| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglichWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.01.2013, 02:36
| #1 |
| |  GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich Hallo, mich hats leider auch erwischt. Ich habe im Inet diverse Anleitungen gelesen, leider hiflt keine davon und nun hoffe ich ihr könnt mir helfen, vielen Dank schonmal im Vorraus. Ich komme an den Rechner nur wie oben genannt über den Abgesicherten Modus mit Eingabeaufforderung und es sind alle Benutzerkonten befallen. Scan wurde bereits durchgeführt hier die logs. |
|
05.01.2013, 02:42
| #2 |
| /// Malwareteam   | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist. Vista und Win7 User Alle Tools mit Rechtsklick "als Administrator ausführen" starten. Bitte poste dies Logs nicht als Anhang sondern kopiere sie direkt in den thread! Schritt 1
Code:
ATTFilter :OTL
SRV - (winmgmt) -- D:\Dokumente und Einstellungen\2\wgsdgsdgdsgsd.exe (Корпорация Майкрософт)
DRV - (iyxdqma) -- D:\WINDOWS\SYSTEM32\DRIVERS\iyxdqma.sys File not found
[2012.12.28 14:22:27 | 000,204,712 | ---- | C] (Корпорация Майкрософт) -- D:\Dokumente und Einstellungen\2\wgsdgsdgdsgsd.exe
[2012.12.28 14:23:02 | 000,000,776 | ---- | M] () -- D:\Dokumente und Einstellungen\2\Startmenü\Programme\Autostart\runctf.lnk
[2012.12.28 14:22:27 | 000,204,712 | ---- | M] (Корпорация Майкрософт) -- D:\Dokumente und Einstellungen\2\wgsdgsdgdsgsd.exe
[2013.01.05 02:10:20 | 095,023,320 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad
[2013.01.05 02:10:18 | 000,002,860 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js
[2013.01.05 01:58:36 | 000,054,016 | ---- | M] () -- D:\WINDOWS\System32\drivers\gfcmuo.sys
:services
winmgmt
:Commands
[purity]
[emptytemp]
Schritt 2 Downloade Dir bitte Malwarebytes
|
|
05.01.2013, 11:38
| #3 |
| | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich All processes killed
__________________========== OTL ========== Service winmgmt stopped successfully! Service winmgmt deleted successfully! D:\Dokumente und Einstellungen\2\wgsdgsdgdsgsd.exe moved successfully. Service iyxdqma stopped successfully! Service iyxdqma deleted successfully! File D:\WINDOWS\SYSTEM32\DRIVERS\iyxdqma.sys File not found not found. D:\Dokumente und Einstellungen\2\wgsdgsdgdsgsd.exe moved successfully. D:\Dokumente und Einstellungen\2\Startmenü\Programme\Autostart\runctf.lnk moved successfully. D:\Dokumente und Einstellungen\2\wgsdgsdgdsgsd.exe moved successfully. D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad moved successfully. D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js moved successfully. D:\WINDOWS\system32\drivers\gfcmuo.sys moved successfully. ========== SERVICES/DRIVERS ========== Error: No service named winmgmt was found to stop! Service\Driver key winmgmt not found. ========== COMMANDS ========== [EMPTYTEMP] User: 2 ->Temp folder emptied: 884893 bytes ->Temporary Internet Files folder emptied: 296032594 bytes ->Java cache emptied: 2406046 bytes ->FireFox cache emptied: 461476720 bytes ->Flash cache emptied: 1527067 bytes User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 71344 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 184862 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 2148906 bytes %systemroot%\System32 .tmp files removed: 3220 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 43327202 bytes RecycleBin emptied: 19968 bytes Total Files Cleaned = 771,00 mb OTL by OldTimer - Version 3.2.69.0 log created on 01052013_104038 Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 7622 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 8.0.6001.18702 05.01.2013 11:35:23 mbam-log-2013-01-05 (11-35-23).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 168675 Laufzeit: 5 Minute(n), 27 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
05.01.2013, 13:48
| #4 |
| /// Malwareteam | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich Kannst Du wieder normal booten? Dann führe ab nun die Schritte im Normalmodus aus: Schritt 1 Bitte
Schritt 2 Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
|
|
05.01.2013, 15:50
| #5 |
| | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich Danke für die schnelle Hilfe, PC lässt sich wieder normal starten. gmer.log ist leer hat nichts gefunden.OTL Logfile: Code:
ATTFilter OTL logfile created on: 05.01.2013 15:45:17 - Run 3 OTL by OldTimer - Version 3.2.69.0 Folder = D:\Dokumente und Einstellungen\2\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1023,48 Mb Total Physical Memory | 645,84 Mb Available Physical Memory | 63,10% Memory free 2,40 Gb Paging File | 2,08 Gb Available in Paging File | 86,59% Paging File free Paging file location(s): D:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Programme Drive C: | 78,13 Gb Total Space | 71,07 Gb Free Space | 90,97% Space Free | Partition Type: NTFS Drive D: | 70,91 Gb Total Space | 50,41 Gb Free Space | 71,09% Space Free | Partition Type: NTFS Drive F: | 14,91 Gb Total Space | 14,80 Gb Free Space | 99,28% Space Free | Partition Type: NTFS Computer Name: MICUSIE-91CD543 | User Name: 2 | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - D:\Dokumente und Einstellungen\2\Desktop\OTL.exe (OldTimer Tools) PRC - D:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.) PRC - D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) PRC - D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) PRC - D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) PRC - D:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Haufe-Lexware GmbH & Co. KG) PRC - D:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) PRC - D:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH) PRC - D:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - D:\Programme\D-Link\AirPlus G\AirGCFG.exe (D-Link) PRC - D:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe (Alpha Networks Inc.) PRC - D:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe () PRC - D:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe () PRC - D:\Programme\Hewlett-Packard\HP OfficeJet T Series\Bin\HPOstr05.exe (Hewlett-Packard Co.) PRC - D:\Programme\Hewlett-Packard\HP OfficeJet T Series\Bin\hpovdx05.exe (Hewlett-Packard Co.) ========== Modules (No Company Name) ========== MOD - D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Web\b809681da85a58046cb39f268b6697ad\System.Web.ni.dll () MOD - D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Configuration\41cac4885974d07de06f0b4fec9883f0\System.Configuration.ni.dll () MOD - D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Xml\d35b50eb6bb7b1bfb6592419d9feba47\System.Xml.ni.dll () MOD - D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\6585a5fcaaa1b49b9a1bd9ca5c5c306e\System.Windows.Forms.ni.dll () MOD - D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\da4bcb702feb770ce40cf1371b0c4d02\System.Drawing.ni.dll () MOD - D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\90ad0c96693527ae685ff40019bb33b0\System.ni.dll () MOD - D:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\3add69b075f3da012fb97ce00cd795c0\mscorlib.ni.dll () MOD - D:\WINDOWS\assembly\GAC_MSIL\System.Messaging\2.0.0.0__b03f5f7f11d50a3a\System.Messaging.dll () MOD - D:\Programme\Avira\AntiVir Desktop\sqlite3.dll () MOD - D:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanDll.dll () MOD - D:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe () MOD - D:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe () MOD - D:\WINDOWS\system32\hpocnt05.dll () MOD - D:\Programme\Hewlett-Packard\HP OfficeJet T Series\Bin\hpobmp05.dll () MOD - D:\Programme\Hewlett-Packard\HP OfficeJet T Series\Bin\hposwc05.dll () MOD - D:\Programme\Hewlett-Packard\HP OfficeJet T Series\Bin\tw_ocr32.dll () MOD - D:\Programme\Hewlett-Packard\HP OfficeJet T Series\Bin\lfkodak.dll () MOD - D:\Programme\Hewlett-Packard\HP OfficeJet T Series\Bin\lffpx7.dll () ========== Services (SafeList) ========== SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found SRV - (AdobeFlashPlayerUpdateSvc) -- D:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated) SRV - (MozillaMaintenance) -- D:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation) SRV - (AntiVirSchedulerService) -- D:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH) SRV - (AntiVirService) -- D:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH) SRV - (ANIWZCSdService) -- D:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (Alpha Networks Inc.) SRV - (SiSWLSvc) -- D:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe () SRV - (IDriverT) -- D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe (Macrovision Corporation) SRV - (ose) -- D:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (WDICA) -- File not found DRV - (PDRFRAME) -- File not found DRV - (PDRELI) -- File not found DRV - (PDFRAME) -- File not found DRV - (PDCOMP) -- File not found DRV - (PCIDump) -- File not found DRV - (lbrtfdc) -- File not found DRV - (i2omgmt) -- File not found DRV - (Changer) -- File not found DRV - (awddqpoc) -- D:\DOKUME~1\2\LOKALE~1\Temp\awddqpoc.sys File not found DRV - (avipbb) -- D:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH) DRV - (avgntflt) -- D:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH) DRV - (ssmdrv) -- D:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avgio) -- D:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH) DRV - (gameenum) -- D:\WINDOWS\system32\drivers\gameenum.sys (Microsoft Corporation) DRV - (ANIO) -- D:\WINDOWS\system32\ANIO.sys (Alpha Networks Inc.) DRV - (RT73) -- D:\WINDOWS\system32\drivers\Dr71WU.sys (Ralink Technology, Corp.) DRV - (ati2mtag) -- D:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.) DRV - (viaagp1) -- D:\WINDOWS\system32\drivers\VIAAGP1.SYS (VIA Technologies, Inc.) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = BC 7A 0A CA E9 E5 CD 01 [binary data] IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {6552C7DD-90A4-4387-B795-F8F96747DE19} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.defaulturl: "" FF - prefs.js..browser.search.selectedEngine: "Google" FF - prefs.js..browser.search.update: false FF - prefs.js..browser.startup.homepage: "hxxp://home.sweetim.com/?crg=3.1010000&st=12&barid={20AD3A9E-110B-49A6-9AEF-8AD54EC5A08C}" FF - prefs.js..extensions.enabledAddons: {9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}:1.0 FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" FF - prefs.js..browser.startup.homepage: "" FF - user.js - File not found FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: D:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: D:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: D:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: D:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: D:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: D:\WINDOWS\system32\15001.003 [2012.09.23 08:45:14 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0\extensions\\Components: D:\Programme\Mozilla Firefox\components [2012.09.03 21:37:02 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0\extensions\\Plugins: D:\Programme\Mozilla Firefox\plugins FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{9A207F60-3F1C-4ED0-972D-0A4CDFBFF803}: D:\WINDOWS\system32\15001.003 [2012.09.23 08:45:14 | 000,000,000 | ---D | M] [2012.03.09 10:13:33 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\2\Anwendungsdaten\Mozilla\Extensions [2012.05.20 17:19:49 | 000,000,000 | ---D | M] (No name found) -- D:\Dokumente und Einstellungen\2\Anwendungsdaten\Mozilla\Firefox\Profiles\ld3qbb81.default\extensions [2012.05.20 17:19:49 | 000,000,000 | ---D | M] (PriceGong) -- D:\Dokumente und Einstellungen\2\Anwendungsdaten\Mozilla\Firefox\Profiles\ld3qbb81.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829} [2012.05.20 17:19:46 | 000,172,310 | ---- | M] () (No name found) -- D:\Dokumente und Einstellungen\2\Anwendungsdaten\Mozilla\Firefox\Profiles\ld3qbb81.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2012.05.20 17:19:55 | 000,004,002 | ---- | M] () -- D:\Dokumente und Einstellungen\2\Anwendungsdaten\Mozilla\Firefox\Profiles\ld3qbb81.default\searchplugins\sweetim.xml [2012.03.09 10:13:16 | 000,000,000 | ---D | M] (No name found) -- D:\Programme\Mozilla Firefox\extensions [2012.09.23 08:45:14 | 000,000,000 | ---D | M] (Java Link Helper) -- D:\WINDOWS\SYSTEM32\15001.003 [2012.09.03 21:37:01 | 000,266,720 | ---- | M] (Mozilla Foundation) -- D:\Programme\mozilla firefox\components\browsercomps.dll [2012.02.16 12:02:53 | 000,001,392 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.09.03 21:36:57 | 000,002,465 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\bing.xml [2012.02.16 12:02:53 | 000,001,153 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012.02.16 12:02:53 | 000,006,805 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012.02.16 12:02:53 | 000,001,178 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012.02.16 12:02:53 | 000,001,105 | ---- | M] () -- D:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2006.02.28 13:00:00 | 000,000,820 | ---- | M]) - D:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [Adobe ARM] D:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [ANIWZCS2Service] D:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe (Alpha Networks Inc.) O4 - HKLM..\Run: [avgnt] D:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH) O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found O4 - HKLM..\Run: [D-Link AirPlus G] D:\Programme\D-Link\AirPlus G\AirGCFG.exe (D-Link) O4 - HKLM..\Run: [LexwareInfoService] D:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Haufe-Lexware GmbH & Co. KG) O4 - HKLM..\Run: [SunJavaUpdateSched] D:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [SweetIM] D:\Programme\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.) O4 - Startup: D:\Dokumente und Einstellungen\2\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = D:\Programme\OpenOffice.org 3\program\quickstart.exe () O4 - Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP OfficeJet T Series-Start.lnk = D:\Programme\Hewlett-Packard\HP OfficeJet T Series\Bin\HPOstr05.exe (Hewlett-Packard Co.) O4 - Startup: D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Wireless Configuration Utility HW.32.lnk = D:\WINDOWS\Installer\{BDC88E5A-F47B-4314-AB38-994592E32C95}\NewShortcut1.exe (InstallShield Software Corp.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\Programme\PokerStars\PokerStarsUpdate.exe (PokerStars) O9 - Extra Button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe () O9 - Extra 'Tools' menuitem : PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe () O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3ECF73D4-F3CB-4470-9DD5-22017729A3A5}: DhcpNameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{99C7E2D2-845E-4558-915F-B9AD0BAB3E46}: NameServer = 192.168.178.1,192.168.178.2 O18 - Protocol\Handler\haufereader - No CLSID value found O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - D:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation) O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation) O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (D:\WINDOWS\system32\userinit.exe) - D:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: O24 - Desktop BackupWallPaper: O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.09.17 13:10:32 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O33 - MountPoints2\{44cb2c4a-88e9-11dd-852f-0021911d62f4}\Shell - "" = AutoRun O33 - MountPoints2\{44cb2c4a-88e9-11dd-852f-0021911d62f4}\Shell\AutoRun - "" = Auto&Play O33 - MountPoints2\{44cb2c4a-88e9-11dd-852f-0021911d62f4}\Shell\AutoRun\command - "" = F:\LaunchU3.exe O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection D:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection D:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - D:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - D:\WINDOWS\system32\Rundll32.exe D:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C3C986D6-06B1-43BF-90DD-BE30756C00DE} - RevokedRootsUpdate ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - D:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - D:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - D:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "D:\WINDOWS\system32\rundll32.exe" "D:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found NetSvcs: winmgmt - D:\WINDOWS\system32\wbem\winmgmt.exe (Microsoft Corporation) MsConfig - Services: "TermService" MsConfig - Services: "TapiSrv" MsConfig - Services: "helpsvc" MsConfig - Services: "ERSvc" MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 2 MsConfig - State: "startup" - 0 CREATERESTOREPOINT System Restore Service not available. ========== Files/Folders - Created Within 30 Days ========== [2013.01.05 15:45:01 | 000,602,112 | ---- | C] (OldTimer Tools) -- D:\Dokumente und Einstellungen\2\Desktop\OTL.exe ========== Files - Modified Within 30 Days ========== [2013.01.05 15:34:27 | 000,002,633 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Wireless Configuration Utility HW.32.lnk [2013.01.05 15:34:20 | 000,000,007 | ---- | M] () -- D:\WINDOWS\System32\ANIWZCSUSERNAME [2013.01.05 15:33:24 | 000,001,076 | ---- | M] () -- D:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job [2013.01.05 15:33:21 | 000,002,048 | --S- | M] () -- D:\WINDOWS\bootstat.dat [2013.01.05 15:33:19 | 1073,270,784 | -HS- | M] () -- D:\hiberfil.sys [2013.01.04 23:49:44 | 000,013,696 | ---- | M] () -- D:\WINDOWS\System32\wpa.dbl [2013.01.03 20:53:23 | 000,602,112 | ---- | M] (OldTimer Tools) -- D:\Dokumente und Einstellungen\2\Desktop\OTL.exe [2013.01.03 18:29:15 | 000,000,884 | ---- | M] () -- D:\WINDOWS\tasks\Adobe Flash Player Updater.job [2013.01.03 18:21:11 | 000,001,080 | ---- | M] () -- D:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job [2012.12.29 21:10:49 | 000,000,000 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\h3qel4.dat [2012.12.29 13:43:54 | 000,000,551 | ---- | M] () -- D:\WINDOWS\HPOTBX05.INI [2012.12.29 13:42:43 | 000,000,228 | ---- | M] () -- D:\WINDOWS\HPODJC05.INI [2012.12.27 21:47:42 | 000,001,103 | ---- | M] () -- D:\WINDOWS\wiso.ini [2012.12.27 15:41:36 | 000,002,339 | ---- | M] () -- D:\Dokumente und Einstellungen\All Users\Desktop\Steuer 2010.lnk [2012.12.21 16:31:42 | 000,142,832 | ---- | M] () -- D:\WINDOWS\System32\FNTCACHE.DAT [2012.12.14 16:49:28 | 000,021,104 | ---- | M] (Malwarebytes Corporation) -- D:\WINDOWS\System32\drivers\mbam.sys [2012.12.12 15:28:05 | 000,001,393 | ---- | M] () -- D:\WINDOWS\imsins.BAK ========== Files Created - No Company Name ========== [2013.01.05 15:33:19 | 1073,270,784 | -HS- | C] () -- D:\hiberfil.sys [2012.12.29 21:10:49 | 000,000,000 | ---- | C] () -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\h3qel4.dat [2012.09.02 10:40:33 | 000,000,033 | ---- | C] () -- D:\WINDOWS\System32\urhtps.dat [2012.07.30 19:19:26 | 000,003,072 | ---- | C] () -- D:\WINDOWS\System32\iacenc.dll [2012.05.13 11:01:27 | 000,001,103 | ---- | C] () -- D:\WINDOWS\wiso.ini [2008.09.22 21:59:37 | 000,005,120 | ---- | C] () -- D:\Dokumente und Einstellungen\2\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini ========== ZeroAccess Check ========== [2012.05.13 10:50:53 | 000,000,227 | RHS- | M] () -- D:\WINDOWS\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = D:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = D:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2012.05.16 12:33:36 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\2\Anwendungsdaten\Buhl Data Service [2011.08.18 17:13:48 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\2\Anwendungsdaten\elsterformular [2010.02.28 16:38:34 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\2\Anwendungsdaten\ICQ [2010.01.15 18:10:55 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\2\Anwendungsdaten\InterTrust [2012.11.18 11:28:59 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\2\Anwendungsdaten\Lexware [2011.05.09 10:36:34 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\2\Anwendungsdaten\OpenOffice.org [2012.11.13 12:04:09 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\2\Anwendungsdaten\PriceGong [2012.11.18 11:21:35 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve [2012.12.27 21:43:25 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH [2012.05.20 17:26:57 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Driver Mender [2011.05.29 17:34:00 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2012.11.18 11:33:49 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe [2010.02.28 12:17:38 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ [2012.11.18 18:25:52 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware [2012.07.27 11:17:53 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM [2012.05.20 17:27:08 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UAB ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2013.01.05 11:59:12 | 000,000,000 | ---D | M] -- D:\Dokumente und Einstellungen [2012.04.10 21:24:43 | 000,000,000 | ---D | M] -- D:\Meine Bilder [2012.11.20 21:41:42 | 000,000,000 | R--D | M] -- D:\Programme [2008.09.18 15:34:51 | 000,000,000 | -HSD | M] -- D:\RECYCLER [2008.09.17 19:40:10 | 000,000,000 | -HSD | M] -- D:\System Volume Information [2013.01.05 10:50:15 | 000,000,000 | ---D | M] -- D:\WINDOWS < %PROGRAMFILES%\*.exe > Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < MD5 for: EXPLORER.EXE > [2006.02.28 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- D:\WINDOWS\$NtServicePackUninstall$\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- D:\WINDOWS\explorer.exe [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- D:\WINDOWS\ServicePackFiles\i386\explorer.exe < MD5 for: REGEDIT.EXE > [2006.02.28 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- D:\WINDOWS\$NtServicePackUninstall$\regedit.exe [2008.04.14 03:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- D:\WINDOWS\regedit.exe [2008.04.14 03:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- D:\WINDOWS\ServicePackFiles\i386\regedit.exe < MD5 for: USERINIT.EXE > [2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- D:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- D:\WINDOWS\system32\userinit.exe [2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- D:\WINDOWS\$NtServicePackUninstall$\userinit.exe < MD5 for: WINLOGON.EXE > [2012.12.14 16:49:28 | 000,216,424 | ---- | M] () MD5=22101A85B3CA2FE2BE05FE9A61A7A83D -- D:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe [2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- D:\WINDOWS\$NtServicePackUninstall$\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- D:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- D:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2012-12-21 13:54:22 < > [2008.09.17 14:36:52 | 000,000,065 | RH-- | C] () -- D:\WINDOWS\Tasks\desktop.ini [2008.09.17 14:42:54 | 000,000,006 | -H-- | C] () -- D:\WINDOWS\Tasks\SA.DAT [2012.03.18 13:59:25 | 000,001,076 | ---- | C] () -- D:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job [2012.03.18 13:59:26 | 000,001,080 | ---- | C] () -- D:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job [2012.09.14 13:13:21 | 000,000,884 | ---- | C] () -- D:\WINDOWS\Tasks\Adobe Flash Player Updater.job < End of report > |
|
05.01.2013, 16:45
| #6 | |
| /// Malwareteam | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglichZitat:
|
|
05.01.2013, 19:49
| #7 |
| | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich Sorry hatte das wohl missverstanden und den scan nicht gestartet, da nicht von Malware beim starten des Programms die Rede war. Hier also der Inhalt der .log GMER 2.0.18327 - hxxp://www.gmer.net Rootkit scan 2013-01-05 19:46:49 Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_SP1654N rev.BV100-50 149,05GB Running: yibux06e.exe; Driver: D:\DOKUME~1\2\LOKALE~1\Temp\awddqpoc.sys ---- System - GMER 2.0 ---- SSDT F7E47D1C ZwClose SSDT F7E47CD6 ZwCreateKey SSDT F7E47D26 ZwCreateSection SSDT F7E47CCC ZwCreateThread SSDT F7E47CDB ZwDeleteKey SSDT F7E47CE5 ZwDeleteValueKey SSDT F7E47D17 ZwDuplicateObject SSDT F7E47CEA ZwLoadKey SSDT F7E47CB8 ZwOpenProcess SSDT F7E47CBD ZwOpenThread SSDT F7E47CF4 ZwReplaceKey SSDT F7E47CEF ZwRestoreKey SSDT F7E47D2B ZwSetContextThread SSDT F7E47CE0 ZwSetValueKey SSDT F7E47CC7 ZwTerminateProcess ---- Kernel code sections - GMER 2.0 ---- .text ntoskrnl.exe!_abnormal_termination + 1D4 804E2840 4 Bytes [EA, 7C, E4, F7] ? kskqr.sys Das System kann die angegebene Datei nicht finden. ! ---- Files - GMER 2.0 ---- File D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE 0 bytes ---- EOF - GMER 2.0 ---- |
|
06.01.2013, 20:17
| #8 |
| /// Malwareteam | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich Scan mit SystemLook Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop. Download Mirror #1 - Download Mirror #2
|
|
06.01.2013, 21:38
| #9 |
| | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich SystemLook 30.07.11 by jpshortstuff Log created at 21:35 on 06/01/2013 by 2 Administrator - Elevation successful ========== filefind ========== Searching for "*kskqr.sys*" No files found. ========== regfind ========== Searching for "*kskqr*" No data found. Invalid Context: content No Context: *kskqr* No Context: -= EOF =- |
|
06.01.2013, 22:47
| #10 |
| /// Malwareteam | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglichESET Online Scanner
|
|
07.01.2013, 06:05
| #11 |
| | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich keine Ergebnise, hier ein screenshot: |
|
07.01.2013, 08:10
| #12 |
| /// Malwareteam | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich Bestehen noch Probleme? |
|
07.01.2013, 16:35
| #13 |
| | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich Scheint alles ok zu sein, Danke. Kann man irgendwie erkenne wie der Trojaner auf den Rechner gekommen ist? Java z.B. soll nicht ganz so sicher sein, von Lücken bei Adobe habe ich auch schon gehört, will das System nämlich nun nach Datensicherung neu aufsetzen, aber es wird wohl Win XP bleiben, da ich kein anderes habe und es für die Leistung des Rechners vollkommen ausreichend ist. |
|
07.01.2013, 21:35
| #14 | |
| /// Malwareteam | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglichZitat:
Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
Anti- Viren Software
Zusätzlicher Schutz
Sicheres Browsen
Alternative Browser Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
Performance Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC Halte dich fern von jedlichen Registry Cleanern. Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links Miekemoes Blogspot ( MVP ) Bill Castner ( MVP ) Don'ts
Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann. |
|
07.01.2013, 23:29
| #15 |
| | GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich Danke sehr, echt tolles Board hier  |
|
| Themen zu GVU Trojaner auf Windows XP; nur Abgesicherter Modus mit Eingabeaufforderung möglich |
| abgesicherte, abgesicherten, abgesicherten modus, abgesicherter, abgesicherter modus, abgesicherter modus mit eingabeaufforderung, anleitungen, benutzerkonten, bereits, diverse, durchgeführt, eingabeaufforderung, gen, genannt, gvu trojaner, hoffe, modus, nur abgesicherter modus, rechner, schonmal, troja, trojaner, windows, windows xp |
Textbox.
Linear-Darstellung
