| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: GUV Trojaner sperrt SystemWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
22.02.2013, 18:45
| #16 | |
| /// TB-Ausbilder   |  GUV Trojaner sperrt System Ok, dann machen wir nochmals einen Lauf: Schritt 1 Warnung für Mitleser: Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde! Downloade dir bitte Combofix.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
Schritt 2 Starte bitte die OTL.exe.
Bitte poste in deiner nächsten Antwort:
__________________ cheers, Leo |
|
22.02.2013, 19:21
| #17 |
 | GUV Trojaner sperrt System Log Combofix:
__________________Code:
ATTFilter ComboFix 13-02-22.01 - borusse 22.02.2013 18:55:16.2.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.3068.2026 [GMT 1:00]
ausgeführt von:: c:\users\borusse\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
FW: Avira FireWall *Enabled* {CE40CCC0-8ADB-6D67-25A0-C5B6438E4B57}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\programdata\60a7806a-0eea-424c-a464-20f4730cd631
c:\programdata\8375437.js
c:\programdata\8375437.pad
c:\programdata\SPL15E3.tmp
c:\programdata\SPL38CB.tmp
c:\programdata\SPL608.tmp
c:\programdata\SPL8B8C.tmp
c:\programdata\SPL8D41.tmp
c:\programdata\SPL8F15.tmp
c:\programdata\SPL8F63.tmp
c:\programdata\SPL8FC2.tmp
c:\programdata\SPL91C3.tmp
c:\programdata\SPL929D.tmp
c:\programdata\SPL929E.tmp
c:\programdata\SPL955B.tmp
c:\programdata\SPL976E.tmp
c:\programdata\SPLA49B.tmp
c:\programdata\SPLA8A.tmp
c:\programdata\SPLBA3A.tmp
c:\programdata\SPLBF87.tmp
c:\programdata\SPLC428.tmp
c:\programdata\SPLC61D.tmp
c:\programdata\SPLCA02.tmp
c:\programdata\SPLD2C8.tmp
c:\programdata\SPLDC9A.tmp
c:\programdata\SPLDE7F.tmp
c:\programdata\SPLDF56.tmp
c:\programdata\SPLF8B0.tmp
c:\users\FC - Hasser\7345738.dll
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-01-22 bis 2013-02-22 ))))))))))))))))))))))))))))))
.
.
2013-02-22 18:05 . 2013-02-22 18:05 -------- d-----w- c:\users\Heickslover\AppData\Local\temp
2013-02-22 18:05 . 2013-02-22 18:05 -------- d-----w- c:\users\FC - Hasser\AppData\Local\temp
2013-02-22 18:05 . 2013-02-22 18:05 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-02-22 16:40 . 2013-02-22 16:40 -------- d-----w- C:\FRST
2013-02-22 13:05 . 2013-02-22 13:05 -------- d-----w- c:\users\FC - Hasser\AppData\Roaming\Malwarebytes
2013-02-22 12:48 . 2013-02-22 12:48 -------- d-----w- c:\users\borusse\AppData\Roaming\Malwarebytes
2013-02-22 12:47 . 2013-02-22 12:47 -------- d-----w- c:\programdata\Malwarebytes
2013-02-22 12:47 . 2013-02-22 12:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-02-22 12:47 . 2012-12-14 15:49 21104 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-02-22 12:26 . 2013-02-22 12:26 -------- d-----w- c:\users\FC - Hasser\AppData\Roaming\Avira
2013-02-21 22:29 . 2013-02-21 22:29 -------- d-----w- c:\users\borusse\AppData\Roaming\Avira
2013-02-21 22:01 . 2013-02-21 20:37 36552 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2013-02-21 22:01 . 2013-02-21 20:37 134336 ----a-w- c:\windows\system32\drivers\avipbb.sys
2013-02-21 22:01 . 2013-02-21 20:37 92448 ----a-w- c:\windows\system32\drivers\avfwim.sys
2013-02-21 22:01 . 2013-02-21 20:37 83944 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2013-02-21 22:01 . 2013-02-21 20:37 113024 ----a-w- c:\windows\system32\drivers\avfwot.sys
2013-02-21 22:01 . 2013-02-21 22:02 -------- d-----w- c:\programdata\Avira
2013-02-21 22:01 . 2013-02-21 22:01 -------- d-----w- c:\program files\Avira
2013-02-19 17:31 . 2013-01-08 04:57 6991832 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{866657F0-9676-493D-A936-ACFBEB46B52A}\mpengine.dll
2013-02-15 11:56 . 2013-01-08 22:01 768000 ----a-w- c:\program files\Common Files\Microsoft Shared\vgx\VGX.dll
2013-02-15 11:54 . 2013-01-05 05:26 3602808 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-02-15 11:54 . 2013-01-05 05:26 3550072 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-02-14 14:13 . 2013-01-04 01:38 2048512 ----a-w- c:\windows\system32\win32k.sys
2013-02-14 14:13 . 2012-11-08 03:48 1314816 ----a-w- c:\windows\system32\quartz.dll
2013-02-14 14:13 . 2013-01-04 11:28 905576 ----a-w- c:\windows\system32\drivers\tcpip.sys
2013-01-30 17:52 . 2013-01-30 17:52 -------- d-----w- c:\users\FC - Hasser\AppData\Local\Facebook
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-17 00:28 . 2009-10-03 13:08 232336 ------w- c:\windows\system32\MpSigStub.exe
2012-12-16 13:12 . 2012-12-26 09:53 34304 ----a-w- c:\windows\system32\atmlib.dll
2012-12-16 10:50 . 2012-12-26 09:53 293376 ----a-w- c:\windows\system32\atmfd.dll
2012-02-13 04:35 . 2012-02-09 10:56 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2005-09-03 94208]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\HOMERunner.exe" [2008-12-09 234856]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-07-18 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-17 1049896]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-12-24 222504]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-06-11 468264]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-12 202032]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"NWEReboot"="" [BU]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-16 75008]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"lxdfmon.exe"="c:\program files\Lexmark 6500 Series\lxdfmon.exe" [2007-12-17 455336]
"lxdfamon"="c:\program files\Lexmark 6500 Series\lxdfamon.exe" [2007-12-17 25256]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-09 13543968]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-09 92704]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [BU]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2013-02-21 385248]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2009-7-13 813584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 12:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
2007-09-19 09:32 7680 ----a-w- c:\program files\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-22 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001Core.job
- c:\users\FC - Hasser\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-30 17:52]
.
2013-02-22 c:\windows\Tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001UA.job
- c:\users\FC - Hasser\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-30 17:52]
.
2013-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 04:33]
.
2013-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 04:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Presario&pf=cnnb
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 80.69.100.102 80.69.103.78
FF - ProfilePath - c:\users\borusse\AppData\Roaming\Mozilla\Firefox\Profiles\quc7ebve.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-22 19:05
Windows 6.0.6002 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(4660)
c:\program files\Logitech\SetPoint\lgscroll.dll
.
Zeit der Fertigstellung: 2013-02-22 19:07:53
ComboFix-quarantined-files.txt 2013-02-22 18:07
.
Vor Suchlauf: 17 Verzeichnis(se), 42.689.433.600 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 42.663.157.760 Bytes frei
.
- - End Of File - - 88D70CCE2D90B5B5763810AD3238E879
Log OTL Code:
ATTFilter OTL logfile created on: 22.02.2013 19:10:03 - Run 3 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\borusse\Desktop Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 3,00 Gb Total Physical Memory | 1,61 Gb Available Physical Memory | 53,63% Memory free 6,22 Gb Paging File | 4,95 Gb Available in Paging File | 79,50% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 223,90 Gb Total Space | 39,79 Gb Free Space | 17,77% Space Free | Partition Type: NTFS Drive D: | 8,98 Gb Total Space | 1,66 Gb Free Space | 18,47% Space Free | Partition Type: NTFS Computer Name: SIMMONSEN | User Name: borusse | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - C:\ComboFix\CF10200.3XE (Microsoft Corporation) PRC - C:\Users\borusse\Desktop\OTL.exe (OldTimer Tools) PRC - C:\Programme\Avira\AntiVir Desktop\usrreq.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe (Avira Operations GmbH & Co. KG) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) PRC - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation) PRC - C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.) PRC - C:\Programme\Common Files\Logishrd\KHAL2\KHALMNPR.exe (Logitech, Inc.) PRC - C:\ComboFix\Catchme.tmp () PRC - C:\Programme\Windows Sidebar\sidebar.exe (Microsoft Corporation) PRC - C:\Windows\explorer.exe (Microsoft Corporation) PRC - C:\Windows\System32\conime.exe (Microsoft Corporation) PRC - C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation) PRC - C:\Programme\TomTom HOME 2\HOMERunner.exe (TomTom) PRC - C:\Windows\SMINST\BLService.exe () PRC - C:\Programme\Lexmark 6500 Series\lxdfamon.exe () PRC - C:\Windows\System32\lxdfcoms.exe ( ) PRC - C:\Programme\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG) ========== Modules (No Company Name) ========== MOD - C:\Users\borusse\AppData\Local\Temp\catchme.dll () MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\e64304962098e90f0d3f4c33c1b080a6\System.Windows.Forms.ni.dll () MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\004bc6615f9c06df5c98859d35149fe6\System.Configuration.ni.dll () MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\b757806657fa5db2b1ed1a89b026b463\System.Xml.ni.dll () MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\78157a494dc9a7e52be8840decfcd9cc\System.Drawing.ni.dll () MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\System\cc149d08e75f8c53cd28ac926b38c370\System.ni.dll () MOD - C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\2227d1559f87943255069398608d5c56\mscorlib.ni.dll () MOD - C:\Programme\Logitech\SetPoint\khalwrapper.dll () MOD - C:\ComboFix\Catchme.tmp () MOD - C:\Windows\assembly\GAC_MSIL\mscorlib.resources\2.0.0.0_de_b77a5c561934e089\mscorlib.resources.dll () MOD - C:\Programme\Lexmark 6500 Series\lxdfamon.exe () MOD - C:\Programme\Common Files\LightScribe\QtGui4.dll () MOD - C:\Programme\Common Files\LightScribe\plugins\imageformats\qjpeg4.dll () MOD - C:\Programme\Common Files\LightScribe\QtCore4.dll () MOD - C:\Programme\Lexmark 6500 Series\app4r.monitor.core.dll () MOD - C:\Programme\Lexmark 6500 Series\app4r.monitor.common.dll () MOD - C:\Programme\Lexmark 6500 Series\app4r.devmons.mcmdevmon.dll () MOD - C:\Programme\Lexmark 6500 Series\app4r.devmons.mcmdevmon.autoplayutil.dll () ========== Services (SafeList) ========== SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirMailService) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG) SRV - (AntiVirFirewallService) -- C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe (Avira Operations GmbH & Co. KG) SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation) SRV - (MBAMScheduler) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation) SRV - (SkypeUpdate) -- C:\Programme\Skype\Updater\Updater.exe (Skype Technologies) SRV - (odserv) -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE (Microsoft Corporation) SRV - (LBTServ) -- C:\Programme\Common Files\Logishrd\Bluetooth\LBTServ.exe (Logitech, Inc.) SRV - (Microsoft Office Groove Audit Service) -- C:\Programme\Microsoft Office\Office12\GrooveAuditService.exe (Microsoft Corporation) SRV - (Recovery Service for Windows) -- C:\Windows\SMINST\BLService.exe () SRV - (ezSharedSvc) -- C:\Windows\System32\ezsvc7.dll (EasyBits Sofware AS) SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation) SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation) SRV - (lxdf_device) -- C:\Windows\System32\lxdfcoms.exe ( ) SRV - (lxdfCATSCustConnectService) -- C:\Windows\System32\spool\DRIVERS\W32X86\3\\lxdfserv.exe () SRV - (ose) -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE (Microsoft Corporation) ========== Driver Services (SafeList) ========== DRV - (NwlnkFwd) -- system32\DRIVERS\nwlnkfwd.sys File not found DRV - (NwlnkFlt) -- system32\DRIVERS\nwlnkflt.sys File not found DRV - (mbr) -- C:\ComboFix\mbr.sys File not found DRV - (IpInIp) -- system32\DRIVERS\ipinip.sys File not found DRV - (InCDRm) -- system32\drivers\InCDRm.sys File not found DRV - (InCDPass) -- system32\drivers\InCDPass.sys File not found DRV - (InCDFs) -- system32\drivers\InCDFs.sys File not found DRV - (catchme) -- C:\Users\borusse\AppData\Local\Temp\catchme.sys File not found DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira Operations GmbH & Co. KG) DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira Operations GmbH & Co. KG) DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH) DRV - (avfwot) -- C:\Windows\System32\drivers\avfwot.sys (Avira GmbH) DRV - (avfwim) -- C:\Windows\System32\drivers\avfwim.sys (Avira GmbH) DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira Operations GmbH & Co. KG) DRV - (MBAMProtector) -- C:\Windows\System32\drivers\mbam.sys (Malwarebytes Corporation) DRV - (athr) -- C:\Windows\System32\drivers\athr.sys (Atheros Communications, Inc.) DRV - (LMouFilt) -- C:\Windows\System32\drivers\LMouFilt.Sys (Logitech, Inc.) DRV - (LHidFilt) -- C:\Windows\System32\drivers\LHidFilt.Sys (Logitech, Inc.) DRV - (CnxtHdAudService) -- C:\Windows\System32\drivers\CHDRT32.sys (Conexant Systems Inc.) DRV - (RTL8169) -- C:\Windows\System32\drivers\Rtlh86.sys (Realtek Corporation ) DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation) DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation) DRV - (XAudio) -- C:\Windows\System32\drivers\XAudio.sys (Conexant Systems, Inc.) DRV - (HpqKbFiltr) -- C:\Windows\System32\drivers\HpqKbFiltr.sys (Hewlett-Packard Development Company, L.P.) DRV - (NVENETFD) -- C:\Windows\System32\drivers\nvm60x32.sys (NVIDIA Corporation) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=83&bd=Presario&pf=cnnb IE - HKLM\..\SearchScopes,DefaultScope = IE - HKLM\..\SearchScopes\{2AD9BACB-2264-4A41-A318-6F1BDE25A2A7}: "URL" = hxxp://de.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913933 IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7 IE - HKLM\..\SearchScopes\{D87FDBEE-E7CB-48AE-8CBD-78AC61B2F615}: "URL" = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1145&query={searchTerms}&invocationType=tb50hpcnnbie7-de-de IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = IE - HKU\S-1-5-21-798063646-1826419100-972067498-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com IE - HKU\S-1-5-21-798063646-1826419100-972067498-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1 IE - HKU\S-1-5-21-798063646-1826419100-972067498-1000\..\SearchScopes,DefaultScope = {725C2BB1-43A2-419C-9A4A-C0C4D0DDADF3} IE - HKU\S-1-5-21-798063646-1826419100-972067498-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKU\S-1-5-21-798063646-1826419100-972067498-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKU\S-1-5-21-798063646-1826419100-972067498-1000\..\SearchScopes\{725C2BB1-43A2-419C-9A4A-C0C4D0DDADF3}: "URL" = hxxp://www.google.de/search?q={searchTerms}&rlz=1I7ADRA_deDE336 IE - HKU\S-1-5-21-798063646-1826419100-972067498-1000\..\SearchScopes\{960B40B8-952B-481D-81AD-1E8C6D8CB912}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10261&src=kw&q={searchTerms}&locale=&apn_ptnrs=^AGS&apn_dtid=^YYYYYY^YY^DE&apn_uid=D1C876D8-5DEF-40E6-BFB0-279A4DFF4EB7&apn_sauid=324E42FD-DB9D-4363-AB06-8EBC5D8397CA IE - HKU\S-1-5-21-798063646-1826419100-972067498-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.02.13 05:35:52 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 10.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.02.09 11:56:21 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2012.02.13 05:35:52 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll [2012.01.29 15:02:49 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml [2012.01.29 14:50:55 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml [2012.01.29 15:02:49 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml [2012.01.29 15:02:49 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml [2012.01.29 15:02:49 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml [2012.01.29 15:02:49 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2013.02.22 17:02:46 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (Lexmark Symbolleiste) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll () O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.) O3 - HKLM\..\Toolbar: (Lexmark Symbolleiste) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll () O3 - HKU\S-1-5-21-798063646-1826419100-972067498-1000\..\Toolbar\ShellBrowser: (Lexmark Symbolleiste) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll () O3 - HKU\S-1-5-21-798063646-1826419100-972067498-1000\..\Toolbar\WebBrowser: (Lexmark Symbolleiste) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Programme\Lexmark Toolbar\toolband.dll () O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG) O4 - HKLM..\Run: [HP Health Check Scheduler] c:\Programme\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe (Hewlett-Packard) O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\Windows\KHALMNPR.Exe (Logitech, Inc.) O4 - HKLM..\Run: [lxdfamon] C:\Program Files\Lexmark 6500 Series\lxdfamon.exe () O4 - HKLM..\Run: [lxdfmon.exe] C:\Program Files\Lexmark 6500 Series\lxdfmon.exe () O4 - HKLM..\Run: [NeroFilterCheck] C:\Windows\System32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NWEReboot] File not found O4 - HKLM..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" File not found O4 - HKU\S-1-5-21-798063646-1826419100-972067498-1000..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe (Nero AG) O4 - HKU\S-1-5-21-798063646-1826419100-972067498-1000..\Run: [TomTomHOME.exe] C:\Program Files\TomTom HOME 2\HOMERunner.exe (TomTom) O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-798063646-1826419100-972067498-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-798063646-1826419100-972067498-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation) O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation) O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG) O15 - HKU\.DEFAULT\..Trusted Ranges: Range1 ([http] in Local intranet) O15 - HKU\S-1-5-18\..Trusted Ranges: Range1 ([http] in Local intranet) O15 - HKU\S-1-5-21-798063646-1826419100-972067498-1000\..Trusted Ranges: Range1 ([http] in Local intranet) O16 - DPF: {49232000-16E4-426C-A231-62846947304B} https://wimpro3.cce.hp.com/ChatEntry/downloads/sysinfo.cab (SysData Class) O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab (GMNRev Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 80.69.100.102 80.69.103.78 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{ACEA6A4B-1CBF-4FEC-ACFC-EFD3B99A0FA7}: DhcpNameServer = 80.69.100.182 80.69.100.174 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{F13EF736-9568-417D-8966-B1060C285130}: DhcpNameServer = 80.69.100.102 80.69.103.78 O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation) O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation) O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies) O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation) O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\Dots.jpg O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\Dots.jpg O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation) O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O32 - AutoRun File - [2008.10.31 21:01:45 | 000,003,802 | ---- | M] () - C:\Autorun_dll.log -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = ComFile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3) O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2) ========== Files/Folders - Created Within 30 Days ========== [2013.02.22 19:07:56 | 000,000,000 | ---D | C] -- C:\Windows\temp [2013.02.22 19:07:05 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN [2013.02.22 19:07:05 | 000,000,000 | -HSD | C] -- \$RECYCLE.BIN [2013.02.22 18:51:41 | 000,000,000 | ---D | C] -- C:\ComboFix [2013.02.22 18:51:41 | 000,000,000 | ---D | C] -- \ComboFix [2013.02.22 17:40:25 | 000,000,000 | ---D | C] -- C:\FRST [2013.02.22 17:40:25 | 000,000,000 | ---D | C] -- \FRST [2013.02.22 16:49:05 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe [2013.02.22 16:49:05 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe [2013.02.22 16:49:05 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe [2013.02.22 16:48:33 | 000,000,000 | ---D | C] -- C:\Qoobox [2013.02.22 16:48:33 | 000,000,000 | ---D | C] -- \Qoobox [2013.02.22 16:42:12 | 000,000,000 | ---D | C] -- C:\Windows\erdnt [2013.02.22 16:39:38 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\borusse\Desktop\OTL.exe [2013.02.22 16:39:19 | 005,034,222 | R--- | C] (Swearware) -- C:\Users\borusse\Desktop\ComboFix.exe [2013.02.22 13:47:55 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes [2013.02.22 13:47:54 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys [2013.02.22 13:47:54 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware [2013.02.21 23:03:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira [2013.02.21 23:01:43 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys [2013.02.21 23:01:42 | 000,134,336 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys [2013.02.21 23:01:42 | 000,113,024 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avfwot.sys [2013.02.21 23:01:42 | 000,092,448 | ---- | C] (Avira GmbH) -- C:\Windows\System32\drivers\avfwim.sys [2013.02.21 23:01:42 | 000,083,944 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys [2013.02.21 23:01:42 | 000,036,552 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys [2013.02.21 23:01:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira [2013.02.21 23:01:39 | 000,000,000 | ---D | C] -- C:\Program Files\Avira ========== Files - Modified Within 30 Days ========== [2013.02.22 18:57:00 | 000,000,952 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001UA.job [2013.02.22 18:57:00 | 000,000,930 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001Core.job [2013.02.22 18:42:01 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2013.02.22 18:42:00 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2013.02.22 18:34:57 | 000,644,136 | ---- | M] () -- C:\Windows\System32\perfh007.dat [2013.02.22 18:34:57 | 000,600,690 | ---- | M] () -- C:\Windows\System32\perfh009.dat [2013.02.22 18:34:57 | 000,131,388 | ---- | M] () -- C:\Windows\System32\perfc007.dat [2013.02.22 18:34:57 | 000,108,572 | ---- | M] () -- C:\Windows\System32\perfc009.dat [2013.02.22 18:30:47 | 000,000,249 | ---- | M] () -- C:\Users\Public\Documents\hpqp.ini [2013.02.22 18:30:22 | 000,071,933 | ---- | M] () -- C:\ProgramData\nvModes.dat [2013.02.22 18:30:22 | 000,071,933 | ---- | M] () -- C:\ProgramData\nvModes.001 [2013.02.22 18:29:36 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0 [2013.02.22 18:29:36 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0 [2013.02.22 18:29:31 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat [2013.02.22 18:29:21 | 3218,284,544 | -HS- | M] () -- C:\hiberfil.sys [2013.02.22 17:02:46 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts [2013.02.22 16:39:38 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\borusse\Desktop\OTL.exe [2013.02.22 16:39:35 | 005,034,222 | R--- | M] (Swearware) -- C:\Users\borusse\Desktop\ComboFix.exe [2013.02.22 16:28:44 | 000,587,671 | ---- | M] () -- C:\Users\borusse\Desktop\adwcleaner0.exe [2013.02.22 13:47:56 | 000,000,906 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2013.02.21 23:23:05 | 000,007,592 | ---- | M] () -- C:\Users\borusse\AppData\Local\d3d9caps.dat [2013.02.21 23:03:36 | 000,001,847 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk [2013.02.21 21:37:53 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys [2013.02.21 21:37:53 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys [2013.02.21 21:37:53 | 000,028,520 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys [2013.02.21 21:37:52 | 000,113,024 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avfwot.sys [2013.02.21 21:37:52 | 000,092,448 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avfwim.sys [2013.02.21 21:37:52 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys [2013.02.21 20:42:31 | 000,432,576 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT ========== Files Created - No Company Name ========== [2013.02.22 16:49:05 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe [2013.02.22 16:49:05 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe [2013.02.22 16:49:05 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe [2013.02.22 16:49:05 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe [2013.02.22 16:49:05 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe [2013.02.22 16:28:44 | 000,587,671 | ---- | C] () -- C:\Users\borusse\Desktop\adwcleaner0.exe [2013.02.22 16:17:11 | 3218,284,544 | -HS- | C] () -- C:\hiberfil.sys [2013.02.22 16:17:11 | 3218,284,544 | -HS- | C] () -- \hiberfil.sys [2013.02.22 13:47:56 | 000,000,906 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk [2013.02.21 23:03:36 | 000,001,847 | ---- | C] () -- C:\Users\Public\Desktop\Avira Control Center.lnk [2013.01.30 18:52:23 | 000,000,952 | ---- | C] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001UA.job [2013.01.30 18:52:22 | 000,000,930 | ---- | C] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-798063646-1826419100-972067498-1001Core.job [2012.01.08 19:00:39 | 000,007,592 | ---- | C] () -- C:\Users\borusse\AppData\Local\d3d9caps.dat [2009.09.27 15:59:32 | 000,000,052 | ---- | C] () -- C:\ProgramData\lxdf [2008.10.31 19:22:50 | 000,000,375 | -H-- | C] () -- \IPH.PH [2008.09.22 19:46:23 | 000,071,933 | ---- | C] () -- C:\ProgramData\nvModes.dat [2008.09.22 19:46:23 | 000,071,933 | ---- | C] () -- C:\ProgramData\nvModes.001 [2008.02.08 07:49:06 | 000,333,257 | RHS- | C] () -- \bootmgr [2006.11.02 11:23:09 | 000,000,024 | ---- | C] () -- \autoexec.bat [2006.11.02 07:25:08 | 000,000,010 | ---- | C] () -- \config.sys ========== ZeroAccess Check ========== [2006.11.02 13:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini [HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] "" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Apartment [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] "" = %systemroot%\system32\wbem\fastprox.dll -- [2009.04.11 07:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Free [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] "" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.11 07:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation) "ThreadingModel" = Both ========== LOP Check ========== [2008.10.31 19:16:34 | 000,000,000 | -HSD | M] -- C:\Users\All Users\Anwendungsdaten [2009.04.21 17:12:31 | 000,000,000 | ---D | M] -- C:\Users\All Users\App4rTemp [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\All Users\Application Data [2009.04.05 10:15:38 | 000,000,000 | ---D | M] -- C:\Users\All Users\Avery [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\All Users\Desktop [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\All Users\Documents [2008.10.31 19:16:34 | 000,000,000 | -HSD | M] -- C:\Users\All Users\Dokumente [2008.10.31 19:16:34 | 000,000,000 | -HSD | M] -- C:\Users\All Users\Favoriten [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\All Users\Favorites [2010.07.20 15:14:23 | 000,000,000 | ---D | M] -- C:\Users\All Users\Lx_cats [2012.02.09 11:35:57 | 000,000,000 | ---D | M] -- C:\Users\All Users\Netzmanager [2008.11.02 13:27:50 | 000,000,000 | ---D | M] -- C:\Users\All Users\RapidSolution [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\All Users\Start Menu [2008.10.31 19:16:34 | 000,000,000 | -HSD | M] -- C:\Users\All Users\Startmenü [2006.11.02 14:02:04 | 000,000,000 | -HSD | M] -- C:\Users\All Users\Templates [2009.01.11 11:11:52 | 000,000,000 | ---D | M] -- C:\Users\All Users\TomTom [2008.10.31 19:16:34 | 000,000,000 | -HSD | M] -- C:\Users\All Users\Vorlagen [2008.07.08 05:13:43 | 000,000,000 | ---D | M] -- C:\Users\All Users\WildTangent [2009.08.28 09:54:37 | 000,000,000 | ---D | M] -- C:\Users\All Users\WindowsSearch [2012.02.08 18:19:54 | 000,000,000 | -H-D | M] -- C:\Users\All Users\{DD034EDF-8A92-4F84-A64A-26BF9B7AE354} [2008.10.31 19:20:23 | 000,000,000 | -HSD | M] -- C:\Users\borusse\Anwendungsdaten [2008.10.31 19:20:39 | 000,000,000 | -H-D | M] -- C:\Users\borusse\AppData [2008.10.31 19:29:59 | 000,000,000 | R--D | M] -- C:\Users\borusse\Contacts [2008.10.31 19:20:23 | 000,000,000 | -HSD | M] -- C:\Users\borusse\Cookies [2013.02.22 16:39:38 | 000,000,000 | R--D | M] -- C:\Users\borusse\Desktop [2008.11.01 15:42:19 | 000,000,000 | R--D | M] -- C:\Users\borusse\Documents [2013.02.21 20:55:09 | 000,000,000 | R--D | M] -- C:\Users\borusse\Downloads [2008.10.31 19:20:23 | 000,000,000 | -HSD | M] -- C:\Users\borusse\Druckumgebung [2008.10.31 19:20:23 | 000,000,000 | -HSD | M] -- C:\Users\borusse\Eigene Dateien [2008.10.31 19:30:26 | 000,000,000 | R--D | M] -- C:\Users\borusse\Favorites [2008.10.31 19:30:23 | 000,000,000 | R--D | M] -- C:\Users\borusse\Links [2008.10.31 19:20:23 | 000,000,000 | -HSD | M] -- C:\Users\borusse\Lokale Einstellungen [2008.11.02 13:27:58 | 000,000,000 | R--D | M] -- C:\Users\borusse\Music [2008.10.31 19:20:23 | 000,000,000 | -HSD | M] -- C:\Users\borusse\Netzwerkumgebung [2008.11.02 19:07:14 | 000,000,000 | R--D | M] -- C:\Users\borusse\Pictures [2008.10.31 19:20:23 | 000,000,000 | -HSD | M] -- C:\Users\borusse\Recent [2008.10.31 19:30:23 | 000,000,000 | R--D | M] -- C:\Users\borusse\Saved Games [2008.10.31 19:30:23 | 000,000,000 | R--D | M] -- C:\Users\borusse\Searches [2008.10.31 19:20:23 | 000,000,000 | -HSD | M] -- C:\Users\borusse\SendTo [2008.10.31 19:20:23 | 000,000,000 | -HSD | M] -- C:\Users\borusse\Startmenü [2008.10.31 19:30:23 | 000,000,000 | R--D | M] -- C:\Users\borusse\Videos [2008.10.31 19:20:23 | 000,000,000 | -HSD | M] -- C:\Users\borusse\Vorlagen [2008.10.31 19:16:34 | 000,000,000 | -HSD | M] -- C:\Users\Default\Anwendungsdaten [2006.11.02 12:18:34 | 000,000,000 | -H-D | M] -- C:\Users\Default\AppData [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\Default\Application Data [2006.11.02 11:23:35 | 000,000,000 | R--D | M] -- C:\Users\Default\Desktop [2008.10.31 19:16:34 | 000,000,000 | R--D | M] -- C:\Users\Default\Documents [2006.11.02 11:23:35 | 000,000,000 | R--D | M] -- C:\Users\Default\Downloads [2008.10.31 19:16:34 | 000,000,000 | -HSD | M] -- C:\Users\Default\Druckumgebung [2008.10.31 19:16:34 | 000,000,000 | -HSD | M] -- C:\Users\Default\Eigene Dateien [2008.10.31 19:22:40 | 000,000,000 | R--D | M] -- C:\Users\Default\Favorites [2006.11.02 11:23:35 | 000,000,000 | R--D | M] -- C:\Users\Default\Links [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\Default\Local Settings [2008.10.31 19:16:34 | 000,000,000 | -HSD | M] -- C:\Users\Default\Lokale Einstellungen [2006.11.02 11:23:35 | 000,000,000 | R--D | M] -- C:\Users\Default\Music [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\Default\My Documents [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\Default\NetHood [2008.10.31 19:16:34 | 000,000,000 | -HSD | M] -- C:\Users\Default\Netzwerkumgebung [2006.11.02 11:23:35 | 000,000,000 | R--D | M] -- C:\Users\Default\Pictures [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\Default\PrintHood [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\Default\Recent [2006.11.02 11:23:35 | 000,000,000 | ---D | M] -- C:\Users\Default\Saved Games [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\Default\SendTo [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\Default\Start Menu [2008.10.31 19:16:34 | 000,000,000 | -HSD | M] -- C:\Users\Default\Startmenü [2006.11.02 14:02:03 | 000,000,000 | -HSD | M] -- C:\Users\Default\Templates [2006.11.02 11:23:35 | 000,000,000 | R--D | M] -- C:\Users\Default\Videos [2008.10.31 19:16:34 | 000,000,000 | -HSD | M] -- C:\Users\Default\Vorlagen [2008.11.01 14:22:52 | 000,000,000 | -HSD | M] -- C:\Users\FC - Hasser\Anwendungsdaten [2010.11.15 19:05:59 | 000,000,000 | -H-D | M] -- C:\Users\FC - Hasser\AppData [2008.11.01 14:22:58 | 000,000,000 | R--D | M] -- C:\Users\FC - Hasser\Contacts [2008.11.01 14:22:52 | 000,000,000 | -HSD | M] -- C:\Users\FC - Hasser\Cookies [2013.02.22 15:49:13 | 000,000,000 | R--D | M] -- C:\Users\FC - Hasser\Desktop [2013.01.30 18:53:33 | 000,000,000 | R--D | M] -- C:\Users\FC - Hasser\Documents [2012.06.03 13:52:29 | 000,000,000 | R--D | M] -- C:\Users\FC - Hasser\Downloads [2008.11.01 14:22:52 | 000,000,000 | -HSD | M] -- C:\Users\FC - Hasser\Druckumgebung [2008.11.01 14:22:52 | 000,000,000 | -HSD | M] -- C:\Users\FC - Hasser\Eigene Dateien [2012.03.18 12:51:56 | 000,000,000 | R--D | M] -- C:\Users\FC - Hasser\Favorites [2008.11.01 14:23:07 | 000,000,000 | R--D | M] -- C:\Users\FC - Hasser\Links [2008.11.01 14:22:52 | 000,000,000 | -HSD | M] -- C:\Users\FC - Hasser\Lokale Einstellungen [2010.06.02 13:30:45 | 000,000,000 | R--D | M] -- C:\Users\FC - Hasser\Music [2008.11.01 14:22:52 | 000,000,000 | -HSD | M] -- C:\Users\FC - Hasser\Netzwerkumgebung [2013.02.03 13:20:15 | 000,000,000 | R--D | M] -- C:\Users\FC - Hasser\Pictures [2008.11.01 14:22:52 | 000,000,000 | -HSD | M] -- C:\Users\FC - Hasser\Recent [2008.11.01 14:23:07 | 000,000,000 | R--D | M] -- C:\Users\FC - Hasser\Saved Games [2008.11.01 14:23:07 | 000,000,000 | R--D | M] -- C:\Users\FC - Hasser\Searches [2008.11.01 14:22:52 | 000,000,000 | -HSD | M] -- C:\Users\FC - Hasser\SendTo [2008.11.01 14:22:52 | 000,000,000 | -HSD | M] -- C:\Users\FC - Hasser\Startmenü [2008.11.01 14:23:07 | 000,000,000 | R--D | M] -- C:\Users\FC - Hasser\Videos [2008.11.01 14:22:52 | 000,000,000 | -HSD | M] -- C:\Users\FC - Hasser\Vorlagen [2008.11.04 19:00:38 | 000,000,000 | -HSD | M] -- C:\Users\Heickslover\Anwendungsdaten [2008.11.04 19:01:14 | 000,000,000 | -H-D | M] -- C:\Users\Heickslover\AppData [2008.11.04 19:00:55 | 000,000,000 | R--D | M] -- C:\Users\Heickslover\Contacts [2008.11.04 19:00:38 | 000,000,000 | -HSD | M] -- C:\Users\Heickslover\Cookies [2008.11.04 19:01:14 | 000,000,000 | R--D | M] -- C:\Users\Heickslover\Desktop [2008.11.04 19:01:14 | 000,000,000 | R--D | M] -- C:\Users\Heickslover\Documents [2008.11.04 19:01:14 | 000,000,000 | R--D | M] -- C:\Users\Heickslover\Downloads [2008.11.04 19:00:38 | 000,000,000 | -HSD | M] -- C:\Users\Heickslover\Druckumgebung [2008.11.04 19:00:38 | 000,000,000 | -HSD | M] -- C:\Users\Heickslover\Eigene Dateien [2008.11.04 19:01:16 | 000,000,000 | R--D | M] -- C:\Users\Heickslover\Favorites [2008.11.04 19:01:14 | 000,000,000 | R--D | M] -- C:\Users\Heickslover\Links [2008.11.04 19:00:38 | 000,000,000 | -HSD | M] -- C:\Users\Heickslover\Lokale Einstellungen [2008.11.04 19:01:14 | 000,000,000 | R--D | M] -- C:\Users\Heickslover\Music [2008.11.04 19:00:38 | 000,000,000 | -HSD | M] -- C:\Users\Heickslover\Netzwerkumgebung [2008.11.04 19:01:14 | 000,000,000 | R--D | M] -- C:\Users\Heickslover\Pictures [2008.11.04 19:00:38 | 000,000,000 | -HSD | M] -- C:\Users\Heickslover\Recent [2008.11.04 19:01:14 | 000,000,000 | R--D | M] -- C:\Users\Heickslover\Saved Games [2008.11.04 19:01:14 | 000,000,000 | R--D | M] -- C:\Users\Heickslover\Searches [2008.11.04 19:00:38 | 000,000,000 | -HSD | M] -- C:\Users\Heickslover\SendTo [2008.11.04 19:00:38 | 000,000,000 | -HSD | M] -- C:\Users\Heickslover\Startmenü [2008.11.04 19:01:14 | 000,000,000 | R--D | M] -- C:\Users\Heickslover\Videos [2008.11.04 19:00:38 | 000,000,000 | -HSD | M] -- C:\Users\Heickslover\Vorlagen [2013.02.22 19:07:56 | 000,000,000 | ---D | M] -- C:\Users\Public\AppData [2013.02.22 16:30:12 | 000,000,000 | RH-D | M] -- C:\Users\Public\Desktop [2009.12.13 13:36:11 | 000,000,000 | R--D | M] -- C:\Users\Public\Documents [2013.02.21 21:12:21 | 000,000,000 | R--D | M] -- C:\Users\Public\Downloads [2006.11.02 11:23:35 | 000,000,000 | RH-D | M] -- C:\Users\Public\Favorites [2009.12.13 13:36:13 | 000,000,000 | R--D | M] -- C:\Users\Public\Music [2006.11.02 13:50:50 | 000,000,000 | R--D | M] -- C:\Users\Public\Pictures [2006.11.02 13:37:34 | 000,000,000 | ---D | M] -- C:\Users\Public\Recorded TV [2006.11.02 13:50:50 | 000,000,000 | R--D | M] -- C:\Users\Public\Videos ========== Purity Check ========== < End of report > |
|
22.02.2013, 20:26
| #18 |
| /// TB-Ausbilder | GUV Trojaner sperrt System Gut so, kontrollieren wir nochmals:
__________________Schritt 1
Code:
ATTFilter :OTL
IE - HKU\S-1-5-21-798063646-1826419100-972067498-1000\..\SearchScopes\{960B40B8-952B-481D-81AD-1E8C6D8CB912}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10261&src=kw&q={searchTerms}&locale=&apn_ptnrs=^AGS&apn_dtid=^YYYYYY^YY^DE&apn_uid=D1C876D8-5DEF-40E6-BFB0-279A4DFF4EB7&apn_sauid=324E42FD-DB9D-4363-AB06-8EBC5D8397CA
:commands
[emptytemp]
Schritt 2
Schritt 3 Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.
Schritt 4 Downloade dir bitte SecurityCheck (Link 2).
Bitte poste in deiner nächsten Antwort:
__________________ |
|
22.02.2013, 21:51
| #19 |
| | GUV Trojaner sperrt System Hier schon mal die ersten beiden: OTL: Code:
ATTFilter All processes killed
========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-798063646-1826419100-972067498-1000\Software\Microsoft\Internet Explorer\SearchScopes\{960B40B8-952B-481D-81AD-1E8C6D8CB912}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{960B40B8-952B-481D-81AD-1E8C6D8CB912}\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: borusse
->Temp folder emptied: 1692792 bytes
->Temporary Internet Files folder emptied: 92961544 bytes
->Java cache emptied: 32762801 bytes
->FireFox cache emptied: 23145722 bytes
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
User: FC - Hasser
->Temp folder emptied: 34354 bytes
->Temporary Internet Files folder emptied: 1600207478 bytes
->Java cache emptied: 62103560 bytes
->FireFox cache emptied: 873676036 bytes
User: Heickslover
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1006397 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 2.563,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 02222013_211124
Files\Folders moved on Reboot...
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
MBAM: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.70.0.1100 www.malwarebytes.org Datenbank Version: v2013.02.22.04 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 borusse :: SIMMONSEN [Administrator] Schutz: Aktiviert 22.02.2013 21:23:30 mbam-log-2013-02-22 (21-23-30).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 256126 Laufzeit: 9 Minute(n), 22 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
|
22.02.2013, 21:57
| #20 |
| /// TB-Ausbilder | GUV Trojaner sperrt System Ok, alles klar. Der ESET-Scan könnte etwas länger dauern.
__________________ cheers, Leo |
|
23.02.2013, 00:32
| #21 |
| | GUV Trojaner sperrt System Hier der Rest. Leider doch noch nicht alles sauber ... ESET: Code:
ATTFilter C:\Qoobox\Quarantine\C\ProgramData\8375437.js.vir JS/Agent.NID trojan
C:\Qoobox\Quarantine\C\Users\FC - Hasser\7345738.dll.vir a variant of Win32/Kryptik.AUYE trojan
SecurityCheck: Code:
ATTFilter Results of screen317's Security Check version 0.99.59 Windows Vista Service Pack 2 x86 (UAC is enabled) Internet Explorer 9 ``````````````Antivirus/Firewall Check:`````````````` Avira Desktop Antivirus up to date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` Secunia PSI (3.0.0.4001) Malwarebytes Anti-Malware Version 1.70.0.1100 Java(TM) 6 Update 41 Java version out of Date! Adobe Flash Player 11.1.102.55 Adobe Reader 8 Adobe Reader out of Date! Mozilla Firefox (19.0) Mozilla Thunderbird (17.0.3) ````````Process Check: objlist.exe by Laurent```````` Malwarebytes Anti-Malware mbamservice.exe Malwarebytes Anti-Malware mbamgui.exe Avira Antivir avgnt.exe Avira Antivir avguard.exe Malwarebytes' Anti-Malware mbamscheduler.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C: % ````````````````````End of Log`````````````````````` |
|
23.02.2013, 13:21
| #22 | |
| /// TB-Ausbilder | GUV Trojaner sperrt System Hi, Zitat:
Wie du aber im SecurityCheck-Log siehst, hast du noch veraltete Plugins. Das sind die Haupteinfallstore für Malware wie diese hier. Bring also noch alles auf den neusten Stand und dann räumen wir auf. (Nicht vergessen, den Avira-Echtzeitschutz wieder zu aktivieren.) Schritt 1 Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können. Die aktuelle Version ist Java 7 Update 15.
Überleg dir also, ob du eine Java-Installation wirklich brauchst. Falls du Java weiterhin verwenden möchtest, dann:
Schritt 2 Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:
Schritt 3 Dein Flashplayer ist veraltet. Installiere folgendermassen die aktuelle Version:
Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls. Schritt 4 Bitte deaktiviere jetzt temporär das Antiviren-Programm, evtl. vorhandenes Skript-Blocking und Antimalware-Programme. Drücke bitte die  + R Taste, kopiere folgenden Text in das Ausführen FensterCode:
ATTFilter Combofix /Uninstall
Du kannst die eben deaktivierten Programme nun wieder einschalten. Schritt 5 Den ESET Online Scanner kannst du behalten, um ab und zu für eine Zweitmeinung dein System damit zu scannen. Falls du ESET aber deinstallieren möchtest, dann: Drücke bitte die + R Taste, kopiere folgenden Text in das Ausführen FensterCode:
ATTFilter "%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"
Schritt 6 Downloade dir bitte delfix auf deinen Desktop.
>> OK << Wir sind durch, deine Logs sehen für mich im Moment sauber aus.  Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst. Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann. Epilog: Tipps, Dos & Don'ts  Aktualität von System und SoftwareDas Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:
Auch die installierte Software sollte immer in der aktuellsten Version vorliegen. Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.
Sicherheits-SoftwareEine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt). Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.
Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt. Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:
(Un-)Sicheres Verhalten im InternetNebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert. Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).
Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.
Allgemeine HinweiseAbschliessend noch ein paar grundsätzliche Bemerkungen:
Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen. Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen. 
__________________ cheers, Leo |
|
23.02.2013, 14:55
| #23 |
| | GUV Trojaner sperrt System Hallo Leo! Ich denke es ist alles zur besten Zufriedenheit geregelt. Vielen Dank für deine Hilfe und deinen Einsatz. Das war wirklich sehr gut und empfehlenswert! |
|
23.02.2013, 20:29
| #24 |
| /// TB-Ausbilder | GUV Trojaner sperrt System Freut mich, dass wir helfen konnten.  Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten. Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter. Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.
__________________ cheers, Leo |
|
| Themen zu GUV Trojaner sperrt System |
| antivir, autorun, avira, avira searchfree toolbar, bho, defender, email, error, explorer, firefox, format, google, home, iexplore.exe, intranet, logfile, malware, plug-in, problem, realtek, registry, scan, senden, software, system, trojaner, vista, windows |
Textbox.
Linear-Darstellung
