|
Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.InfoStealer!E1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.09.2012, 09:08 | #1 |
| Trojan.Win32.InfoStealer!E1 Hallo zusammen, habe mir nun auch "etwas" eingefangen - vermutlich am 04.09., ohne daß ich jedoch sagen kann woher (Spammails werden grundsätzlich ungelesen gelöscht). Zuerst hat der Rechner nur beim runterfahren Probleme gemacht, aber nun muckt er auch bem hochfahren und speziell das Verbinden mit dem Internet dauert ewig. Leider habe ich dieses Forum noch nicht gekannt und bin das Problem mit AntiVir und Malwarebytes angegangen. Die haben auch etwas gefunden: Malwarebytes: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.09.07.13 Windows XP Service Pack 3 x86 NTFS Internet Explorer 6.0.2900.5512 Büro :: BJÖRN [Administrator] Schutz: Deaktiviert 08.09.2012 00:44:04 mbam-log-2012-09-08 (00-44-04).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 328602 Laufzeit: 2 Stunde(n), 16 Minute(n), 8 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\WINDOWS\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 2 HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$97485d9a49a2044c515dcfe0e53809fb\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-302119694-1856492852-3684654165-1006\$97485d9a49a2044c515dcfe0e53809fb\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 10 C:\Downloads\installer_adobe_flash_player_firefox_netscape__opera_10_3_181_22_English.exe (PUP.SmsPay.PGen) -> Keine Aktion durchgeführt. C:\Dokumente und Einstellungen\Büro\kowuzpecxaxj.exe (Trojan.Phex.THAGen9) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Temp\5505109.exe (Trojan.Phex.THAGen9) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Temp\Vid-Saver-rs.exe (Adware.GamePlayLabs) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\RECYCLER\S-1-5-18\$97485d9a49a2044c515dcfe0e53809fb\n (RootKit.0Access) -> Löschen bei Neustart. C:\RECYCLER\S-1-5-18\$97485d9a49a2044c515dcfe0e53809fb\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\RECYCLER\S-1-5-18\$97485d9a49a2044c515dcfe0e53809fb\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\RECYCLER\S-1-5-18\$97485d9a49a2044c515dcfe0e53809fb\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{45EA8395-5DDD-44C1-B0B2-9272A6222CA7}\RP908\A0101303.exe (Trojan.Phex.THAGen9) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\System Volume Information\_restore{45EA8395-5DDD-44C1-B0B2-9272A6222CA7}\RP908\A0101308.exe (Trojan.Phex.THAGen9) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) bzw. AntiVir: Code:
ATTFilter Avira Free Antivirus Erstellungsdatum der Reportdatei: Donnerstag, 6. September 2012 14:17 Es wird nach 4169649 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Microsoft Windows XP Windowsversion : (Service Pack 3) [5.1.2600] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : BJÖRN Versionsinformationen: BUILD.DAT : 12.0.0.1167 40870 Bytes 18.07.2012 19:07:00 AVSCAN.EXE : 12.3.0.33 468472 Bytes 18.07.2012 16:04:24 AVSCAN.DLL : 12.3.0.15 66256 Bytes 18.07.2012 16:04:38 LUKE.DLL : 12.3.0.15 68304 Bytes 18.07.2012 16:04:31 AVSCPLR.DLL : 12.3.0.27 97064 Bytes 18.07.2012 16:04:24 AVREG.DLL : 12.3.0.33 232232 Bytes 18.07.2012 16:04:23 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 18:18:34 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 23:22:12 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 23:31:36 VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 09:58:50 VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 22:37:35 VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 16:04:37 VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 12:02:57 VBASE007.VDF : 7.11.41.251 2048 Bytes 06.09.2012 12:03:01 VBASE008.VDF : 7.11.41.252 2048 Bytes 06.09.2012 12:03:01 VBASE009.VDF : 7.11.41.253 2048 Bytes 06.09.2012 12:03:01 VBASE010.VDF : 7.11.41.254 2048 Bytes 06.09.2012 12:03:01 VBASE011.VDF : 7.11.41.255 2048 Bytes 06.09.2012 12:03:01 VBASE012.VDF : 7.11.42.0 2048 Bytes 06.09.2012 12:03:01 VBASE013.VDF : 7.11.42.1 2048 Bytes 06.09.2012 12:03:01 VBASE014.VDF : 7.11.42.2 2048 Bytes 06.09.2012 12:03:02 VBASE015.VDF : 7.11.42.3 2048 Bytes 06.09.2012 12:03:02 VBASE016.VDF : 7.11.42.4 2048 Bytes 06.09.2012 12:03:02 VBASE017.VDF : 7.11.42.5 2048 Bytes 06.09.2012 12:03:02 VBASE018.VDF : 7.11.42.6 2048 Bytes 06.09.2012 12:03:02 VBASE019.VDF : 7.11.42.7 2048 Bytes 06.09.2012 12:03:03 VBASE020.VDF : 7.11.42.8 2048 Bytes 06.09.2012 12:03:04 VBASE021.VDF : 7.11.42.9 2048 Bytes 06.09.2012 12:03:04 VBASE022.VDF : 7.11.42.10 2048 Bytes 06.09.2012 12:03:04 VBASE023.VDF : 7.11.42.11 2048 Bytes 06.09.2012 12:03:05 VBASE024.VDF : 7.11.42.12 2048 Bytes 06.09.2012 12:03:05 VBASE025.VDF : 7.11.42.13 2048 Bytes 06.09.2012 12:03:05 VBASE026.VDF : 7.11.42.14 2048 Bytes 06.09.2012 12:03:05 VBASE027.VDF : 7.11.42.15 2048 Bytes 06.09.2012 12:03:05 VBASE028.VDF : 7.11.42.16 2048 Bytes 06.09.2012 12:03:06 VBASE029.VDF : 7.11.42.17 2048 Bytes 06.09.2012 12:03:06 VBASE030.VDF : 7.11.42.18 2048 Bytes 06.09.2012 12:03:06 VBASE031.VDF : 7.11.42.20 2048 Bytes 06.09.2012 12:03:06 Engineversion : 8.2.10.150 AEVDF.DLL : 8.1.2.10 102772 Bytes 06.09.2012 12:03:19 AESCRIPT.DLL : 8.1.4.46 455034 Bytes 06.09.2012 12:03:17 AESCN.DLL : 8.1.8.2 131444 Bytes 16.02.2012 16:11:36 AESBX.DLL : 8.2.5.12 606578 Bytes 18.07.2012 16:04:20 AERDL.DLL : 8.1.9.15 639348 Bytes 20.01.2012 23:21:32 AEPACK.DLL : 8.3.0.32 811382 Bytes 06.09.2012 12:03:16 AEOFFICE.DLL : 8.1.2.42 201083 Bytes 06.09.2012 12:03:15 AEHEUR.DLL : 8.1.4.94 5230967 Bytes 06.09.2012 12:03:15 AEHELP.DLL : 8.1.23.2 258422 Bytes 18.07.2012 16:04:17 AEGEN.DLL : 8.1.5.36 434549 Bytes 06.09.2012 12:03:09 AEEXP.DLL : 8.1.0.84 90485 Bytes 06.09.2012 12:03:19 AEEMU.DLL : 8.1.3.2 393587 Bytes 06.09.2012 12:03:08 AECORE.DLL : 8.1.27.4 201078 Bytes 06.09.2012 12:03:08 AEBB.DLL : 8.1.1.0 53618 Bytes 20.01.2012 23:21:28 AVWINLL.DLL : 12.3.0.15 27344 Bytes 18.07.2012 16:04:25 AVPREF.DLL : 12.3.0.15 51920 Bytes 18.07.2012 16:04:23 AVREP.DLL : 12.3.0.15 179208 Bytes 18.07.2012 16:04:23 AVARKT.DLL : 12.3.0.15 211408 Bytes 18.07.2012 16:04:21 AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 18.07.2012 16:04:22 SQLITE3.DLL : 3.7.0.1 398288 Bytes 18.07.2012 16:04:34 AVSMTP.DLL : 12.3.0.32 63480 Bytes 18.07.2012 16:04:24 NETNT.DLL : 12.3.0.15 17104 Bytes 18.07.2012 16:04:31 RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 18.07.2012 16:04:41 RCTEXT.DLL : 12.3.0.31 100088 Bytes 18.07.2012 16:04:41 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, G:, H:, I:, J:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Donnerstag, 6. September 2012 14:17 Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD1 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD2 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD3 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD4 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD5 [INFO] Es wurde kein Virus gefunden! Masterbootsektor HD6 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'G:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'H:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'I:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'J:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf nach versteckten Objekten wird begonnen. Der Treiber konnte nicht initialisiert werden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '70' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '92' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '67' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht Durchsuche Prozess 'plugin-container.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '123' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht Durchsuche Prozess 'ZDWlan.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'DitExp.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'SweetPacksUpdateManager.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'SweetIM.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'AGRSMMSG.exe' - '17' Modul(e) wurden durchsucht Durchsuche Prozess 'SOUNDMAN.EXE' - '23' Modul(e) wurden durchsucht Durchsuche Prozess 'Dit.exe' - '19' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht Durchsuche Prozess 'LogWatNT.exe' - '11' Modul(e) wurden durchsucht Durchsuche Prozess 'jqs.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'acs.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'SASCORE.EXE' - '16' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'Explorer.EXE' - '93' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '148' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '52' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '59' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\Dokumente und Einstellungen\Büro\kowuzpecxaxj.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Programme\SECURITY TOOLS\Amok\AmoK DelayDel\uninst.exe [WARNUNG] Unerwartetes Dateiende erreicht Die Registry wurde durchsucht ( '2449' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <ISLAND> C:\Björns Ordner\MAYNOOTH\DOWNLOADS\K-Meleon1.5.4en-US.exe [WARNUNG] Die komprimierten Daten sind fehlerhaft C:\Dokumente und Einstellungen\Büro\kowuzpecxaxj.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10\2bbd5e8a-4cee6956 [0] Archivtyp: ZIP --> enva/envd.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.38 --> enva/envc.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.48 --> enva/envb.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.44 C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Temp\5505109.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen8 C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GZH20JSD\j4u2s29926[1].htm [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750 C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GZH20JSD\t4o2p30730[1].htm [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750 C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K9IFCXAF\h4b2u30305[1].htm [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750 C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K9IFCXAF\j4u2s31828[1].htm [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750 C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP2NSPAB\5645197b4a0df900cb6d4c6a4188b74d[1].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2 C:\Downloads\avira_free_antivirus_de_12001167.exe [WARNUNG] Die Datei ist kennwortgeschützt C:\Programme\INTERNET TOOLS\K-Meleon\uninstall.exe [WARNUNG] Unerwartetes Dateiende erreicht C:\Programme\SECURITY TOOLS\Amok\AmoK DelayDel\uninst.exe [WARNUNG] Unerwartetes Dateiende erreicht C:\Programme\SYSTEM TOOLS\Disk Cleaner\uninstall.exe [WARNUNG] Die Version dieses Archives wird nicht unterstützt C:\System Volume Information\_restore{45EA8395-5DDD-44C1-B0B2-9272A6222CA7}\RP882\RestorePointSize [WARNUNG] Unerwartetes Dateiende erreicht C:\WINDOWS\system32\drivers\b201d70dc62ab64.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sysaudio.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\tape.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\tcpip.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\tcpip6.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\tdi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\tdpipe.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\tdtcp.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\termdd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\tosdvd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\tsbvcap.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\tunmp.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\uagp35.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\udfs.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\update.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\usb8023.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\usb8023x.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\usbcamd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\usbcamd2.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\usbd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\usbehci.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\usbhub.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\usbintel.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\usbport.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\usbprint.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\usbstor.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\usbuhci.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\usbvideo.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\USRPCI.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\vchnt5.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\vdmindvd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\vga.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\viaagp.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\VIAAGP1.SYS [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\viaide.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\videoprt.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\volsnap.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\vtmini.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\wacompen.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\wadv07nt.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\wadv08nt.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\wadv09nt.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\wadv11nt.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\wanarp.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\wanatw4.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\watv06nt.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\watv10nt.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\wdmaud.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\wmilib.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\ws2ifsl.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\wstcodec.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\ZD1211BU.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\ZDPSp50.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'D:\' <BACKUP> D:\Tools\eTrust Antivirus\eAV_S.Win\AlertCab.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. D:\Tools\eTrust Antivirus\eAV_S.Win\Cpackage.exe [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. Beginne mit der Suche in 'E:\' <RECOVER> Beginne mit der Suche in 'G:\' <FINNLAND> Beginne mit der Suche in 'H:\' <IRLAND> Beginne mit der Suche in 'I:\' <HELSINKI> Beginne mit der Suche in 'J:\' Der zu durchsuchende Pfad J:\ konnte nicht geöffnet werden! Systemfehler [1005]: Auf dem Datenträger befindet sich kein erkanntes Dateisystem. Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP2NSPAB\5645197b4a0df900cb6d4c6a4188b74d[1].htm [FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Infected.WebPage.Gen2 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '548d72ee.qua' verschoben! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K9IFCXAF\j4u2s31828[1].htm [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cdb5d4f.qua' verschoben! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K9IFCXAF\h4b2u30305[1].htm [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1e9307a0.qua' verschoben! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GZH20JSD\t4o2p30730[1].htm [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '78b94862.qua' verschoben! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GZH20JSD\j4u2s29926[1].htm [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Agent.Inf.6750 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3d37655c.qua' verschoben! C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Temp\5505109.exe [FUND] Ist das Trojanische Pferd TR/Dropper.Gen8 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '42e9573e.qua' verschoben! C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10\2bbd5e8a-4cee6956 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.A.44 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0e837ba7.qua' verschoben! Ende des Suchlaufs: Donnerstag, 6. September 2012 18:58 Benötigte Zeit: 3:48:49 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 12799 Verzeichnisse wurden überprüft 504617 Dateien wurden geprüft 9 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 7 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 55 Dateien konnten nicht durchsucht werden 504553 Dateien ohne Befall 10550 Archive wurden durchsucht 64 Warnungen 7 Hinweise Jedoch hatte das Löschen der gefundenen Viren keinerlei Auswirkung auf die geschilderten Symptome. Durch googeln nach dem gefundenen Trojaner "Trojan.Phex.THAGen9" bin ich dann auf das Forum gestoßen, habe über das Wochenende die benötigten Programme herutergeladen und hoffe nun das ihr mir helfen könnt. Hier der OTL.txt: OTL Logfile: Code:
ATTFilter OTL logfile created on: 10.09.2012 08:49:02 - Run 3 OTL by OldTimer - Version 3.2.61.2 Folder = C:\Dokumente und Einstellungen\Büro\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.5512) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 479,48 Mb Total Physical Memory | 205,81 Mb Available Physical Memory | 42,92% Memory free 1,39 Gb Paging File | 1,23 Gb Available in Paging File | 88,00% Paging File free Paging file location(s): D:\pagefile.sys 1024 2048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 37,27 Gb Total Space | 10,53 Gb Free Space | 28,26% Space Free | Partition Type: NTFS Drive D: | 32,23 Gb Total Space | 30,28 Gb Free Space | 93,96% Space Free | Partition Type: NTFS Drive E: | 5,02 Gb Total Space | 2,92 Gb Free Space | 58,06% Space Free | Partition Type: FAT32 Drive F: | 11,05 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS Drive G: | 18,64 Gb Total Space | 18,49 Gb Free Space | 99,20% Space Free | Partition Type: NTFS Drive H: | 18,63 Gb Total Space | 18,57 Gb Free Space | 99,66% Space Free | Partition Type: NTFS Drive I: | 9,54 Gb Total Space | 6,66 Gb Free Space | 69,75% Space Free | Partition Type: FAT32 Computer Name: BJÖRN | User Name: Büro | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.09.08 11:42:02 | 000,599,552 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Büro\Desktop\OTL.exe PRC - [2012.07.30 18:01:02 | 003,075,920 | ---- | M] (Emsisoft GmbH) -- C:\Programme\Emsisoft Anti-Malware\a2service.exe PRC - [2012.07.30 18:00:58 | 003,408,288 | ---- | M] (Emsisoft GmbH) -- C:\Programme\Emsisoft Anti-Malware\a2guard.exe PRC - [2012.07.18 18:04:33 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe PRC - [2012.07.18 18:04:23 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe PRC - [2012.07.18 18:04:22 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe PRC - [2012.05.04 19:29:46 | 000,161,664 | ---- | M] (Oracle Corporation) -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe PRC - [2012.01.21 01:21:34 | 000,143,240 | ---- | M] (Ask.com) -- c:\Programme\Avira\AntiVir Desktop\apnstub.exe PRC - [2012.01.17 11:07:54 | 000,252,296 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe PRC - [2011.08.12 01:38:07 | 000,116,608 | ---- | M] (SUPERAntiSpyware.com) -- C:\Programme\SECURITY TOOLS\SuperAntiSpyware\SASCore.exe PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2005.09.22 02:36:16 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\acs.exe PRC - [2004.07.01 18:23:32 | 000,067,584 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\SOUNDMAN.EXE PRC - [2002.09.20 16:29:30 | 000,053,248 | ---- | M] (Computer Associates) -- C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe PRC - [2002.08.28 13:43:26 | 000,073,728 | ---- | M] () -- C:\WINDOWS\Dit.exe PRC - [2002.07.12 10:29:24 | 000,065,536 | ---- | M] () -- C:\WINDOWS\DitExp.exe ========== Modules (No Company Name) ========== MOD - [2012.07.18 18:04:34 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll MOD - [2005.09.22 02:36:16 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\acs.exe MOD - [2002.08.28 13:43:26 | 000,073,728 | ---- | M] () -- C:\WINDOWS\Dit.exe MOD - [2002.07.12 10:29:24 | 000,065,536 | ---- | M] () -- C:\WINDOWS\DitExp.exe ========== Services (SafeList) ========== SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ) SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt) SRV - [2012.09.07 15:23:37 | 000,114,144 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2012.09.04 22:48:42 | 000,070,656 | ---- | M] () [Unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\b201d70dc62ab64.sys -- (b201d70dc62ab64) SRV - [2012.08.16 10:13:37 | 000,250,056 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2012.07.30 18:01:02 | 003,075,920 | ---- | M] (Emsisoft GmbH) [Auto | Start_Pending] -- C:\Programme\Emsisoft Anti-Malware\a2service.exe -- (a2AntiMalware) SRV - [2012.07.18 18:04:33 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService) SRV - [2012.07.18 18:04:23 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Start_Pending] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService) SRV - [2012.07.03 13:46:44 | 000,655,944 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) SRV - [2012.05.04 19:29:46 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService) SRV - [2011.08.12 01:38:07 | 000,116,608 | ---- | M] (SUPERAntiSpyware.com) [Auto | Running] -- C:\Programme\SECURITY TOOLS\SuperAntiSpyware\SASCore.exe -- (!SASCORE) SRV - [2008.04.02 16:32:50 | 000,070,336 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\Haufe\iDesk\iDeskService\ideskservice.exe -- (HRService) SRV - [2005.09.22 02:36:16 | 000,036,864 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\acs.exe -- (ACS) SRV - [2004.10.22 03:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2004.04.08 06:01:20 | 001,135,728 | ---- | M] (America Online, Inc.) [Disabled | Stopped] -- C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe -- (AOL ACS) SRV - [2003.07.28 13:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - [2002.09.20 16:41:02 | 000,077,824 | ---- | M] (Computer Associates) [On_Demand | Stopped] -- C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe -- (CA_LIC_SRVR) SRV - [2002.09.20 16:29:30 | 000,053,248 | ---- | M] (Computer Associates) [Auto | Running] -- C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe -- (LogWatch) SRV - [2002.09.20 16:27:06 | 000,077,824 | ---- | M] (Computer Associates) [On_Demand | Stopped] -- C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe -- (CA_LIC_CLNT) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP) DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\NETFRITZ.SYS -- (NETFRITZ) DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc) DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt) DRV - File not found [Kernel | System | Stopped] -- -- (Changer) DRV - [2012.09.04 22:48:42 | 000,070,656 | ---- | M] () [Unknown (-1) | Unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\b201d70dc62ab64.sys -- (b201d70dc62ab64) DRV - [2012.07.18 18:04:42 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb) DRV - [2012.07.18 18:04:42 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt) DRV - [2012.07.18 18:04:42 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr) DRV - [2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) DRV - [2012.04.30 18:45:28 | 000,054,072 | ---- | M] (Emsisoft GmbH) [File_System | On_Demand | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2accx86.sys -- (a2acc) DRV - [2011.07.22 18:27:02 | 000,012,880 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SECURITY TOOLS\SuperAntiSpyware\sasdifsv.sys -- (SASDIFSV) DRV - [2011.07.12 23:55:22 | 000,067,664 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SECURITY TOOLS\SuperAntiSpyware\SASKUTIL.SYS -- (SASKUTIL) DRV - [2011.05.19 14:10:34 | 000,017,904 | ---- | M] (Emsi Software GmbH) [Kernel | System | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2ddax86.sys -- (A2DDA) DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv) DRV - [2010.05.05 09:40:32 | 000,011,776 | ---- | M] (Emsi Software GmbH) [Kernel | System | Stopped] -- C:\Programme\Emsisoft Anti-Malware\a2util32.sys -- (a2util) DRV - [2008.04.13 20:36:41 | 000,063,744 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mf.sys -- (mf) DRV - [2007.05.07 02:00:00 | 000,537,600 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase) DRV - [2007.05.07 02:00:00 | 000,053,632 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN) DRV - [2005.12.23 11:36:08 | 000,469,216 | ---- | M] (USRobotics) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\USRPCI.sys -- (USRPCI) DRV - [2005.12.12 16:08:44 | 001,124,097 | ---- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem) DRV - [2005.08.17 08:43:20 | 000,330,240 | R--- | M] (ZyDAS Technology Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ZD1211BU.sys -- (ZD1211BU(ZyDAS) DRV - [2004.10.25 14:40:58 | 000,017,664 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ZDPSp50.sys -- (ZDPSp50) DRV - [2004.08.04 06:31:32 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) DRV - [2004.07.01 14:49:00 | 000,626,977 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) DRV - [2004.04.21 17:51:00 | 000,016,384 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\wlanndi5.sys -- (wlanndi5) DRV - [2004.02.24 11:08:52 | 000,400,384 | ---- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS -- (ALCXSENS) DRV - [2003.12.05 18:46:36 | 000,010,368 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc) DRV - [2003.07.02 04:42:00 | 000,027,904 | ---- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\VIAAGP1.SYS -- (viaagp1) DRV - [2003.01.10 16:13:04 | 000,033,588 | ---- | M] (America Online, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wanatw4.sys -- (wanatw) DRV - [2002.08.15 21:30:40 | 000,016,066 | ---- | M] ( ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\VNICPKT5.sys -- (VNICPKT5) DRV - [2001.08.18 05:21:04 | 000,039,808 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParwdm.sys -- (BrParWdm) DRV - [2001.08.17 14:12:24 | 000,003,168 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrParImg.sys -- (brparimg) DRV - [2001.08.17 14:12:12 | 000,002,944 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\BrFilt.sys -- (brfilt) DRV - [2001.08.17 13:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN) DRV - [2001.08.17 13:11:06 | 000,066,591 | ---- | M] (3Com Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\el90xbc5.sys -- (EL90XBC) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.msn.de IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web.de/ IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.suggest.enabled: false FF - prefs.js..browser.startup.homepage: "about:home" FF - prefs.js..network.proxy.backup.ftp: "193.239.220.148" FF - prefs.js..network.proxy.backup.ftp_port: 80 FF - prefs.js..network.proxy.backup.socks: "193.239.220.148" FF - prefs.js..network.proxy.backup.socks_port: 80 FF - prefs.js..network.proxy.backup.ssl: "193.239.220.148" FF - prefs.js..network.proxy.backup.ssl_port: 80 FF - prefs.js..network.proxy.ftp: "193.239.220.148" FF - prefs.js..network.proxy.ftp_port: 80 FF - prefs.js..network.proxy.http: "193.239.220.148" FF - prefs.js..network.proxy.http_port: 80 FF - prefs.js..network.proxy.share_proxy_settings: true FF - prefs.js..network.proxy.socks: "193.239.220.148" FF - prefs.js..network.proxy.socks_port: 80 FF - prefs.js..network.proxy.ssl: "193.239.220.148" FF - prefs.js..network.proxy.ssl_port: 80 FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_271.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.1: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.1: C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2027: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.2088: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1040: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\OFFICE TOOLS\Adobe\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\K-Meleon\Extensions\\Plugins: C:\Programme\INTERNET TOOLS\K-Meleon\Plugins [2012.08.15 10:19:13 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\K-Meleon\Extensions\\Components: C:\Programme\INTERNET TOOLS\K-Meleon\Components [2011.08.30 13:07:23 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: C:\Programme\INTERNET TOOLS\Mozilla Firefox\components [2012.09.07 15:23:38 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: C:\Programme\INTERNET TOOLS\Mozilla Firefox\plugins [2012.08.15 10:19:13 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 15.0\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012.06.25 20:47:25 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 15.0\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2011.08.29 11:07:15 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Extensions [2012.05.05 07:13:20 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\extensions [2012.05.05 07:13:20 | 000,020,591 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}.xpi [2012.08.27 16:24:38 | 000,172,310 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2012.01.02 14:53:15 | 000,000,933 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\searchplugins\11-suche.xml [2012.01.02 14:53:16 | 000,002,419 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\searchplugins\englische-ergebnisse.xml [2012.01.02 14:53:15 | 000,010,525 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\searchplugins\gmx-suche.xml [2012.01.02 14:53:16 | 000,002,457 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\searchplugins\lastminute.xml [2012.08.27 16:24:39 | 000,003,915 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\searchplugins\sweetim.xml [2012.01.02 14:53:15 | 000,005,508 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Mozilla\Firefox\Profiles\iunkla82.default\searchplugins\webde-suche.xml O1 HOSTS File: ([2002.08.29 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation) O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation) O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [Dit] C:\WINDOWS\Dit.exe () O4 - HKLM..\Run: [emsisoft anti-malware] c:\programme\emsisoft anti-malware\a2guard.exe (Emsisoft GmbH) O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [VTTimer] C:\WINDOWS\System32\VTTimer.exe (S3 Graphics, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00 [binary data] O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe (PokerStars) O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found O15 - HKCU\..Trusted Domains: ([]msn in Arbeitsplatz) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control) O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} hxxp://office.microsoft.com/officeupdate/content/opuc.cab (Office Update Installation Engine) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095759281673 (WUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27) O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab (IPSUploader Control) O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) O18 - Protocol\Handler\haufereader - No CLSID value found O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O20 - Winlogon\Notify\!SASWinLogon: DllName - (C:\Programme\SECURITY TOOLS\SuperAntiSpyware\SASWINLO.DLL) - C:\Programme\SECURITY TOOLS\SuperAntiSpyware\SASWINLO.DLL (SUPERAntiSpyware.com) O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SECURITY TOOLS\SuperAntiSpyware\SASSEH.DLL (SuperAdBlocker.com) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2004.09.20 17:41:15 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2005.11.23 04:10:28 | 000,000,057 | R--- | M] () - F:\Autorun.inf -- [ CDFS ] O33 - MountPoints2\{0643d5be-fe06-11da-ae52-00038a000015}\Shell\Auto\command - "" = G:\AdobeR.exe e O33 - MountPoints2\{0643d5be-fe06-11da-ae52-00038a000015}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{0643d5be-fe06-11da-ae52-00038a000015}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2012.09.09 18:36:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Emsisoft Anti-Malware [2012.09.09 18:35:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Büro\Eigene Dateien\Anti-Malware [2012.09.08 11:41:56 | 000,599,552 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Büro\Desktop\OTL.exe [2012.09.08 11:08:16 | 000,000,000 | ---D | C] -- C:\Programme\Emsisoft Anti-Malware [2012.09.08 10:29:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Büro\Desktop\adwcleaner [2012.09.08 09:37:32 | 174,779,744 | ---- | C] (Emsisoft GmbH ) -- C:\Dokumente und Einstellungen\Büro\Desktop\EmsisoftAntiMalwareSetup.exe [2012.09.08 06:40:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun [2012.09.08 04:28:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia [2012.09.07 21:22:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Malwarebytes [2012.09.07 21:20:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.09.07 21:20:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.09.07 21:20:30 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.09.07 21:20:25 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.09.06 14:08:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Avira [2012.09.06 13:42:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira [2012.09.06 13:40:55 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys [2012.09.06 13:40:46 | 000,137,928 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys [2012.09.06 13:40:46 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys [2012.09.06 13:40:45 | 000,083,392 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys [2012.09.06 13:40:34 | 000,000,000 | ---D | C] -- C:\Programme\Avira [2012.09.06 13:40:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira [2012.09.04 22:54:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Adobe [2012.09.04 22:22:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.09.10 08:47:53 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2012.09.10 08:46:17 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.09.10 08:46:16 | 502,845,440 | -HS- | M] () -- C:\hiberfil.sys [2012.09.10 01:13:03 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job [2012.09.10 00:45:52 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2012.09.09 18:36:19 | 000,000,744 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk [2012.09.09 16:58:04 | 001,110,476 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Desktop\7z920.exe [2012.09.09 14:23:15 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\defogger_reenable [2012.09.08 13:33:09 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Desktop\z6btghbi.exe [2012.09.08 13:08:26 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.09.08 13:02:48 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Desktop\Defogger.exe [2012.09.08 11:42:02 | 000,599,552 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Büro\Desktop\OTL.exe [2012.09.08 10:34:52 | 000,511,265 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Desktop\adwcleaner.exe [2012.09.08 09:41:18 | 174,779,744 | ---- | M] (Emsisoft GmbH ) -- C:\Dokumente und Einstellungen\Büro\Desktop\EmsisoftAntiMalwareSetup.exe [2012.09.07 23:57:50 | 000,002,817 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Haufe Formular-Manager.lnk [2012.09.07 21:20:53 | 000,000,762 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.09.07 15:33:22 | 000,001,071 | ---- | M] () -- C:\WINDOWS\nsreg.dat [2012.09.06 13:42:37 | 000,001,677 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk [2012.09.04 22:48:42 | 000,070,656 | ---- | M] () -- C:\WINDOWS\System32\drivers\b201d70dc62ab64.sys [2012.08.27 16:24:09 | 026,437,291 | ---- | M] () -- C:\Dokumente und Einstellungen\Büro\Desktop\novicorp wintoflash 0.7.0054 beta.zip [2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.09.09 18:36:19 | 000,000,744 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Emsisoft Anti-Malware.lnk [2012.09.09 16:58:03 | 001,110,476 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Desktop\7z920.exe [2012.09.09 14:23:15 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\defogger_reenable [2012.09.08 13:32:58 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Desktop\z6btghbi.exe [2012.09.08 13:02:20 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Desktop\Defogger.exe [2012.09.08 08:19:10 | 000,511,265 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Desktop\adwcleaner.exe [2012.09.07 21:20:53 | 000,000,762 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk [2012.09.07 12:51:56 | 000,330,240 | R--- | C] () -- C:\WINDOWS\System32\drivers\ZD1211BU.sys [2012.09.06 13:42:36 | 000,001,677 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk [2012.09.04 22:48:42 | 000,070,656 | ---- | C] () -- C:\WINDOWS\System32\drivers\b201d70dc62ab64.sys [2012.08.27 16:25:01 | 026,437,291 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Desktop\novicorp wintoflash 0.7.0054 beta.zip [2011.12.19 13:37:07 | 000,000,291 | ---- | C] () -- C:\WINDOWS\SIERRA.INI [2011.09.06 19:20:50 | 000,020,992 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTL8139.sys [2011.09.01 00:44:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\hpovwr08.INI [2011.08.30 12:38:57 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\sversion.ini [2011.08.30 12:38:56 | 000,002,048 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\user60.rdb [2011.08.29 22:04:22 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Netscape.INI [2011.08.28 19:21:58 | 000,469,216 | ---- | C] () -- C:\WINDOWS\System32\drivers\USRPCI.sys [2011.08.27 17:19:10 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\ZyDelReg.exe [2011.08.27 17:19:10 | 000,017,664 | ---- | C] () -- C:\WINDOWS\System32\drivers\ZDPSp50.sys [2011.08.27 17:19:08 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD.dll [2011.08.27 17:19:08 | 000,015,872 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD64.DLL [2008.10.28 11:24:19 | 006,984,704 | ---- | C] () -- C:\Programme\Gemeinsame DateienDDBACSDKSetup.msi [2006.11.06 18:24:34 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html [2004.12.17 12:06:29 | 000,003,574 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\wklnhst.dat [2004.11.04 18:12:30 | 000,014,848 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2004.11.04 18:12:30 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\Büro\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat ========== LOP Check ========== [2006.12.15 16:07:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve [2011.08.29 11:47:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2006.12.15 15:57:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe [2011.09.06 10:51:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch [2011.08.28 22:53:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware [2007.06.29 18:32:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft [2011.08.30 17:36:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software [2011.08.30 17:33:17 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{24036256-BFDB-4CD3-BE8A-A3D6160F2E16} [2006.12.06 11:51:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\.contentlauncher [2006.12.06 11:51:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\contentlauncher [2007.09.21 14:28:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\DataDesign [2011.08.29 11:48:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\elsterformular [2010.05.30 12:16:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\FreeFileSync [2011.09.06 10:31:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\FRITZ! [2011.09.06 10:51:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\FRITZ!fax für FRITZ!Box [2007.04.05 09:01:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Haufe [2011.08.28 22:46:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\K-Meleon [2006.12.15 16:09:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Lexware [2012.06.29 11:09:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Oracle [2009.09.16 17:26:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\TeamViewer [2004.12.17 12:06:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Template [2012.05.05 07:10:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\Thunderbird [2011.08.30 17:34:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Büro\Anwendungsdaten\TuneUp Software ========== Purity Check ========== ========== Alternate Data Streams ========== @Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\Büro\Desktop\adwcleaner.exe:SummaryInformation < End of report > Habe gestern auch noch einen Scan mit Emsisoft Anti-Malware gemacht, der den oben genannten Trojaner gefunden hat. Code:
ATTFilter Emsisoft Anti-Malware - Version 6.6 Letztes Update: 09.09.2012 19:35:47 Scan Einstellungen: Scan Methode: Smart Scan Objekte: Rootkits, Speicher, Traces, C:\WINDOWS\, C:\Programme\ Archiv Scan: Aus ADS Scan: An Scan Beginn: 09.09.2012 19:44:35 C:\WINDOWS\system32\fldrv090.ocx gefunden: Trojan.Win32.InfoStealer!E1 C:\Programme\SYSTEM TOOLS\RegCleaner\Backups\powerreg scheduler v3.exe gefunden: Program.Win32.PowerRegScheduler.AMN!E1 C:\Programme\SECURITY TOOLS\PantsOff\PantsOffHk.dll gefunden: Riskware.PSWTool.Win32.Finder.d!E1 Gescannt 571684 Gefunden 3 Scan Ende: 10.09.2012 01:18:59 Scan Zeit: 5:34:24 C:\WINDOWS\system32\fldrv090.ocx Quarantäne Trojan.Win32.InfoStealer!E1 Quarantäne 1 Hoffe der Beitrag ist nicht bereits jetzt zu lang und unübersichtlich und es findet sich jemand mir helfen kann das Problem zu lösen. Vielen Dank. Geändert von Björn80 (10.09.2012 um 09:33 Uhr) |
10.09.2012, 10:42 | #2 |
/// Malware-holic | Trojan.Win32.InfoStealer!E1 hi
__________________wenn du den pc für onlinebanking nutzt rufe die bank an, lasse es auf grund von zero access rootkit befall sperren. da man dieses rootkit nicht mit 100 %iger sicherheit los wird: der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
ich werde außerdem noch weitere punkte dazu posten. 4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ |
10.09.2012, 11:41 | #3 |
| Trojan.Win32.InfoStealer!E1 Hallo,
__________________und Danke für die schnelle Antwort. Onlinebanking habe ich erstmal sperren lassen. Und da ich ab heute nachmittag für 3 Tage nicht in der Stadt bin kann ich mich um den Rest erst ab Donnerstag kümmern. Hatte jedoch ehrlich gesagt auf eine positivere Antwort gehofft, denn ich muß gestehen ich bin ein ziemlicher Computeranalphabet und fürchte das beschriebene Prozedere übersteigt doch bereits deutlich meine Fähigkeiten/Kenntnisse. Zusätzliches Problem ist, daß ich den Rechner second hand von einer Freundin übernommen habe und somit keine Installations CD unmittelbar greifbar habe. So weit so gut, falls nicht doch noch jemand mit der brillianten Universallösung aufwarten kann, muß ich mich dann doch wohl oder übel an die komplette Neuinstallation machen. Wie bereits gesagt vielen Dank für die Antwort und bitte weiter posten falls Euch noch etwas dazu einfällt. |
10.09.2012, 11:46 | #4 |
/// Malware-holic | Trojan.Win32.InfoStealer!E1 hi versuchs doch erst mal so weit wie du kommst, fragen kannst du stellen, formatiert wird auf jeden fall.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
10.09.2012, 11:55 | #5 |
| Trojan.Win32.InfoStealer!E1 Alles klar, wie gesagt, ab Donnerstag kann ich mich dranmachen und wenn's Probleme gibt (gibt's sicher) werde ich melden. Danke nochmal. |
10.09.2012, 12:11 | #6 |
/// Malware-holic | Trojan.Win32.InfoStealer!E1 gut gut, falls ichs übersehe, kurze private nachicht an mich
__________________ --> Trojan.Win32.InfoStealer!E1 |
Themen zu Trojan.Win32.InfoStealer!E1 |
adobe, antivir, avira, bho, emsisoft, error, firefox, flash player, google earth, helper, home, installation, internet, logfile, mozilla, plug-in, port, programm, pup.smspay.pgen, realtek, recover, registry, rojaner gefunden, rundll, scan, security, software, traces, trojaner, verweise, viren, virus, wlan |