"Polizei Cyber Crime Unit ...." Österreich-Variante.

deigue · 18.09.2012, 08:11

Hi, hatte schon einmal (5/12) das Glueck, mit Hilfe des TB den Bundespolizeitrojaner loszuwerden - an dieser Stelle nochmals vielen Dank an Petra!
Diesmal schaff ich es nicht einmal in den abgesicherten Modus. Bildschirm bleibt nach Anmeldung einfach weiss.
Habe noch c't-Notfall Windows 2010 auf CD, weiss aber nicht was ich jetzt so anfangen soll.
Gruesse
deigue

cosinus · 18.09.2012, 10:16

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?

Abgesicherter Modus zur Bereinigung

Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

deigue · 18.09.2012, 22:06

... nein, nach dem starten des abges. Modus kommt ja die Anmeldung und danach bei mir ein rein weisser Bildschirm, wie er auch vor dem Erscheinen des Polizei screens auftritt - und dabei bleibts dann auch.

cosinus · 19.09.2012, 15:31

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

deigue · 20.09.2012, 10:49

- anbei die C:\OTL.Txt
- C:\Extras.Txt wurde leider nicht erstellt, wusste nicht wo ich den Hacken hierfür setzen sollte?

deigue · 20.09.2012, 10:55

sorry!
aber jetzt ...

deigue · 20.09.2012, 12:00

... nein - jetzt

Code:

ATTFilter

OTL logfile created on: 9/20/2012 3:32:31 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows 7 Professional Service Pack 1 (Version = 6.1.7601) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000c07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
1,013.00 Mb Total Physical Memory | 743.00 Mb Available Physical Memory | 73.00% Memory free
901.00 Mb Paging File | 812.00 Mb Available in Paging File | 90.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 29.43 Gb Total Space | 1.12 Gb Free Space | 3.80% Space Free | Partition Type: NTFS
Drive D: | 11.78 Gb Total Space | 4.05 Gb Free Space | 34.38% Space Free | Partition Type: FAT32
Drive E: | 25.17 Gb Total Space | 7.03 Gb Free Space | 27.92% Space Free | Partition Type: FAT32
Drive G: | 8.12 Gb Total Space | 2.13 Gb Free Space | 26.26% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto] --  -- (MBAMService)
SRV - File not found [Auto] --  -- (MBAMScheduler)
SRV - File not found [Auto] --  -- (AntiVirService)
SRV - File not found [Auto] --  -- (AntiVirSchedulerService)
SRV - File not found [Disabled] --  -- (ABBYY.Licensing.FineReader.Professional.11.0)
SRV - [2012/08/15 06:49:20 | 000,250,056 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/07/25 10:50:34 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/06/25 11:10:41 | 000,176,128 | ---- | M] (OptionNV) [Auto] -- C:\Program Files\3DataManager\Drivers\Automatic\Option Globesurfer iCON\GtFlashSwitch.exe -- (GTFlashSwitch)
SRV - [2012/01/06 14:39:12 | 000,077,520 | ---- | M] () [Disabled] -- C:\Program Files\Hotspot Shield\bin\HSSTrayService.exe -- (HssTrayService)
SRV - [2012/01/06 14:36:14 | 000,331,608 | ---- | M] () [Disabled] -- C:\Program Files\Hotspot Shield\bin\openvpnas.exe -- (hshld)
SRV - [2012/01/04 19:02:02 | 000,329,544 | ---- | M] () [Disabled] -- C:\Program Files\Hotspot Shield\bin\hsswd.exe -- (HssWd)
SRV - [2012/01/04 19:01:58 | 000,363,336 | ---- | M] (AnchorFree Inc.) [Disabled] -- C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe -- (HssSrv)
SRV - [2011/06/08 07:02:00 | 000,633,856 | ---- | M] (Nokia) [Disabled] -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2011/06/06 15:52:47 | 001,343,400 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\Wat\WatAdminSvc.exe -- (WatAdminSvc)
SRV - [2010/02/11 12:29:44 | 000,329,168 | ---- | M] () [Auto] -- C:\Program Files\3DataManager\WTGService.exe -- (WTGService)
SRV - [2009/07/13 21:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009/07/13 21:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009/07/13 21:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009/07/13 21:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008/10/09 01:07:56 | 000,107,912 | ---- | M] () [Auto] -- C:\Program Files\Canon\IJPLM\ijplmsvc.exe -- (IJPLMSVC)
SRV - [2007/05/31 10:21:24 | 000,379,784 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Windows\WindowsMobile\wcescomm.dll -- (WcesComm)
SRV - [2007/05/31 10:21:18 | 000,183,688 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Windows\WindowsMobile\rapimgr.dll -- (RapiMgr)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (NTIOLib_1_0_4)
DRV - [2012/09/17 14:36:22 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2012/09/07 11:04:46 | 000,022,856 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012/06/25 11:10:42 | 000,102,912 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2012/05/10 16:24:17 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/05/10 16:24:16 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/12/28 19:57:28 | 000,037,376 | ---- | M] (AnchorFree Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\HssDrv.sys -- (HssDrv)
DRV - [2011/12/28 19:57:26 | 000,032,768 | ---- | M] (AnchorFree Inc) [Kernel | On_Demand] -- C:\Windows\System32\drivers\taphss.sys -- (taphss)
DRV - [2011/12/08 10:33:54 | 000,039,016 | ---- | M] (RapidSolution Software AG) [Kernel | On_Demand] -- C:\Windows\System32\drivers\tbhsd.sys -- (tbhsd)
DRV - [2011/09/16 10:08:07 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011/09/01 10:54:48 | 000,101,376 | ---- | M] (Protect Software GmbH) [Kernel | Auto] -- C:\Windows\System32\drivers\ACEDRV07.sys -- (ACEDRV07)
DRV - [2011/05/18 04:12:38 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\Windows\System32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2011/05/18 04:12:36 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\Windows\System32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2011/05/18 04:12:32 | 000,023,168 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2011/05/18 04:12:28 | 000,018,176 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2011/05/18 04:09:48 | 000,137,600 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nmwcdnsu.sys -- (nmwcdnsu)
DRV - [2011/05/18 04:09:48 | 000,008,576 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc)
DRV - [2011/03/24 04:57:54 | 000,014,216 | ---- | M] () [Kernel | On_Demand] -- C:\Windows\System32\epmntdrv.sys -- (epmntdrv)
DRV - [2011/03/24 04:57:54 | 000,008,456 | ---- | M] () [Kernel | On_Demand] -- C:\Windows\System32\EuGdiDrv.sys -- (EuGdiDrv)
DRV - [2011/01/31 08:30:38 | 000,023,704 | ---- | M] (Ekahau Inc.) [Kernel | Auto] -- C:\Windows\System32\drivers\ekaprot6.sys -- (EkaProt6)
DRV - [2010/11/20 08:30:15 | 000,175,360 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\vmbus.sys -- (vmbus)
DRV - [2010/11/20 08:30:15 | 000,040,704 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2010/11/20 08:30:15 | 000,028,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\drivers\storvsc.sys -- (storvsc)
DRV - [2010/11/20 06:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010/11/20 05:59:44 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010/11/20 05:14:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2010/11/20 05:14:41 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\system32\drivers\vms3cap.sys -- (s3cap)
DRV - [2010/07/28 19:25:02 | 000,025,112 | ---- | M] (Initio Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ivusb.sys -- (ivusb)
DRV - [2009/10/08 10:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/08/13 02:23:02 | 000,022,528 | ---- | M] (CSR, plc) [Kernel | On_Demand] -- C:\Windows\System32\drivers\BthAvrcp.sys -- (BthAvrcp)
DRV - [2009/07/13 19:52:10 | 000,014,336 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\vwifimp.sys -- (vwifimp)
DRV - [2008/08/26 04:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand] -- C:\Windows\System32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008/01/23 04:19:44 | 000,501,560 | ---- | M] (Protect Software GmbH) [Kernel | Auto] -- C:\Windows\System32\drivers\ACEDRV11.sys -- (acedrv11)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Fridolin_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.at/
IE - HKU\Fridolin_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://at.msn.com/?ocid=iehp
IE - HKU\Fridolin_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-AT
IE - HKU\Fridolin_ON_C\Software\Microsoft\Internet Explorer\SearchURL\dict, = hxxp://dict.leo.org/?lp=ende&search=%s
IE - HKU\Fridolin_ON_C\..\URLSearchHook: {7e111a5c-3d11-4f56-9463-5310c3c69025} - Reg Error: Key error. File not found
IE - HKU\Fridolin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
========== FireFox ==========
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\System32\Macromed\Flash\NPSWF32_11_3_300_271.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\System32\Adobe\Director\np32dsw_1166636.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf:  File not found
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.1: C:\Windows\System32\npdeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.1: C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\Program Files\Microsoft Office\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\Program Files\Microsoft Office\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3555.0308: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=12.0.1.647:  File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=12.0.1.647:  File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=12.0.1.652: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=12.0.1.652: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=12.0.1.647:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@onlive.com/OnLiveGameClientDetector,version=1.0.0: C:\Program Files\OnLive\Plugin\npolgdet.dll (OnLive)
FF - HKCU\Software\MozillaPlugins\@phonostar.de/phonostar:  File not found
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\Fridolin\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011/07/11 02:05:36 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012/07/25 10:50:38 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}: C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension\ [2011/10/18 13:01:55 | 000,000,000 | ---D | M]
 
[2011/06/05 15:35:58 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Fridolin\AppData\Roaming\Mozilla\Extensions
[2012/08/19 18:06:57 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Fridolin\AppData\Roaming\Mozilla\Firefox\Profiles\d2ulsmyw.default\extensions
[2012/07/26 05:13:58 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2012/01/05 17:35:02 | 000,000,000 | ---D | M] (Hotspot Shield Helper (Please allow this installation)) -- C:\Program Files\Mozilla Firefox\extensions\afurladvisor@anchorfree.com
[2012/07/25 10:50:36 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012/07/25 10:50:28 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/07/25 10:50:28 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012/07/25 10:50:28 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012/07/25 10:50:28 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/12/28 19:57:34 | 000,001,847 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\privatesearch.xml
[2012/07/25 10:50:28 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/07/25 10:50:28 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009/06/10 17:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files\Hotspot Shield\HssIE\HssIE.dll (AnchorFree Inc.)
O3 - HKU\Fridolin_ON_C\..\Toolbar\WebBrowser: (no name) - {7E111A5C-3D11-4F56-9463-5310C3C69025} - No CLSID value found.
O4 - HKLM..\Run: [avgnt]  File not found
O4 - HKLM..\Run: [BCSSync] C:\Program Files\Microsoft Office\Office14\BCSSync.exe (Microsoft Corporation)
O4 - HKLM..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)
O4 - HKLM..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.)
O4 - HKU\Fridolin_ON_C..\Run: [phonostar-PlayerTimer]  File not found
O4 - HKU\Fridolin_ON_C..\Run: [stvcs]  File not found
O4 - HKU\Fridolin_ON_C..\Run: [Xmarks]  File not found
O4 - HKU\LocalService_ON_C..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_C..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - Startup: C:\Users\Fridolin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk ()
O4 - Startup: C:\Users\Fridolin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EvernoteClipper.lnk ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O8 - Extra context menu item: Add to Evernote 4.0 - C:\Program Files\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 333 W Evelyn Ave. Mountain View, CA 94041)
O9 - Extra Button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: @C:\Program Files\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Program Files\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 333 W Evelyn Ave. Mountain View, CA 94041)
O9 - Extra 'Tools' menuitem : @C:\Program Files\Evernote\Evernote\Resource.dll,-101 - {A95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Program Files\Evernote\Evernote\EvernoteIE.dll (Evernote Corp., 333 W Evelyn Ave. Mountain View, CA 94041)
O13 - gopher Prefix: missing
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 10.5.1)
O16 - DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 1.6.0_32)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Java Plug-in 10.5.1)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKU\Fridolin_ON_C Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKU\Fridolin_ON_C Winlogon: Shell - (C:\Users\Fridolin\AppData\Roaming\msconfig.dat) - C:\Users\Fridolin\AppData\Roaming\msconfig.dat ()
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2011/08/10 13:05:06 | 000,000,000 | ---D | M] - D:\AutoHotkey -- [ FAT32 ]
O32 - AutoRun File - [2012/04/05 01:28:54 | 000,001,383 | ---- | M] () - D:\auto-bvs.ide -- [ FAT32 ]
O32 - AutoRun File - [2012/04/06 21:13:56 | 000,024,375 | ---- | M] () - D:\auto-bvw.ide -- [ FAT32 ]
O32 - AutoRun File - [2012/04/10 01:53:42 | 000,017,021 | ---- | M] () - D:\auto-bvy.ide -- [ FAT32 ]
O32 - AutoRun File - [2012/04/24 19:22:40 | 000,009,606 | ---- | M] () - D:\auto-bwm.ide -- [ FAT32 ]
O32 - AutoRun File - [2012/04/25 16:06:02 | 000,020,695 | ---- | M] () - D:\auto-bwn.ide -- [ FAT32 ]
O32 - AutoRun File - [2012/05/04 04:05:32 | 000,007,867 | ---- | M] () - D:\auto-bwo.ide -- [ FAT32 ]
O32 - AutoRun File - [2012/05/06 19:47:06 | 000,007,426 | ---- | M] () - D:\auto-bwz.ide -- [ FAT32 ]
O32 - AutoRun File - [2008/05/27 13:12:48 | 000,000,693 | RH-- | M] () - G:\autoexec.bat -- [ FAT32 ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{0d0d8372-0d30-11e1-96a9-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{0d0d8372-0d30-11e1-96a9-806e6f6e6963}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{35fb1eda-cde0-11e1-9c9f-001d92529465}\Shell - "" = AutoRun
O33 - MountPoints2\{35fb1eda-cde0-11e1-9c9f-001d92529465}\Shell\AutoRun\command - "" = E:\Setup.exe
O33 - MountPoints2\{3be9cac4-cdc8-11e1-973b-cdcf1a48a8af}\Shell - "" = AutoRun
O33 - MountPoints2\{3be9cac4-cdc8-11e1-973b-cdcf1a48a8af}\Shell\AutoRun\command - "" = E:\Setup.exe
O33 - MountPoints2\{482722f7-beee-11e1-86c4-8ca2af0afda1}\Shell - "" = AutoRun
O33 - MountPoints2\{482722f7-beee-11e1-86c4-8ca2af0afda1}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{482722f9-beee-11e1-86c4-8ca2af0afda1}\Shell - "" = AutoRun
O33 - MountPoints2\{482722f9-beee-11e1-86c4-8ca2af0afda1}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{5cfe1358-ce14-11e0-8922-001d92529465}\Shell - "" = AutoRun
O33 - MountPoints2\{5cfe1358-ce14-11e0-8922-001d92529465}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{9a09739f-be30-11e1-84e5-bd81e98b0b76}\Shell - "" = AutoRun
O33 - MountPoints2\{9a09739f-be30-11e1-84e5-bd81e98b0b76}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{caafc064-9ef1-11e0-8dc8-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{caafc064-9ef1-11e0-8dc8-806e6f6e6963}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{caafc08d-9ef1-11e0-8dc8-001d92529465}\Shell - "" = AutoRun
O33 - MountPoints2\{caafc08d-9ef1-11e0-8dc8-001d92529465}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{caafc093-9ef1-11e0-8dc8-001d92529465}\Shell - "" = AutoRun
O33 - MountPoints2\{caafc093-9ef1-11e0-8dc8-001d92529465}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{caafc0b6-9ef1-11e0-8dc8-001d92529465}\Shell - "" = AutoRun
O33 - MountPoints2\{caafc0b6-9ef1-11e0-8dc8-001d92529465}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\Setup.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/09/17 14:39:39 | 000,000,000 | ---D | C] -- C:\Users\Fridolin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sophos
[2012/09/17 14:35:13 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2012/09/13 05:16:01 | 000,000,000 | ---D | C] -- C:\Users\Fridolin\AppData\Local\{721CB5AC-9F77-48FF-A4AB-2C220A887608}
[2012/09/13 05:16:00 | 000,000,000 | ---D | C] -- C:\Users\Fridolin\AppData\Local\{28984504-F596-4BB8-82B8-6CA35435264B}
[2012/09/12 08:30:49 | 000,033,280 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\rndismpx.sys
[2012/09/12 08:30:49 | 000,033,280 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\RNDISMP.sys
[2012/09/12 08:30:45 | 000,240,496 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\netio.sys
[2012/09/12 08:30:45 | 000,187,760 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\FWPKCLNT.SYS
[2012/09/12 08:30:40 | 000,490,496 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\d3d10level9.dll
[2012/08/27 01:49:05 | 000,000,000 | ---D | C] -- C:\Users\Fridolin\Documents\PS Freebie Notes
[2012/08/27 01:49:05 | 000,000,000 | ---D | C] -- C:\ProgramData\Power Soft
 
========== Files - Modified Within 30 Days ==========
 
[2012/09/20 06:26:44 | 000,000,044 | ---- | M] () -- C:\Users\Fridolin\AppData\Roaming\msconfig.ini
[2012/09/20 06:26:43 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012/09/20 05:54:26 | 796,897,280 | -HS- | M] () -- C:\hiberfil.sys
[2012/09/18 15:29:31 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012/09/18 08:48:01 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012/09/18 08:39:33 | 000,014,576 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012/09/18 08:39:33 | 000,014,576 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012/09/17 14:39:41 | 000,003,115 | ---- | M] () -- C:\Users\Fridolin\Desktop\Sophos Virus Removal Tool.lnk
[2012/09/17 14:36:22 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2012/09/17 14:33:42 | 000,000,531 | ---- | M] () -- C:\Users\Fridolin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ Malwarebytes Anti-Malware .lnk
[2012/09/17 14:33:42 | 000,000,000 | ---D | M] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012/09/17 14:26:02 | 000,001,102 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012/09/17 11:28:24 | 000,657,676 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012/09/17 11:28:24 | 000,618,912 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012/09/17 11:28:24 | 000,131,016 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012/09/17 11:28:24 | 000,107,232 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012/09/07 11:04:46 | 000,022,856 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012/08/22 13:16:46 | 000,240,496 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\netio.sys
[2012/08/22 13:16:36 | 000,187,760 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\FWPKCLNT.SYS
 
========== Files Created - No Company Name ==========
 
[2012/09/17 14:39:41 | 000,003,115 | ---- | C] () -- C:\Users\Fridolin\Desktop\Sophos Virus Removal Tool.lnk
[2012/09/17 14:28:59 | 000,000,044 | ---- | C] () -- C:\Users\Fridolin\AppData\Roaming\msconfig.ini
[2012/07/27 04:08:48 | 002,536,758 | ---- | C] () -- C:\Users\Fridolin\AppData\Local[j0011]-[p02].bmp
[2012/07/27 04:07:56 | 002,536,758 | ---- | C] () -- C:\Users\Fridolin\AppData\Local[j0011]-[p01].bmp
[2012/06/16 10:44:48 | 000,000,034 | ---- | C] () -- C:\Users\Fridolin\AppData\Roaming\mbam.context.scan
[2012/05/14 06:38:32 | 000,043,976 | ---- | C] () -- C:\Users\Fridolin\AppData\Local\save_en.bmp
[2012/05/14 06:38:08 | 000,043,976 | ---- | C] () -- C:\Users\Fridolin\AppData\Local\save_es.bmp
[2012/04/29 13:05:48 | 000,005,632 | ---- | C] () -- C:\Users\Fridolin\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/03/06 12:11:23 | 000,962,560 | ---- | C] () -- C:\Windows\tesseract.exe
[2012/02/11 05:14:30 | 000,160,361 | ---- | C] () -- C:\Windows\Das Sams Uninstaller.exe
[2012/01/13 03:38:30 | 000,000,000 | ---- | C] () -- C:\Windows\System32\cd.dat
[2012/01/11 06:50:50 | 000,126,976 | ---- | C] () -- C:\Users\Fridolin\AppData\Roaming\msconfig.dat
[2012/01/08 17:04:03 | 000,007,615 | ---- | C] () -- C:\Users\Fridolin\AppData\Local\Resmon.ResmonCfg
[2011/11/20 14:02:46 | 000,074,240 | ---- | C] () -- C:\Windows\AKDeInstall.exe
[2011/09/28 10:56:05 | 000,000,052 | ---- | C] () -- C:\Windows\NMV.INI
[2011/09/22 08:07:54 | 001,103,360 | ---- | C] () -- C:\Windows\System32\cidfont.dll
[2011/09/22 08:07:53 | 001,503,232 | ---- | C] () -- C:\Windows\System32\ptj.exe
[2011/09/22 08:07:51 | 004,369,408 | ---- | C] () -- C:\Windows\System32\pdftk.exe
[2011/09/22 08:07:50 | 000,235,008 | ---- | C] () -- C:\Windows\System32\office.exe
[2011/08/08 08:34:48 | 000,000,058 | ---- | C] () -- C:\Users\Fridolin\AppData\Local\DonationCoder_clipboardhelpandspell_InstallInfo.dat
[2011/06/21 16:46:37 | 000,252,928 | ---- | C] () -- C:\Windows\System32\DShowRdpFilter.dll
[2011/06/21 16:44:20 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2011/06/15 17:05:54 | 000,000,403 | ---- | C] () -- C:\Windows\ODBC.INI
[2011/06/06 16:25:34 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2011/06/05 14:44:57 | 000,233,542 | ---- | C] () -- C:\Windows\System32\vcdll.dll
[2011/06/05 14:44:57 | 000,081,920 | ---- | C] () -- C:\Windows\System32\GkSui20.EXE
[2011/06/05 14:43:52 | 000,028,672 | ---- | C] () -- C:\Windows\System32\astro32.dll
[2011/06/05 11:35:17 | 000,018,048 | ---- | C] () -- C:\Windows\System32\EuEpmGdi.dll
[2011/06/05 11:35:16 | 002,340,992 | ---- | C] () -- C:\Windows\System32\BootMan.exe
[2011/06/05 11:35:16 | 000,086,408 | ---- | C] () -- C:\Windows\System32\setupempdrv03.exe
[2011/06/05 11:35:16 | 000,014,216 | ---- | C] () -- C:\Windows\System32\epmntdrv.sys
[2011/06/05 11:35:16 | 000,008,456 | ---- | C] () -- C:\Windows\System32\EuGdiDrv.sys
[2011/01/11 12:05:18 | 000,008,592 | ---- | C] () -- C:\Windows\System32\ractrlkeyhook.dll
[2010/07/27 13:40:19 | 000,138,512 | ---- | C] () -- C:\Windows\System32\OUTLCTL.DLL
[2009/07/14 04:47:43 | 000,657,676 | ---- | C] () -- C:\Windows\System32\perfh007.dat
[2009/07/14 04:47:43 | 000,295,922 | ---- | C] () -- C:\Windows\System32\perfi007.dat
[2009/07/14 04:47:43 | 000,131,016 | ---- | C] () -- C:\Windows\System32\perfc007.dat
[2009/07/14 04:47:43 | 000,038,104 | ---- | C] () -- C:\Windows\System32\perfd007.dat
[2009/07/14 00:57:37 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009/07/14 00:33:53 | 000,295,160 | ---- | C] () -- C:\Windows\System32\FNTCACHE.DAT
[2009/07/13 22:05:48 | 000,618,912 | ---- | C] () -- C:\Windows\System32\perfh009.dat
[2009/07/13 22:05:48 | 000,291,294 | ---- | C] () -- C:\Windows\System32\perfi009.dat
[2009/07/13 22:05:48 | 000,107,232 | ---- | C] () -- C:\Windows\System32\perfc009.dat
[2009/07/13 22:05:48 | 000,031,548 | ---- | C] () -- C:\Windows\System32\perfd009.dat
[2009/07/13 22:05:05 | 000,000,741 | ---- | C] () -- C:\Windows\System32\NOISE.DAT
[2009/07/13 22:04:11 | 000,215,943 | ---- | C] () -- C:\Windows\System32\dssec.dat
[2009/07/13 19:55:01 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009/07/13 19:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009/07/13 19:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2009/06/10 17:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\System32\mlang.dat
[2004/11/18 04:16:42 | 000,069,632 | ---- | C] () -- C:\Windows\System32\nktwab.dll
[1999/01/22 14:46:58 | 000,065,536 | ---- | C] () -- C:\Windows\System32\MSRTEDIT.DLL
 
========== LOP Check ==========
 
[2012/06/24 04:26:52 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\3Data Manager
[2012/08/14 07:31:49 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\3DataManager
[2012/03/22 16:51:57 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Audacity
[2012/02/11 05:06:31 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\bhv-Edu
[2012/07/31 03:51:06 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Breevy
[2012/07/22 04:06:38 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\calibre
[2012/03/07 03:48:35 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Canon
[2011/12/08 08:22:57 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Chromeflower
[2011/12/08 08:22:02 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\CrystalSpace
[2012/06/26 05:02:48 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\DesktopIconForAmazon
[2012/01/27 12:12:11 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\digipen
[2011/08/08 08:34:50 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\DonationCoder
[2012/09/18 15:29:55 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Dropbox
[2012/05/07 14:48:03 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\fifa
[2011/12/09 06:10:26 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\foobar2000
[2011/08/24 09:32:33 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\GetRightToGo
[2011/12/16 03:56:54 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\GoodSync
[2012/05/05 01:20:35 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\inkscape
[2011/09/27 15:26:14 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\JAM Software
[2012/04/07 10:44:49 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\KompoZer
[2011/11/20 15:23:24 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\lettris-iq
[2012/08/02 05:20:14 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Mobipocket
[2012/02/11 17:06:50 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\naan studio, Inc
[2011/09/07 14:21:25 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Need for Speed World
[2012/07/30 00:56:51 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\NetSpeedMonitor
[2011/10/18 13:16:48 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Nokia
[2011/10/18 13:16:51 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Nokia Ovi Suite
[2012/08/18 12:30:30 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\OnLive App
[2011/10/18 11:44:31 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\PC Suite
[2012/02/19 17:24:20 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Pipeliner.5A8F60606AB9E68112BC6FCD53E816B203E65DCC.1
[2011/10/24 03:56:09 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\PocketPodcasts
[2012/01/06 06:01:06 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\RavensburgerTipToi
[2012/06/17 09:07:28 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Screenbrush
[2011/09/15 13:32:50 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Scribus
[2011/12/22 17:20:20 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\SendBlaster2
[2011/07/15 15:58:12 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Simple Sudoku
[2012/03/20 06:23:08 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\SmartDraw
[2012/03/07 06:30:51 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\SystemUpdaterApp
[2012/07/23 03:49:05 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Textbausteine
[2011/08/25 06:07:16 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Tracker Software
[2012/02/17 08:10:59 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\TreeSheetsdbs
[2012/07/12 07:20:10 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\TuneUp Software
[2012/05/16 12:59:55 | 000,000,000 | ---D | M] -- C:\Users\Fridolin\AppData\Roaming\Unity
[2011/06/05 07:42:02 | 000,000,000 | -HSD | M] -- C:\ProgramData\Anwendungsdaten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Application Data
[2011/08/12 05:20:55 | 000,000,000 | -H-D | M] -- C:\ProgramData\CanonBJ
[2012/08/16 08:51:39 | 000,000,000 | ---D | M] -- C:\ProgramData\CanonIJ
[2012/04/25 02:42:12 | 000,000,000 | -H-D | M] -- C:\ProgramData\CanonIJEGV
[2011/10/25 06:47:31 | 000,000,000 | -H-D | M] -- C:\ProgramData\CanonIJMyPrinter
[2012/09/04 16:19:31 | 000,000,000 | ---D | M] -- C:\ProgramData\CanonIJPLM
[2011/10/25 06:48:37 | 000,000,000 | -H-D | M] -- C:\ProgramData\CanonIJScan
[2011/10/25 06:47:54 | 000,000,000 | -H-D | M] -- C:\ProgramData\CanonIJSolutionMenu
[2012/07/12 07:15:43 | 000,000,000 | -H-D | M] -- C:\ProgramData\Common Files
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Desktop
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Documents
[2011/06/05 07:42:02 | 000,000,000 | -HSD | M] -- C:\ProgramData\Dokumente
[2011/06/05 07:42:02 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favoriten
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Favorites
[2011/10/18 12:28:12 | 000,000,000 | ---D | M] -- C:\ProgramData\GoodSync
[2012/07/22 17:37:23 | 000,000,000 | ---D | M] -- C:\ProgramData\Growl
[2012/03/28 14:01:18 | 000,000,000 | ---D | M] -- C:\ProgramData\hssff
[2011/10/18 11:36:17 | 000,000,000 | ---D | M] -- C:\ProgramData\Installations
[2011/12/15 14:02:05 | 000,000,000 | ---D | M] -- C:\ProgramData\Intenium
[2011/12/15 14:13:23 | 000,000,000 | ---D | M] -- C:\ProgramData\JollyBear
[2011/06/06 12:12:40 | 000,000,000 | ---D | M] -- C:\ProgramData\LogMeIn
[2011/10/18 13:16:01 | 000,000,000 | ---D | M] -- C:\ProgramData\Nokia
[2012/03/12 05:42:54 | 000,000,000 | ---D | M] -- C:\ProgramData\NokiaInstallerCache
[2012/01/06 14:00:32 | 000,000,000 | ---D | M] -- C:\ProgramData\Oriolus_Lernprogramme
[2011/12/16 12:58:50 | 000,000,000 | ---D | M] -- C:\ProgramData\PC Suite
[2012/08/27 01:49:05 | 000,000,000 | ---D | M] -- C:\ProgramData\Power Soft
[2011/12/09 02:33:03 | 000,000,000 | ---D | M] -- C:\ProgramData\RapidSolution
[2012/01/06 05:59:05 | 000,000,000 | ---D | M] -- C:\ProgramData\RavensburgerTipToi
[2012/05/13 14:56:24 | 000,000,000 | ---D | M] -- C:\ProgramData\Sophos
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Start Menu
[2011/06/05 07:42:02 | 000,000,000 | -HSD | M] -- C:\ProgramData\Startmenü
[2012/03/06 12:11:05 | 000,000,000 | ---D | M] -- C:\ProgramData\Tarma Installer
[2012/07/23 02:19:56 | 000,000,000 | ---D | M] -- C:\ProgramData\TEMP
[2009/07/14 00:53:55 | 000,000,000 | -HSD | M] -- C:\ProgramData\Templates
[2012/07/12 07:22:08 | 000,000,000 | ---D | M] -- C:\ProgramData\TuneUp Software
[2011/06/05 07:42:02 | 000,000,000 | -HSD | M] -- C:\ProgramData\Vorlagen
[2012/07/12 07:15:43 | 000,000,000 | -HSD | M] -- C:\ProgramData\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2012/06/24 04:07:20 | 000,032,632 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:5C321E34
< End of report >

... hallo, hab den Hacken schon gefunden,
hier bitte Extras.txt:

Code:

ATTFilter

OTL Extras logfile created on: 9/20/2012 5:21:09 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Windows 7 Professional Service Pack 1 (Version = 6.1.7601) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000c07 | Country: Österreich | Language: DEA | Date Format: dd.MM.yyyy
 
1,013.00 Mb Total Physical Memory | 726.00 Mb Available Physical Memory | 72.00% Memory free
901.00 Mb Paging File | 800.00 Mb Available in Paging File | 89.00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 29.43 Gb Total Space | 1.12 Gb Free Space | 3.80% Space Free | Partition Type: NTFS
Drive D: | 11.78 Gb Total Space | 4.05 Gb Free Space | 34.38% Space Free | Partition Type: FAT32
Drive E: | 25.17 Gb Total Space | 7.03 Gb Free Space | 27.92% Space Free | Partition Type: FAT32
Drive G: | 8.12 Gb Total Space | 2.13 Gb Free Space | 26.26% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
""Deutsch in der Grundschule" - DVD38_is1" = Oriolus Lernprogramm Deutsch in der Grundschule
""Englisch in der Grundschule - Standard" - DVD38_is1" = Oriolus Lernprogramm Englisch in der Grundschule - Standard
""Mathematik in der Grundschule" - DVD38_is1" = Oriolus Lernprogramm Mathematik in der Grundschule
"${PRODUCT_ID}-1.1.3.38636" = Ekahau HeatMapper
"%Connie%" = Connie die kleine Kuh
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0138F525-6C8A-333F-A105-14AE030B9A54}" = Visual C++ 9.0 CRT (x86) WinSXS MSM
"{07D77970-B205-460C-84E4-263F30455597}" = Nokia Ovi Suite
"{0B0F231F-CE6A-483D-AA23-77B364F75917}" = Windows Live Installer
"{0BE73D3C-B5AF-11E1-933A-984BE15F174E}" = Evernote v. 4.5.7
"{0F26618D-6F7B-4216-A7C8-3AF00EBB3AD9}_is1" = FolderSize.Win32 1.0.7.0
"{108A39BF-4ED1-4293-B11A-06BD521FB8F7}" = FreeOCR 3.0
"{1111706F-666A-4037-7777-211328764D10}" = JavaFX 2.1.1
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MX320_series" = Canon MX320 series MP Drivers
"{12451AF7-EFF8-4B5B-8255-282D7CC7CAEE}" = OviMPlatform
"{1E5F3CC6-D390-4393-A2AA-6CEC04F1705A}" = Image Resizer Powertoy Clone for Windows
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{200FEC62-3C34-4D60-9CE8-EC372E01C08F}" = Windows Live SOXE Definitions
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java(TM) 6 Update 32
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java(TM) 7 Update 5
"{28C2DED6-325B-4CC7-983A-1777C8F7FBAB}" = RealUpgrade 1.1
"{291B3A3B-F808-45B8-8113-DF232FCB6C82}" = Microsoft .NET Compact Framework 3.5
"{2C911352-0BCE-420B-935E-93A24FDE9D53}" = Growl for Windows
"{2CC53A53-44F4-4667-8584-2FFC9ACB2242}" = Ovi Desktop Sync Engine
"{2D99A593-C841-43A7-B7C9-D6F3AE70B756}" = Nokia Connectivity Cable Driver
"{32A3A4F4-B792-11D6-A78A-00B0D0160260}" = Java(TM) SE Development Kit 6 Update 26
"{3336F667-9049-4D46-98B6-4C743EEBC5B1}" = Windows Live Photo Gallery
"{342126E1-173C-4585-BFBE-3EBDD20E3E9E}" = Mobipocket Reader 6.2
"{37B33B16-2535-49E7-8990-32668708A0A3}" = Windows Live UX Platform Language Pack
"{3A6F4A31-8CFD-46B4-8385-E1F384DB121E}" = PDF-XChange Viewer
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3CF35B77-CDE3-455E-9BD4-3C41EB46673F}" = SnipIT
"{41F12AC8-4464-0AA9-8085-F28FD9235420}" = Pipeliner
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{506F6323-1111-4347-BD0D-7AD0230E225E}_is1" = Textbausteine Freeware v1.3.31
"{51214AD6-3A0C-473E-BB59-997BAF60013E}" = Galswin - Englisch für die Grundschule
"{529125EF-E3AC-4B74-97E6-F688A7C0F1BF}" = Paint.NET v3.5.10
"{5E7DF79F-DC55-469F-A163-8ACBBA2E661B}" = SteelSoftTV
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{62A1986E-BCAE-4814-A441-C1422C4B2CF1}" = Screenbrush 1.3.1
"{682B3E4F-696A-42DE-A41C-4C07EA1678B4}" = Windows Live SOXE
"{6A0D711B-225D-4C8A-90F1-982070EA3E0A}" = ImageToTextSetup
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{7020FC34-6E04-4858-924D-354B28CB2402}_is1" = Luminance HDR 2.3.0-beta1
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{73EC658D-A1C6-40CA-8E86-E05821BAACE7}" = Java DB 10.6.2.1
"{76B8988F-8E92-4EF1-96DA-30BA4FAD76C8}_is1" = Clikka Mouse Free 1.4.0
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7770E71B-2D43-4800-9CB3-5B6CAAEBEBEA}" = RealNetworks - Microsoft Visual C++ 2008 Runtime
"{83C292B7-38A5-440B-A731-07070E81A64F}" = Windows Live PIMT Platform
"{86501894-E722-4385-A792-B7C2F28FAE7B}" = NetSpeedMonitor 2.5.4.0 x86
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8DD46C6A-0056-4FEC-B70A-28BB16A1F11F}" = MSVCRT
"{90140000-001A-0000-0000-0000000FF1CE}" = Microsoft Office Outlook 2010
"{90140000-001A-0000-0000-0000000FF1CE}_Office14.OUTLOOK_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.OUTLOOK_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.OUTLOOK_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.OUTLOOK_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.OUTLOOK_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.OUTLOOK_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.OUTLOOK_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.OUTLOOK_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{904CCF62-818D-4675-BC76-D37EB399F917}" = Windows Mobile-Gerätecenter
"{92EA4134-10D1-418A-91E1-5A0453131A38}" = Windows Live Movie Maker
"{95120000-00AF-0409-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (English)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A12EA295-32EA-42BB-8442-2C2BE852D4AA}" = inSSIDer 2.0
"{A8F7FCEF-3CA6-4CE9-8FEA-8BB18F8686F0}" = Nokia Ovi Suite Software Updater
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A9BDCA6B-3653-467B-AC83-94367DA3BFE3}" = Windows Live Photo Common
"{ADDB6B3B-1F8A-4012-A69D-ADD2491B7787}" = Textbausteine
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{B113D18C-67B0-4FB7-B329-E89B66194AE6}" = Windows Live Fotogalerie
"{B26B00DA-2E5D-4CF2-83C5-911198C0F009}" = GoodSync
"{B364DC2A-9783-4737-B795-D6F0562A41C5}" = calibre
"{B829E117-D072-41EA-9606-9826A38D34C1}" = Sophos Virus Removal Tool
"{B83513EC-2E4D-4621-816D-4CCF397BE702}_is1" = CheckDrive
"{BE8229D3-224E-4413-801F-7B4DD94561B4}" = Medion USB Driver
"{C2AB7DC4-489E-4BE9-887A-52262FBADBE0}" = Windows Live Photo Common
"{C373F7C4-05D2-4047-96D1-6AF30661C6AA}" = PC Connectivity Solution
"{C56BBAC8-0DD2-4CE4-86E0-F2BDEABDD0CF}" = Xmarks for IE
"{C6150D8A-86ED-41D3-87BB-F3BB51B0B77F}" = Windows Live ID Sign-in Assistant
"{CE95A79E-E4FC-4FFF-8A75-29F04B942FF2}" = Windows Live UX Platform
"{CF5B2669-06E9-4536-ACDA-97668CEA05D2}" = Sendman
"{CF950023-9C75-4843-8B68-FD8A5D641B4B}" = SendBlaster 2
"{D45240D3-B6B3-4FF9-B243-54ECE3E10066}" = Windows Live Communications Platform
"{DF2035BE-5820-4965-BD97-7FAF8D4A7879}" = Microsoft_VC90_CRT_x86
"{E09C4DB7-630C-4F06-A631-8EA7239923AF}" = D3DX10
"{E4E88B54-4777-4659-967A-2EED1E6AFD83}" = Windows Live Movie Maker
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F1100000-0008-0000-0001-074957833700}" = ABBYY FineReader 11
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F89ACF96-456A-4565-9C92-236BE862547A}_is1" = CONTVERTRAG 1.0
"{F95E4EE0-0C6E-4273-B6B9-91FD6F071D76}" = Windows Live Essentials
"{FE23D063-934D-4829-A0D8-00634CE79B4A}" = Adobe AIR
"1. Klasse Mathe Perfekt" = ErsteKlasse
"3DataManager" = 3DataManager
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"AnalogX Virtual Piano" = AnalogX Virtual Piano
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.14 (Unicode)
"AutoHotkey" = AutoHotkey 1.0.48.05
"Avira AntiVir Desktop" = Avira Free Antivirus
"bhv Grundschule total 2008" = bhv Grundschule total 2008
"Big City Adventure: Vancouver" = Big City Adventure: Vancouver
"Canon MX320 series Benutzerregistrierung" = Canon MX320 series Benutzerregistrierung
"CANONIJPLM100" = Canon Inkjet Printer/Scanner/Fax Extended Survey Program
"CanonMyPrinter" = Canon Utilities My Printer
"CanonSolutionMenu" = Canon Utilities Solution Menu
"CrystalDiskInfo_is1" = CrystalDiskInfo 3.10.0
"Das Planetarium 1900 - 2100" = Das Planetarium 1900 - 2100
"Das Sams" = Das Sams
"DesktopIconAmazon" = Desktop Icon für Amazon
"DSGPlayer" = DEUTSCHLAND SPIELT GAME CENTER
"EASEUS Partition Master Home Edition_is1" = EASEUS Partition Master 8.0.1 Home Edition
"Eldy" = Eldy 2.3
"English Beat 1" = English Beat 1
"Everything" = Everything 1.2.1.371
"EveryWAN Remote Support Personal Edition" = EveryWAN Remote Support Personal Edition
"FileMenu Tools_is1" = FileMenu Tools
"Folder Marker_is1" = Folder Marker v 1.4
"foobar2000" = foobar2000 v1.1.10
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"GNU Backgammon_is1" = GNU Backgammon (MAIN branch, 20081113 code)
"GPL Ghostscript 9.04" = GPL Ghostscript
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"Holly Deluxe" = Holly Deluxe
"HotspotShield" = Hotspot Shield 2.24
"Hubdog2" = Hubdog2
"Inkscape" = Inkscape 0.48.2
"IrfanView" = IrfanView (remove only)
"KaloMa_is1" = KaloMa 4.92
"LAME for Audacity_is1" = LAME v3.98.3 for Audacity
"LEO for IE" = LEO Ext. für IE
"Lettris-IQ" = Lettris-IQ
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.0.1400
"Metro" = Metro
"Mgeni" = Mgeni Snapshot (10-22-2009)
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Firefox 12.0 (x86 de)" = Mozilla Firefox 12.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MP Navigator EX 2.1" = Canon MP Navigator EX 2.1
"office Convert Pdf to Jpg Jpeg Tiff Free_is1" = office Convert Pdf to Jpg Jpeg Tiff Free 6.4
"Office14.OUTLOOK" = Microsoft Outlook 2010
"OnLive" = OnLive
"pdfsam" = pdfsam
"Pipeliner.5A8F60606AB9E68112BC6FCD53E816B203E65DCC.1" = Pipeliner
"Primetime Podcast Receiver" = Podcast Receiver
"ProtectDisc Driver 11" = ProtectDisc Driver, Version 11
"QuickTime" = QuickTime
"RealPlayer 12.0" = RealPlayer
"Scribus 1.4.0" = Scribus 1.4.0rc5
"Simple Sudoku_is1" = Simple Sudoku 4.2
"SpywareBlaster_is1" = SpywareBlaster 4.6
"TreePadLite4" = TreePad Lite 4.3
"TreeSheets" = TreeSheets
"TreeSize Free_is1" = TreeSize Free V2.5
"WinLiveSuite" = Windows Live Essentials
"Zero" = Zero-Buchhaltung
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\Fridolin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"1390688167.plan4youeasy.haude.at" = Plan4You Easy
"Dropbox" = Dropbox
"EDI-Real" = EDI-Real
"GoToMeeting" = GoToMeeting 5.0.0.799
"UnityWebPlayer" = Unity Web Player
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
< End of report >

cosinus · 20.09.2012, 19:24

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O3 - HKU\Fridolin_ON_C\..\Toolbar\WebBrowser: (no name) - {7E111A5C-3D11-4F56-9463-5310C3C69025} - No CLSID value found.
O4 - HKLM..\Run: [avgnt]  File not found
O4 - HKU\Fridolin_ON_C..\Run: [phonostar-PlayerTimer]  File not found
O4 - HKU\Fridolin_ON_C..\Run: [stvcs]  File not found
O4 - HKU\Fridolin_ON_C..\Run: [Xmarks]  File not found
O20 - HKU\Fridolin_ON_C Winlogon: Shell - (C:\Users\Fridolin\AppData\Roaming\msconfig.dat) - C:\Users\Fridolin\AppData\Roaming\msconfig.dat ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009/06/10 17:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2011/08/10 13:05:06 | 000,000,000 | ---D | M] - D:\AutoHotkey -- [ FAT32 ]
O32 - AutoRun File - [2012/04/05 01:28:54 | 000,001,383 | ---- | M] () - D:\auto-bvs.ide -- [ FAT32 ]
O32 - AutoRun File - [2012/04/06 21:13:56 | 000,024,375 | ---- | M] () - D:\auto-bvw.ide -- [ FAT32 ]
O32 - AutoRun File - [2012/04/10 01:53:42 | 000,017,021 | ---- | M] () - D:\auto-bvy.ide -- [ FAT32 ]
O32 - AutoRun File - [2012/04/24 19:22:40 | 000,009,606 | ---- | M] () - D:\auto-bwm.ide -- [ FAT32 ]
O32 - AutoRun File - [2012/04/25 16:06:02 | 000,020,695 | ---- | M] () - D:\auto-bwn.ide -- [ FAT32 ]
O32 - AutoRun File - [2012/05/04 04:05:32 | 000,007,867 | ---- | M] () - D:\auto-bwo.ide -- [ FAT32 ]
O32 - AutoRun File - [2012/05/06 19:47:06 | 000,007,426 | ---- | M] () - D:\auto-bwz.ide -- [ FAT32 ]
O32 - AutoRun File - [2008/05/27 13:12:48 | 000,000,693 | RH-- | M] () - G:\autoexec.bat -- [ FAT32 ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{0d0d8372-0d30-11e1-96a9-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{0d0d8372-0d30-11e1-96a9-806e6f6e6963}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{35fb1eda-cde0-11e1-9c9f-001d92529465}\Shell - "" = AutoRun
O33 - MountPoints2\{35fb1eda-cde0-11e1-9c9f-001d92529465}\Shell\AutoRun\command - "" = E:\Setup.exe
O33 - MountPoints2\{3be9cac4-cdc8-11e1-973b-cdcf1a48a8af}\Shell - "" = AutoRun
O33 - MountPoints2\{3be9cac4-cdc8-11e1-973b-cdcf1a48a8af}\Shell\AutoRun\command - "" = E:\Setup.exe
O33 - MountPoints2\{482722f7-beee-11e1-86c4-8ca2af0afda1}\Shell - "" = AutoRun
O33 - MountPoints2\{482722f7-beee-11e1-86c4-8ca2af0afda1}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{482722f9-beee-11e1-86c4-8ca2af0afda1}\Shell - "" = AutoRun
O33 - MountPoints2\{482722f9-beee-11e1-86c4-8ca2af0afda1}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{5cfe1358-ce14-11e0-8922-001d92529465}\Shell - "" = AutoRun
O33 - MountPoints2\{5cfe1358-ce14-11e0-8922-001d92529465}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{9a09739f-be30-11e1-84e5-bd81e98b0b76}\Shell - "" = AutoRun
O33 - MountPoints2\{9a09739f-be30-11e1-84e5-bd81e98b0b76}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{caafc064-9ef1-11e0-8dc8-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{caafc064-9ef1-11e0-8dc8-806e6f6e6963}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{caafc08d-9ef1-11e0-8dc8-001d92529465}\Shell - "" = AutoRun
O33 - MountPoints2\{caafc08d-9ef1-11e0-8dc8-001d92529465}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{caafc093-9ef1-11e0-8dc8-001d92529465}\Shell - "" = AutoRun
O33 - MountPoints2\{caafc093-9ef1-11e0-8dc8-001d92529465}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{caafc0b6-9ef1-11e0-8dc8-001d92529465}\Shell - "" = AutoRun
O33 - MountPoints2\{caafc0b6-9ef1-11e0-8dc8-001d92529465}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\Setup.exe
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:5C321E34
:Files
C:\Users\Fridolin\AppData\Local\{*
C:\Users\Fridolin\AppData\Roaming\msconfig.dat
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

deigue · 20.09.2012, 20:41

super, lässt sich wirklich wieder normal starten!

ich muss irgendetwas falsch gemacht haben, da sich die log Datei nicht geöffnet hat, vor dem zipen zwar im OTL Verzeichnis aufschien aber danach nicht mehr - kann sie jetzt auch nicht posten

die "moved files" müssten über den upload channel hochgeladen sein.

gibt des denn im TB eine Empfehlung wie man ein neu aufgesetztes System (oder zumindest den Browser) am besten gegen solche "Bösewichte" schützt?

jedenfalls nochmals vielen Dank für die wunderbare Hilfe und es ist eine ganz tolle Sache,d ass es Trojaner Board und seine "helfenden Hände" gibt.

kann ich mein netbook wieder normal verwenden der ist noch was zu tun?

Ciao,
deigue

cosinus · 21.09.2012, 12:21

Danke für den Upload!

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

deigue · 24.09.2012, 15:58

... sorry für die unbeabsichtigte Pause - mein Windows 7 ist bei jedem Versuch eines Vollscans (inkl. ext. HD) mit MB, mit Bluescreen und der Fehlermeldung "Kernel_Data_Inpage_Error" abgestürzt und erst ein Quickscan ohne ext. HD ist eben gelungen und hat 2 Schädlinge gemeldet, die von mir entfernt wurden - siehe log-Datei.

Code:

ATTFilter

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.24.03

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Fridolin :: AKOYA1210 [Administrator]

24.09.2012 20:49:37
mbam-log-2012-09-24 (20-59-03).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 189436
Laufzeit: 9 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Fridolin\AppData\Local\Temp\oxrnswecam.exe (Spyware.Password) -> Keine Aktion durchgeführt.
C:\Users\Fridolin\AppData\Local\Temp\anmcowxers.exe (Trojan.Agent) -> Keine Aktion durchgeführt.

(Ende)

Code:

ATTFilter

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.24.03

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Fridolin :: AKOYA1210 [Administrator]

24.09.2012 20:49:37
mbam-log-2012-09-24 (20-49-37).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 189436
Laufzeit: 9 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Fridolin\AppData\Local\Temp\oxrnswecam.exe (Spyware.Password) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Fridolin\AppData\Local\Temp\anmcowxers.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.08.07

Windows 7 Service Pack 1 x86 FAT32 (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Fridolin :: AKOYA1210 [Administrator]

Schutz: Deaktiviert

09.05.2012 08:56:01
mbam-log-2012-05-09 (08-56-01).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 335999
Laufzeit: 1 Stunde(n), 56 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Daten: C:\Users\Fridolin\LOCALS~1\Temp\msyokia.bat -> Löschen bei Neustart.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
H:\Downloads\software\installer_eldy_2_3_Deutsch.exe (Trojan.Toggle) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.07.03

Windows 7 Service Pack 1 x86 FAT32 (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Fridolin :: AKOYA1210 [Administrator]

Schutz: Deaktiviert

08.05.2012 12:27:58
mbam-log-2012-05-08 (12-27-58).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 150990
Laufzeit: 57 Minute(n), 20 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Fridolin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\5cb15e4b-2e6af514 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Fridolin\Local Settings\Temp\mshbiyr.com (Backdoor.Agent.RS) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.07.03

Windows 7 Service Pack 1 x86 FAT32 (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Fridolin :: AKOYA1210 [Administrator]

Schutz: Deaktiviert

08.05.2012 12:19:14
mbam-log-2012-05-08 (12-19-14).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 184935
Laufzeit: 7 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Daten: C:\Users\Fridolin\LOCALS~1\Temp\msyokia.bat -> Löschen bei Neustart.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.07.03

Windows 7 Service Pack 1 x86 FAT32
Internet Explorer 9.0.8112.16421
Fridolin :: AKOYA1210 [Administrator]

Schutz: Deaktiviert

07.05.2012 22:22:00
mbam-log-2012-05-07 (22-22-00).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 186155
Laufzeit: 20 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Daten: C:\Users\Fridolin\LOCALS~1\Temp\msyokia.bat -> Löschen bei Neustart.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.05.03

Windows 7 Service Pack 1 x86 FAT32 (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Fridolin :: AKOYA1210 [Administrator]

05.04.2012 09:47:51
mbam-log-2012-04-05 (09-47-51).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 179503
Laufzeit: 10 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Fridolin\AppData\Local\Temp\ch8l0.exe (Spyware.Passwords) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.12.02

Windows 7 Service Pack 1 x86 FAT32
Internet Explorer 9.0.8112.16421
Fridolin :: AKOYA1210 [Administrator]

12.02.2012 06:37:07
mbam-log-2012-02-12 (06-37-07).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 171334
Laufzeit: 26 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Fridolin\AppData\Local\Temp\EF2B.tmp (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Soll ich trotz gescheitertem MB VOLLSCAN mit ESET online scan fortfahren ?

cosinus · 24.09.2012, 19:54

Probier mal den neuen Vollscan erstmal ohne externe HD

18.09.2012, 10:16	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	"Polizei Cyber Crime Unit ...." Österreich-Variante. Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung? Abgesicherter Modus zur Bereinigung Windows mit F8-Taste beim Start in den abgesicherten Modus bringen. Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern: __________________ __________________

24.09.2012, 19:54	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	"Polizei Cyber Crime Unit ...." Österreich-Variante. Probier mal den neuen Vollscan erstmal ohne externe HD __________________ Logfiles bitte immer in CODE-Tags posten

"Polizei Cyber Crime Unit ...." Österreich-Variante.

Plagegeister aller Art und deren Bekämpfung: "Polizei Cyber Crime Unit ...." Österreich-Variante.