage.exe (CyberLink)
O4 - HKLM..\Run: [YouCam Tray] C:\Program Files (x86)\Lenovo\YouCam\YouCam.exe (CyberLink Corp.)
O4 - HKU\S-1-5-19..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [Sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\S-1-5-21-889688967-3246695938-3363739068-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8:64bit: - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O8:64bit: - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm ()
O8:64bit: - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm ()
O8 - Extra context menu item: An OneNote s&enden - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm ()
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm ()
O9:64bit: - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9:64bit: - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9:64bit: - Extra Button: AVG Do Not Track - {68BCFFE1-A2DA-4B40-9068-87ECBFC19D16} - C:\Program Files (x86)\AVG\AVG2012\avgdtiea.dll (AVG Technologies CZ, s.r.o.)
O9:64bit: - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9:64bit: - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9:64bit: - Extra Button: @C:\Program Files\Lenovo\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm ()
O9:64bit: - Extra 'Tools' menuitem : @C:\Program Files\Lenovo\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra Button: AVG Do Not Track - {68BCFFE1-A2DA-4B40-9068-87ECBFC19D16} - C:\Program Files (x86)\AVG\AVG2012\avgdtiex.dll (AVG Technologies CZ, s.r.o.)
O9 - Extra Button: Senden an Bluetooth - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm ()
O9 - Extra 'Tools' menuitem : Senden an &Bluetooth-Gerät... - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Lenovo\Bluetooth Software\btsendto_ie.htm ()
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000008 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000009 [] - C:\Programme\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab (Java Plug-in 10.2.1)
O16:64bit: - DPF: {CAFEEFAC-0017-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab (Java Plug-in 1.7.0_02)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_02-windows-i586.cab (Java Plug-in 1.7.0_02)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C95E19D9-6974-402A-B9DC-2DB27DBF741C}: DhcpNameServer = 192.168.1.1
O18:64bit: - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgppa.dll (AVG Technologies CZ, s.r.o.)
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgpp.dll (AVG Technologies CZ, s.r.o.)
O18:64bit: - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\windows\system32\userinit.exe) - C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20:64bit: - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - C:\windows\SysNative\igfxdev.dll (Intel Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (C:\PROGRA~2\AVG\AVG2012\avgrsa.exe /sync /restart)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

========== Files/Folders - Created Within 30 Days ==========

[2012.08.01 08:23:02 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Roaming\hellomoto
[2012.08.01 08:01:29 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{5F9A98F6-C856-4140-AC7F-9519065E0431}
[2012.08.01 08:01:17 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{B8E8538D-29EE-4D2C-ADF6-5D275C9F95D8}
[2012.07.31 15:58:32 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{9DE10A49-8F69-48CA-8A5D-172F6388C620}
[2012.07.31 15:58:20 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{D6C4EDE8-5FA3-41E2-A6E5-C974D6770CEF}
[2012.07.30 11:16:32 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{A34C9401-E56D-43A9-A23D-1B32C7B23D0E}
[2012.07.30 11:16:21 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{B56D6A94-9D40-47B2-BD2F-E679821561E5}
[2012.07.29 09:58:08 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{78344406-AD75-4DC1-A569-2585CC8288C3}
[2012.07.29 09:57:56 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{DC40AD5F-4E79-48C3-9E5A-E2E2209EE9E2}
[2012.07.28 09:12:34 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{A6CD91D0-215D-46A7-A1F2-BC8C3DE8D326}
[2012.07.28 09:12:22 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{A534BE0E-D94A-4623-AF8B-0607DD7E79C8}
[2012.07.26 13:58:01 | 000,000,000 | ---D | C] -- C:\Users\Markus\Documents\gegl-0.0
[2012.07.25 21:53:41 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{DAB5FB3E-0AF1-430B-80E3-54F9BA938489}
[2012.07.25 21:53:30 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{0CB622A6-A664-4C32-8484-4A9EE23882A0}
[2012.07.21 20:26:39 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{4DD0C21B-6EC9-4225-AC48-91068E89E68F}
[2012.07.21 20:26:27 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{845BDB0B-6DE7-43A8-8DDC-06A41BC7D627}
[2012.07.20 09:29:05 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Roaming\ControlCenter4
[2012.07.20 09:03:19 | 000,000,000 | ---D | C] -- C:\Brother
[2012.07.20 09:03:12 | 000,000,000 | ---D | C] -- C:\ProgramData\ControlCenter4
[2012.07.20 09:03:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Browny02
[2012.07.20 09:03:05 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ControlCenter4
[2012.07.20 09:03:02 | 000,290,304 | ---- | C] (Brother Industries, Ltd.) -- C:\windows\SysNative\BrfxDA5c.dll
[2012.07.20 09:02:59 | 000,083,968 | ---- | C] (Brother Industries, Ltd.) -- C:\windows\SysNative\BrNetSti.dll
[2012.07.20 09:02:57 | 001,439,744 | ---- | C] (Brother Industries, Ltd.) -- C:\windows\SysNative\BrWi209d.dll
[2012.07.20 09:02:57 | 000,278,528 | ---- | C] (Brother Industries, Ltd.) -- C:\windows\SysNative\BrJDec.dll
[2012.07.20 09:02:51 | 000,103,792 | ---- | C] (Brother Industries Ltd) -- C:\windows\SysWow64\BRRBI100.EXE
[2012.07.20 09:02:51 | 000,050,176 | ---- | C] (Brother Industries Ltd.) -- C:\windows\SysWow64\BRPRTINK.DLL
[2012.07.20 08:35:16 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{9C77767F-CE8A-42C6-A9D7-3015CBB56D71}
[2012.07.20 08:35:05 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{9F6BF40D-FE4F-4367-8976-CF3DFFECB56F}
[2012.07.19 10:54:21 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{6E8F35FF-8916-45AC-AABB-BED3C7A14F58}
[2012.07.19 10:54:10 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{FE323C7E-256B-40A0-8702-3E674A889965}
[2012.07.18 19:12:58 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG
[2012.07.18 19:08:53 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{E88AD4FD-A2EF-4FA7-AD88-63A942538EFD}
[2012.07.18 19:08:42 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{09AA77C3-BAA3-4E6F-B0F0-78BB1D87BAD3}
[2012.07.16 12:38:51 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{AD801906-8A53-45C4-99F0-A534A573438E}
[2012.07.16 12:38:40 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{BB106482-27D7-4825-9668-FCB1331D08E1}
[2012.07.15 18:17:34 | 000,294,912 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\browserchoice.exe
[2012.07.14 14:55:58 | 000,237,056 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\url.dll
[2012.07.14 14:55:58 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\url.dll
[2012.07.14 14:55:58 | 000,096,768 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\mshtmled.dll
[2012.07.14 14:55:58 | 000,073,216 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\mshtmled.dll
[2012.07.14 14:55:57 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\ieui.dll
[2012.07.14 14:55:56 | 000,248,320 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\ieui.dll
[2012.07.14 14:55:56 | 000,173,056 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\ieUnatt.exe
[2012.07.14 14:55:56 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\ieUnatt.exe
[2012.07.14 14:55:55 | 002,311,680 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\jscript9.dll
[2012.07.14 14:55:55 | 001,494,528 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\inetcpl.cpl
[2012.07.14 14:55:55 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\inetcpl.cpl
[2012.07.14 14:55:55 | 000,716,800 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\jscript.dll
[2012.07.14 14:55:54 | 000,818,688 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\jscript.dll
[2012.07.13 17:31:47 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\msxml3r.dll
[2012.07.13 17:31:47 | 000,002,048 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\msxml3r.dll
[2012.07.13 17:31:42 | 000,307,200 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\ncrypt.dll
[2012.07.13 17:31:41 | 000,805,376 | ---- | C] (Microsoft Corporation) -- C:\windows\SysWow64\cdosys.dll
[2012.07.13 17:31:40 | 001,133,568 | ---- | C] (Microsoft Corporation) -- C:\windows\SysNative\cdosys.dll
[2012.07.13 17:23:38 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{0B612712-D93E-4C00-AA13-11CA7A2CB2C8}
[2012.07.13 17:23:27 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{67DA64F6-2223-472B-BD3F-955597A50721}
[2012.07.02 12:34:47 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{529E57D0-9A0F-40AF-81A0-0AED80FECEAE}
[2012.07.02 12:34:36 | 000,000,000 | ---D | C] -- C:\Users\Markus\AppData\Local\{4C96B198-3254-4274-885F-955B72DF1010}

========== Files - Modified Within 30 Days ==========

[2012.08.01 10:56:20 | 001,498,742 | ---- | M] () -- C:\windows\SysNative\PerfStringBackup.INI
[2012.08.01 10:56:20 | 000,654,400 | ---- | M] () -- C:\windows\SysNative\perfh007.dat
[2012.08.01 10:56:20 | 000,616,242 | ---- | M] () -- C:\windows\SysNative\perfh009.dat
[2012.08.01 10:56:20 | 000,130,240 | ---- | M] () -- C:\windows\SysNative\perfc007.dat
[2012.08.01 10:56:20 | 000,106,622 | ---- | M] () -- C:\windows\SysNative\perfc009.dat
[2012.08.01 10:52:59 | 000,217,759 | ---- | M] () -- C:\windows\SysNative\fastboot.set
[2012.08.01 10:52:10 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat
[2012.08.01 10:51:59 | 3153,702,912 | -HS- | M] () -- C:\hiberfil.sys
[2012.08.01 10:51:10 | 000,021,072 | -H-- | M] () -- C:\windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.08.01 10:51:10 | 000,021,072 | -H-- | M] () -- C:\windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.08.01 08:14:34 | 102,660,437 | ---- | M] () -- C:\windows\SysNative\drivers\AVG\incavi.avm
[2012.07.29 17:03:17 | 000,159,980 | ---- | M] () -- C:\windows\SysNative\drivers\AVG\iavichjg.avm
[2012.07.26 13:59:53 | 000,001,463 | ---- | M] () -- C:\Users\Markus\.recently-used.xbel
[2012.07.20 09:04:32 | 000,000,427 | ---- | M] () -- C:\windows\Brpfx04a.ini
[2012.07.20 09:04:32 | 000,000,159 | ---- | M] () -- C:\windows\brpcfx.ini
[2012.07.20 09:04:24 | 000,002,944 | ---- | M] () -- C:\windows\BRPARAM.INI
[2012.07.16 11:59:24 | 000,000,432 | ---- | M] () -- C:\windows\BRWMARK.INI
[2012.07.16 11:46:04 | 000,428,856 | ---- | M] () -- C:\windows\SysNative\FNTCACHE.DAT

========== Files Created - No Company Name ==========

[2012.07.26 13:59:53 | 000,001,463 | ---- | C] () -- C:\Users\Markus\.recently-used.xbel
[2012.07.20 09:04:12 | 000,002,944 | ---- | C] () -- C:\windows\BRPARAM.INI
[2012.07.20 09:03:00 | 000,143,360 | ---- | C] () -- C:\windows\SysNative\BrSNMP64.dll
[2012.05.28 17:52:24 | 000,000,431 | ---- | C] () -- C:\Users\Markus\.jdivelog
[2012.02.24 12:35:20 | 000,000,427 | ---- | C] () -- C:\windows\Brpfx04a.ini
[2012.02.24 12:35:20 | 000,000,159 | ---- | C] () -- C:\windows\brpcfx.ini
[2012.02.24 12:34:05 | 000,000,066 | ---- | C] () -- C:\windows\Brfaxrx.ini
[2012.02.24 12:34:05 | 000,000,000 | ---- | C] () -- C:\windows\brdfxspd.dat
[2011.12.23 13:08:39 | 000,000,432 | ---- | C] () -- C:\windows\BRWMARK.INI
[2011.12.23 13:06:33 | 000,045,056 | ---- | C] () -- C:\windows\SysWow64\BRTCPCON.DLL
[2011.12.23 13:06:33 | 000,000,114 | ---- | C] () -- C:\windows\SysWow64\BRLMW03A.INI
[2011.12.10 17:48:02 | 000,226,718 | ---- | C] () -- C:\windows\hpoins18.dat.temp
[2011.12.10 17:39:30 | 000,005,355 | ---- | C] () -- C:\windows\hpomdl18.dat.temp
[2011.12.10 17:32:36 | 000,000,000 | ---- | C] () -- C:\windows\HPMProp.INI
[2011.12.10 17:31:41 | 000,316,928 | ---- | C] () -- C:\windows\SysWow64\hpcc3118.dll
[2011.12.10 17:22:58 | 000,225,956 | ---- | C] () -- C:\windows\hpoins18.dat
[2011.12.10 17:22:58 | 000,005,355 | ---- | C] () -- C:\windows\hpomdl18.dat
[2011.11.06 11:01:31 | 000,300,328 | ---- | C] () -- C:\windows\it50.dll
[2011.11.06 11:01:31 | 000,003,443 | ---- | C] () -- C:\windows\UTILITYDRV.SYS
[2011.11.06 11:01:30 | 000,259,368 | ---- | C] () -- C:\windows\FastBR.dll
[2011.11.06 11:01:30 | 000,259,368 | ---- | C] () -- C:\windows\CopyFile.dll
[2011.11.06 11:01:30 | 000,218,408 | ---- | C] () -- C:\windows\Image.dll
[2011.11.06 11:01:30 | 000,202,024 | ---- | C] () -- C:\windows\HardDisk.dll
[2011.11.06 11:01:30 | 000,177,448 | ---- | C] () -- C:\windows\disk.dll
[2011.11.06 11:01:30 | 000,110,592 | ---- | C] () -- C:\windows\BootseqwWmi.exe
[2011.11.06 11:01:30 | 000,081,920 | ---- | C] () -- C:\windows\Bootseqw32.exe
[2011.11.06 11:01:30 | 000,049,152 | ---- | C] () -- C:\windows\CHGBOOTW.EXE
[2011.11.06 11:01:30 | 000,010,068 | ---- | C] () -- C:\windows\GT.EXE
[2011.11.06 11:01:30 | 000,008,704 | ---- | C] () -- C:\windows\Access32.sys
[2011.11.06 02:03:07 | 000,089,328 | ---- | C] () -- C:\windows\un_dext.exe
[2011.11.06 02:03:07 | 000,087,928 | ---- | C] () -- C:\windows\SPRemove_x64.exe
[2011.11.06 02:03:07 | 000,003,566 | ---- | C] () -- C:\windows\Dext_09.ini
[2011.11.06 02:03:07 | 000,002,998 | ---- | C] () -- C:\windows\Dext_04.ini
[2011.11.06 02:03:07 | 000,002,790 | ---- | C] () -- C:\windows\Dext_2052.ini
[2011.11.06 02:03:07 | 000,002,573 | ---- | C] () -- C:\windows\Remove.ini
[2011.04.15 07:28:23 | 000,963,116 | ---- | C] () -- C:\windows\SysWow64\igkrng600.bin
[2011.04.15 07:28:18 | 000,216,876 | ---- | C] () -- C:\windows\SysWow64\igfcg600m.bin
[2011.04.15 07:28:13 | 000,145,804 | ---- | C] () -- C:\windows\SysWow64\igcompkrng600.bin

========== LOP Check ==========

[2012.04.30 21:05:45 | 000,000,000 | ---D | M] -- C:\Users\Andi\AppData\Roaming\AVG2012
[2011.12.18 16:56:53 | 000,000,000 | ---D | M] -- C:\Users\Andi\AppData\Roaming\Babylon
[2012.07.24 21:28:49 | 000,000,000 | ---D | M] -- C:\Users\Andi\AppData\Roaming\ControlCenter4
[2011.12.19 21:50:29 | 000,000,000 | ---D | M] -- C:\Users\Andi\AppData\Roaming\DVDVideoSoft
[2011.12.19 21:50:25 | 000,000,000 | ---D | M] -- C:\Users\Andi\AppData\Roaming\DVDVideoSoftIEHelpers
[2011.12.17 21:02:44 | 000,000,000 | ---D | M] -- C:\Users\Andi\AppData\Roaming\PC Suite
[2011.12.11 22:49:56 | 000,000,000 | ---D | M] -- C:\Users\Andi\AppData\Roaming\Windows Live Writer
[2012.04.30 15:48:13 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\AVG
[2012.01.06 11:22:32 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\AVG2012
[2012.07.20 09:29:15 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\ControlCenter4
[2011.12.22 17:57:17 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\FreePDF
[2012.07.26 13:59:53 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\gtk-2.0
[2012.08.01 08:23:09 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\hellomoto
[2012.05.28 19:02:41 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\IrfanView
[2012.03.22 15:08:54 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\Mp3tag
[2011.12.18 14:58:39 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\MyPhoneExplorer
[2012.02.08 19:18:47 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\Nokia
[2012.02.08 19:18:47 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\Nokia Suite
[2011.12.17 15:27:51 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\PC Suite
[2012.02.27 19:35:05 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\PC-FAX TX
[2011.12.29 11:24:49 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\Sync App Settings
[2011.12.12 11:13:39 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\Thunderbird
[2011.12.10 18:34:32 | 000,000,000 | ---D | M] -- C:\Users\Markus\AppData\Roaming\Windows Live Writer
[2012.06.01 08:24:03 | 000,032,640 | ---- | M] () -- C:\windows\Tasks\SCHEDLGU.TXT

========== Purity Check ==========

========== Alternate Data Streams ==========

@Alternate Data Stream - 127 bytes -> C:\ProgramData\Temp:0B4227B4

< End of report >

Ich hoffe, dass die Daten aussagekräftig sind und Ihr mir schnell helfen könnt.
Hierfür danke ich schon mal im Voraus.

Gruß
Markus

markusg · 01.08.2012, 11:25

hi

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien.
bitte rechtsklick auf den ordner, mit winrar oder zip packen, und anhängen

markus13 · 01.08.2012, 12:56

...hier noch die gewünschten Scans.

AHT · 01.08.2012, 15:10

MarkusG hat unter anderem einen aktiven Mediyes Trojaner bei dir erkannt und mich informiert (hab das Ding damals entdekt).

markusg · 01.08.2012, 15:50

um den bundestrojaner erst einmal los zu werden:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

AHT · 08.08.2012, 16:20

PPFScan.exe im abgesicherten Modus mit Netzwerk starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

ATTFilter

CREATE_FOLDER->C:\PPFS_Sicherung

KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->Firefox.exe
KILL_PROCESS->Chrome.exe
KILL_PROCESS->OPERA.exe
KILL_PROCESS->svchost.exe


REGISTRY_DELETE_VALUE->HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
->wmcodecdspps
COPY_FILE->C:\Users\Markus\AppData\Local\Microsoft\Windows\1320\wmcodecdspps.exe>C:\PPFS_Sicherung\wmcodecdspps.ex_
COPY_FILE->C:\windows\system32\pouaj9hjw.dll>C:\PPFS_Sicherung\pouaj9hjw.dll
COPY_FILE->C:\windows\SysWOW64\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dl
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache>C:\PPFS_Sicherung\Dnscache.RE_
REGISTRY_SAVE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Update-Service>C:\PPFS_Sicherung\UPDSVC.RE_

SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C646E7372736C76722E646C6C00
->2
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
->Update-Service
REGISTRY_DELETE_KEY->HKEY_LOCAL_MACHINE\SOFTWARE
->Joosoft.com
SET_REGISTRY_VALUE->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters
->ServiceDll
->2553797374656D526F6F74255C53797374656D33325C776B737376632E646C6C00
->2

MOVE_FILE_ON_REBOOT->C:\windows\SysWOW64\UpdSvc.dll>C:\PPFS_Sicherung\UpdSvc.dl
MOVE_FILE_ON_REBOOT->C:\Users\Markus\AppData\Local\Microsoft\Windows\1320\wmcodecdspps.exe>C:\PPFS_Sicherung\wmcodecdspps.ex_
MOVE_FILE_ON_REBOOT->C:\windows\system32\pouaj9hjw.dll>C:\PPFS_Sicherung\pouaj9hjw.dll
REBOOT->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Klappt alles, startet sich der Rechner neu.
Versuche dich normal einzuloggen. Einmal melden, ob das geht.

Im Ordner C:\PPFS_Sicherung befinden sich danach einige Datei - alle in eine ZIP Packen und hier hochladen: http://upload.trojaner-board.de

markus13 · 10.08.2012, 17:17

Es scheint alles so funktioniert zu haben wie beschrieben.

Der Virus hat sich bisher nicht mehr gemeldet und ich hoffe, dass er nicht noch weiter im Hintergrund wütet.
Euch aber auf jeden Fall, vielen vielen Dank und weiterhin viel Erfolg bei Eurer Arbeit.

Viele Grüße
Markus

AHT · 10.08.2012, 17:23

Wen du neu aufsetzen möchtest, kanst du das jetzt tun und vorher deine Daten retten.
Wenn du den Rechner weiter betreiben möchtest, sind wir noch nicht fertig.

markus13 · 10.08.2012, 19:19

Ich glaube, dass ich den Rechner doch nicht neu aufsetzen möchte. Es wäre gut, wenn wir ihn noch gar sauber machen könnten.

AHT · 10.08.2012, 21:23

Ordner C:\PPFS_Sicherung löschen - Papierkorb danach leeren.

ESET Onlinescanner ausführen:

ESET Onlinescanner auf dem Rechner ausführen: ESET :: Finden Sie die richtige Sicherheitslöung für Ihre Bedürfnisse! :: ESET Online Scanner
Stelle ESET so ein, das auch Archive durchsucht werden.
Eset nach dem Scan nicht deinstallieren!
LOG danach posten (wieder hochladen) - befindet sich dort:

C:\Program Files\ESET\ESET Online Scanner\log.txt

Danach das tun:

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

ATTFilter

CREATE_FOLDER->C:\PPFS_Tools
CREATE_BATCH_FILE->C:\PPFS_Tools\DelJwCACHE.BAT
WRITE_BATCH->javaws -uninstall
KILL_PROCESS->IEXPLORE.EXE
KILL_PROCESS->OPERA.EXE
KILL_PROCESS->firefox.exe
OPEN->C:\PPFS_Tools\DelJwCACHE.BAT
SLEEP->500
WAIT_FOR_TERMINATE->javaws.exe
END->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Das Script löscht den Jawa Cache

Wie hier beschrieben Systemwiederherstellung deaktiviren und alle Wiederherstellungspunkte löschen, danach wieder aktivieren. Die Systemwieerherstellung ist komplett verseucht.

Danach noch einmal erweiterten Scan mit dem PPFScanner machen und LOGs posten.

markus13 · 11.08.2012, 09:56

Ich habe die notwendigen Arbeiten ausgeführt und sende im Anhang die Ergebnisse des PPF Scans.

AHT · 11.08.2012, 11:16

Hat Eset was gefunden?
Findest du das LOG noch? Bitte noch posten.

Wir müssen noch was löschen.

PPFScan.exe im abgesicherten Modus mit Netzwerk starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

ATTFilter

FILE_ACES->C:\windows\SysWOW64\UpdSvc.dll
->@
->0+
->GENERIC_ALL

FILE_ACES->C:\windows\SysWOW64\UpdSvc.dll
->System
->+
->GENERIC_ALL

FILE_ACES->C:\windows\SysWOW64\UpdSvc.dll
->Administratoren
->+
->GENERIC_ALL

DELETE_FILE->C:\windows\SysWOW64\UpdSvc.dll

END->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Der PPFScanner wird versuchen, die Datei C:\windows\SysWOW64\UpdSvc.dll zu löschen. Gib Rückmeldung, ob das klappt.

markusg · 11.08.2012, 12:02

hi logs bitte nicht im upload channel hochladen.

markus13 · 11.08.2012, 12:24

Sorry, ich habe die eset Logs über die upload funkion hochgeladen.

hier jetzt nochmal richtig.

AHT · 11.08.2012, 12:27

OK, das habe ich gesucht. Ließ sich die Datei mit dem Script löschen?

01.08.2012, 15:10	#4
AHT /// Helfer-Team	Bundestrojaner eingefangen MarkusG hat unter anderem einen aktiven Mediyes Trojaner bei dir erkannt und mich informiert (hab das Ding damals entdekt).

10.08.2012, 17:23	#8
AHT /// Helfer-Team	Bundestrojaner eingefangen Wen du neu aufsetzen möchtest, kanst du das jetzt tun und vorher deine Daten retten. Wenn du den Rechner weiter betreiben möchtest, sind wir noch nicht fertig. __________________ ______________________ MfG AHT

11.08.2012, 12:02	#13
markusg /// Malware-holic	Bundestrojaner eingefangen hi logs bitte nicht im upload channel hochladen. __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

11.08.2012, 12:27	#15
AHT /// Helfer-Team	Bundestrojaner eingefangen OK, das habe ich gesucht. Ließ sich die Datei mit dem Script löschen? __________________ ______________________ MfG AHT

Bundestrojaner eingefangen

Plagegeister aller Art und deren Bekämpfung: Bundestrojaner eingefangen