Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
[WinXP 32]GVU-Trojaner vermeintlich entfernt

[WinXP 32]GVU-Trojaner vermeintlich entfernt


Log-Analyse und Auswertung: [WinXP 32]GVU-Trojaner vermeintlich entfernt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 05.05.2013, 16:21   #1
ArthurDent
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


Hallo liebe Menschen vom Trojaner-Board!

Vielen Dank im Voraus fürs bloße Lesen - turbo, dass es euch gibt!

Auch mir ist heute beim Stöbern nach erotischem Videomaterial der GVU-Trojaner (Virus?) ins digitale Haus geschneit - sehr zur Freude aller Bewohner.
Ein panischer Schnellschuss des gar ach so versierten Computernutzers war dann auch geschwind getan, abgesichterter CMD-Modus und Systemwiederherstellung - mit befriedigendem Ergebnis (dass das bei der richtigen Version der Malware nichts als tetrapackweise Öl ins Feuer ist, erfuhr der gar ach so versierte Computernutzer erst, nachdem er sich etwas beruhigt hatte).
Explorer startet normal, kein blödsinniges Fenster und dergleichen, akut läuft avast (freie Version) durch und hat bei 90% schon 22 Infizierte zu beklagen.

Mein nächster Schritt wäre eine Startzeitprüfung, aber nach ausgiebigem Gegoogele hab ich dann doch etwas Bammel bekommen und erbitte eure Unterstützung - bei Zarquon!

Die geforderten Logs reiche ich nach, sobald avast fertig ist - wie soll ich übrigens mit den Opfern umgehen? Quarantäne, ignorieren?
Ist das mit der Startzeitprüfung überhaupt so knorke?


Noch ein Hinweis: Ich möchte es unter allen Umständen (als hätte man die Wahl!) unterlassen, das System neu aufzusetzen - mein altes Baby läuft ohnehin nur noch, weil ich anachronistisch drauf bin und an Liebgewonnenem hänge - WinXP wird ja sowieso nächstes Jahr zu Grabe getragen und die Festplatte ist auch schon beinahe zehn Lenze alt - die meisten Internet-Dinge mache ich mit eh mit diesem edlen Klapprechner hier.


Was soll ich jetzt also zeitnah tun, außer mir einen Tee aus dem Nutri-Matic-Getränke-Synthesizer zu besorgen?


Mit großem Gruß
Arthur Dent
Geändert von ArthurDent (05.05.2013 um 16:49 Uhr)

Alt 05.05.2013, 19:57   #2
t'john
/// Helfer-Team
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt




Downloade Dir bitte Malwarebytes Anti-Malware
  • Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
  • Starte Malwarebytes' Anti-Malware (MBAM).
  • Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
  • Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
  • Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
  • Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
  • Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
  • Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.




dann:

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________
Alt 05.05.2013, 20:00   #3
ArthurDent
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


Hallo, vielen Dank schon mal.

gmer ist gerade am werkeln, OTL und defogger schon durch - soll ich deren Logs zuerst posten, bevor ich Malwarebytes durchlaufen lasse?

Gruß Arthur
__________________
Alt 05.05.2013, 20:08   #4
t'john
/// Helfer-Team
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


nein, bitte erst MBAM und dann neue OTL Logs erstellen.
__________________
Mfg, t'john
Das TB unterstützen

Alt 05.05.2013, 22:56   #5
ArthurDent
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


So, nach lachhaft langer Zeit die Logs, erstmal MBAM:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.05.05.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Jonas :: JBPC [Administrator]

05.05.2013 21:20:10
mbam-log-2013-05-05 (21-20-10).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|K:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 442656
Laufzeit: 2 Stunde(n), 7 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Bösartig: ("regedit.exe" "%1") Gut: (regedit.exe "%1") -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cowi7.dat (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Jonas\Vorlagen\pantsoff.exe (PUP.Pantsoff.PasswordFinder) -> Erfolgreich gelöscht und in Quarantäne gestellt.
c:\system volume information\_restore{10dba53d-6b6a-4df5-aa44-06d3f5b08601}\rp826\a0153747.exe (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\1175437.exe (Rootkit.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
...und dann OTL.txt:

Code:
ATTFilter
OTL logfile created on: 05.05.2013 23:41:30 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Jonas\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,33 Gb Available Physical Memory | 77,64% Memory free
6,84 Gb Paging File | 6,36 Gb Available in Paging File | 92,91% Paging File free
Paging file location(s): C:\pagefile.sys 4096 4096J:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 291,02 Gb Total Space | 216,76 Gb Free Space | 74,48% Space Free | Partition Type: NTFS
Drive K: | 7,47 Gb Total Space | 0,06 Gb Free Space | 0,78% Space Free | Partition Type: NTFS
 
Computer Name: JBPC | User Name: Jonas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Jonas\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Oracle Corporation)
PRC - C:\Programme\Alwil Software\Avast5\Setup\avast.setup (AVAST Software)
PRC - C:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software)
PRC - C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
PRC - C:\Programme\Tablet\Pen\Pen_Tablet.exe (Wacom Technology, Corp.)
PRC - C:\Programme\Tablet\Pen\Pen_TouchUser.exe (Wacom Technology, Corp.)
PRC - C:\Programme\Tablet\Pen\Pen_TabletUser.exe (Wacom Technology, Corp.)
PRC - C:\Programme\Tablet\Pen\Pen_TouchService.exe (Wacom Technology, Corp.)
PRC - C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.exe (Logitech, Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Targa VFD Display\Targa VFD Display.exe (Ing.-Büro Dr. Ruge)
PRC - C:\Programme\Multimedia keyboard utility\LED.exe ()
PRC - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
PRC - C:\Programme\OnlineControl\ocontrol.exe (T-Com Bereich Endgeräte)
PRC - C:\Programme\Sygate\SPF\Smc.exe (Sygate Technologies, Inc.)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Alwil Software\Avast5\defs\13050400\algo.dll ()
MOD - C:\Programme\Alwil Software\Avast5\Setup\setiface.dll ()
MOD - C:\Programme\Tablet\Pen\libxml2.dll ()
MOD - C:\Programme\Logitech\SetPoint\khalwrapper.dll ()
MOD - C:\WINDOWS\system32\nview.dll ()
MOD - C:\WINDOWS\system32\nvshell.dll ()
MOD - C:\Programme\Multimedia keyboard utility\LED.exe ()
 
 
========== Services (SafeList) ==========
 
SRV - (AppMgmt) -- %SystemRoot%\System32\appmgmts.dll File not found
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (JavaQuickStarterService) -- C:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
SRV - (avast! Antivirus) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
SRV - (TabletServicePen) -- C:\Programme\Tablet\Pen\Pen_Tablet.exe (Wacom Technology, Corp.)
SRV - (TouchServicePen) -- C:\Programme\Tablet\Pen\Pen_TouchService.exe (Wacom Technology, Corp.)
SRV - (LBTServ) -- C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe (Logitech, Inc.)
SRV - (CLSched) -- C:\Programme\Cyberlink\PowerCinema\Kernel\TV\CLSched.exe ()
SRV - (CLCapSvc) -- C:\Programme\Cyberlink\PowerCinema\Kernel\TV\CLCapSvc.exe ()
SRV - (CyberLink Media Library Service) -- C:\Programme\Cyberlink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe (Cyberlink)
SRV - (LightScribeService) -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe (Hewlett-Packard Company)
SRV - (WMConnectCDS) -- C:\Programme\Windows Media Connect 2\wmccds.exe (Microsoft Corporation)
SRV - (IDriverT) -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (SmcService) -- C:\Programme\Sygate\SPF\Smc.exe (Sygate Technologies, Inc.)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (wanatw) -- system32\DRIVERS\wanatw4.sys File not found
DRV - (TSMPacket) -- system32\DRIVERS\tsmpkt.sys File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (cportclm) -- C:\DOKUME~1\Jonas\LOKALE~1\Temp\cportclm.sys File not found
DRV - (Changer) --  File not found
DRV - (aswSnx) -- C:\WINDOWS\System32\drivers\aswSnx.sys (AVAST Software)
DRV - (aswSP) -- C:\WINDOWS\System32\drivers\aswSP.sys (AVAST Software)
DRV - (aswVmm) -- C:\WINDOWS\System32\drivers\aswVmm.sys ()
DRV - (aswTdi) -- C:\WINDOWS\System32\drivers\aswTdi.sys (AVAST Software)
DRV - (aswRdr) -- C:\WINDOWS\System32\drivers\aswRdr.sys (AVAST Software)
DRV - (aswRvrt) -- C:\WINDOWS\System32\drivers\aswRvrt.sys ()
DRV - (aswMonFlt) -- C:\WINDOWS\system32\drivers\aswMonFlt.sys (AVAST Software)
DRV - (aswFsBlk) -- C:\WINDOWS\System32\drivers\aswFsBlk.sys (AVAST Software)
DRV - (wacmoumonitor) -- C:\WINDOWS\system32\drivers\wacmoumonitor.sys (Wacom Technology)
DRV - (wacommousefilter) -- C:\WINDOWS\system32\drivers\wacommousefilter.sys (Wacom Technology)
DRV - (wacomvhid) -- C:\WINDOWS\system32\drivers\wacomvhid.sys (Wacom Technology)
DRV - (LUsbFilt) -- C:\WINDOWS\system32\drivers\LUsbFilt.sys (Logitech, Inc.)
DRV - (LMouFilt) -- C:\WINDOWS\system32\drivers\LMouFilt.Sys (Logitech, Inc.)
DRV - (LHidFilt) -- C:\WINDOWS\system32\drivers\LHidFilt.Sys (Logitech, Inc.)
DRV - (nm) -- C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation)
DRV - (MPE) -- C:\WINDOWS\system32\drivers\mpe.sys (Microsoft Corporation)
DRV - (usbsermpt) -- C:\WINDOWS\system32\drivers\usbsermpt.sys (Microsoft Corporation)
DRV - (AmdLLD) -- C:\WINDOWS\system32\drivers\AmdLLD.sys (AMD, Inc.)
DRV - (StMp3Rec) -- C:\WINDOWS\system32\drivers\StMp3Rec.sys (Microsoft Corporation)
DRV - (JRAID) -- C:\WINDOWS\system32\drivers\jraid.sys (JMicron Technology Corp.)
DRV - (3xHybrid) -- C:\WINDOWS\system32\drivers\3xHybrid.sys (Philips Semiconductors GmbH)
DRV - (nvata) -- C:\WINDOWS\system32\drivers\nvata.sys (NVIDIA Corporation)
DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (SenFiltService) -- C:\WINDOWS\system32\drivers\senfilt.sys (Sensaura)
DRV - (JGOGO) -- C:\WINDOWS\system32\drivers\JGOGO.sys (JMicron )
DRV - (ZD1211BU(ZyDAS) -- C:\WINDOWS\system32\drivers\ZD1211BU.sys (ZyDAS Technology Corporation)
DRV - (ZD1211U(ZyDAS) -- C:\WINDOWS\system32\drivers\ZD1211U.sys (ZyDAS Technology Corporation)
DRV - (smserial) -- C:\WINDOWS\system32\drivers\smserial.sys (Motorola Inc.)
DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)
DRV - (ZDPSp50) -- C:\WINDOWS\system32\drivers\ZDPSp50.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (wpsdrvnt) -- C:\WINDOWS\system32\drivers\wpsdrvnt.sys (Sygate Technologies, Inc.)
DRV - (Teefer) -- C:\WINDOWS\system32\drivers\Teefer.sys (Sygate Technologies, Inc.)
DRV - (wg3n) -- C:\WINDOWS\system32\drivers\wg3n.sys (Sygate Technologies, Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.targa.de
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.targa.de
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.targa.de
 
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.targa.de
 
IE - HKU\S-1-5-21-2121393497-4288219565-2237968330-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-2121393497-4288219565-2237968330-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-21-2121393497-4288219565-2237968330-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://web.de/
IE - HKU\S-1-5-21-2121393497-4288219565-2237968330-1006\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-2121393497-4288219565-2237968330-1006\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-2121393497-4288219565-2237968330-1006\..\SearchScopes,DefaultScope = {6326CD7A-8276-458D-B99F-905FE5C162A2}
IE - HKU\S-1-5-21-2121393497-4288219565-2237968330-1006\..\SearchScopes\{6326CD7A-8276-458D-B99F-905FE5C162A2}: "URL" = hxxp://www.google.de/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8&rlz=
IE - HKU\S-1-5-21-2121393497-4288219565-2237968330-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw_1202122.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.21.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll File not found
FF - HKLM\Software\MozillaPlugins\@wacom.com/wacom-plugin,version=1.1.0.10: C:\Programme\TabletPlugins\npwacom.dll (Wacom, Inc.)
FF - HKLM\Software\MozillaPlugins\@wacom.com/wtPlugin,version=2.0.0.1: C:\Programme\TabletPlugins\npWacomTabletPlugin.dll (Wacom)
FF - HKCU\Software\MozillaPlugins\wacom.com/WacomTabletPlugin: C:\Programme\TabletPlugins\npWacomTabletPlugin.dll (Wacom)
 
 
 
O1 HOSTS File: ([2008.04.16 11:30:35 | 000,231,935 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	www.008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	www.00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	www.1001-search.info
O1 - Hosts: 127.0.0.1	1001-search.info
O1 - Hosts: 127.0.0.1	www.100888290cs.com
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	www.100sexlinks.com
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	www.10sek.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	www.123topsearch.com
O1 - Hosts: 127.0.0.1	123topsearch.com
O1 - Hosts: 127.0.0.1	www.132.com
O1 - Hosts: 127.0.0.1	132.com
O1 - Hosts: 127.0.0.1	www.136136.net
O1 - Hosts: 127.0.0.1	136136.net
O1 - Hosts: 8127 more lines...
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\Alwil Software\Avast5\aswWebRepIE.dll (AVAST Software)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.8313.1002\swg.dll (Google Inc.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\Alwil Software\Avast5\aswWebRepIE.dll (AVAST Software)
O3 - HKU\S-1-5-21-2121393497-4288219565-2237968330-1006\..\Toolbar\WebBrowser: (no name) - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No CLSID value found.
O3 - HKU\S-1-5-21-2121393497-4288219565-2237968330-1006\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe (AMD)
O4 - HKLM..\Run: [avast] C:\Programme\Alwil Software\Avast5\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\LED.exe ()
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [Kernel and Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech, Inc.)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe ()
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [SmcService] C:\Programme\Sygate\SPF\Smc.exe (Sygate Technologies, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Oracle Corporation)
O4 - HKU\S-1-5-21-2121393497-4288219565-2237968330-1006..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE (SEIKO EPSON CORPORATION)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe (T-Com Bereich Endgeräte)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Targa VFD Display.lnk = C:\WINDOWS\Installer\{635EDAAB-BF20-414D-A87A-3D43BFA3EDB9}\_FE660C3F9D6C9BD4C0D57A.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\InfoDelivery present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\InfoDelivery present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\InfoDelivery present
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\InfoDelivery present
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2121393497-4288219565-2237968330-1006\Software\Policies\Microsoft\Internet Explorer\InfoDelivery present
O7 - HKU\S-1-5-21-2121393497-4288219565-2237968330-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} Reg Error: Value error. (Reg Error: Key error.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1231168910812 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1341162699328 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_15-windows-i586.cab (Java Plug-in 10.21.2)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {C49134CC-B5EF-458C-A442-E8DFE7B4645F} hxxp://www.yoyogames.com/downloads/activex/YoYo.cab (YYGInstantPlay Control)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0014-0002-0017-ABCDEFFEDCBA} hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0039-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab (Java Plug-in 1.6.0_39)
O16 - DPF: {CAFEEFAC-0017-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_15-windows-i586.cab (Java Plug-in 1.7.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_39-windows-i586.cab (Java Plug-in 10.21.2)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A2D79E9D-25D2-458E-A50F-48BA3A1C4FAB}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\LBTWlgn: DllName - (c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll) - c:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Jonas\Eigene Dateien\Peacock.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Jonas\Eigene Dateien\Peacock.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2003.10.29 17:59:52 | 000,000,135 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.05.05 21:16:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\Malwarebytes
[2013.05.05 21:15:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.05.05 21:15:44 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.05.05 21:15:43 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.05.05 21:15:43 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013.05.05 20:10:19 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Jonas\Desktop\OTL.exe
[2013.04.22 22:17:46 | 000,094,112 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\WindowsAccessBridge.dll
[2013.04.22 22:17:45 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\javaw.exe
[2013.04.22 22:17:45 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\java.exe
[2013.04.21 21:04:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\Orbit
[2013.04.20 16:05:34 | 000,000,000 | ---D | C] -- C:\Programme\NVIDIA Corporation
[2013.04.15 15:08:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jonas\Eigene Dateien\Terranigma 2
[2013.04.15 15:08:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jonas\Desktop\Terranigma 2
[2013.04.08 16:55:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Jonas\Desktop\500MS
[2007.04.30 20:19:31 | 000,024,192 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Jonas\usbsermptxp.sys
[2007.04.30 20:19:31 | 000,022,768 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Jonas\usbsermpt.sys
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Jonas\*.tmp files -> C:\Dokumente und Einstellungen\Jonas\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.05.05 23:35:30 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.05.05 23:35:26 | 000,000,310 | -H-- | M] () -- C:\WINDOWS\tasks\avast! Emergency Update.job
[2013.05.05 23:35:19 | 000,002,317 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Targa VFD Display.lnk
[2013.05.05 23:35:19 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013.05.05 23:35:12 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.05.05 23:35:10 | 3219,640,320 | -HS- | M] () -- C:\hiberfil.sys
[2013.05.05 23:18:01 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013.05.05 22:56:01 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.05.05 22:14:38 | 000,038,372 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\wklnhst.dat
[2013.05.05 20:09:57 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\defogger_reenable
[2013.05.05 19:42:41 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\Defogger.exe
[2013.05.05 18:48:47 | 000,377,856 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\gmer_2.1.19163.exe
[2013.05.05 18:48:06 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Jonas\Desktop\OTL.exe
[2013.05.05 18:09:24 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2013.05.05 15:45:11 | 000,001,838 | -HS- | M] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2013.05.05 14:58:13 | 000,002,953 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT
[2013.05.05 14:41:41 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\7iwoc.pad
[2013.05.05 12:59:55 | 000,005,161 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\Global.sw2
[2013.05.05 00:01:55 | 000,004,893 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Eigene Dateien\vba.ini
[2013.05.03 00:06:34 | 000,082,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.05.02 18:10:27 | 163,856,211 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\Lol.flv
[2013.05.02 17:41:14 | 000,048,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\ASS.png
[2013.05.01 00:25:00 | 000,023,875 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\recently-used.xbel
[2013.04.30 23:02:55 | 001,016,898 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\DICK.it
[2013.04.22 22:16:47 | 000,492,788 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.04.22 22:16:47 | 000,468,984 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.04.22 22:16:47 | 000,100,290 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.04.22 22:16:47 | 000,083,670 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.04.22 15:05:09 | 244,693,329 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\Meem.flv
[2013.04.22 13:47:24 | 000,001,094 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\Contest.fsc
[2013.04.21 21:59:40 | 195,423,630 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\Suus.flv
[2013.04.20 16:17:24 | 000,162,545 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2013.04.20 16:08:07 | 000,280,536 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013.04.20 16:06:13 | 001,072,544 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2013.04.20 16:06:13 | 000,000,001 | ---- | M] () -- C:\WINDOWS\System32\nvdrssel.bin
[2013.04.20 16:06:10 | 001,072,544 | ---- | M] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2013.04.20 16:06:10 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\nvdrswr.lk
[2013.04.20 16:04:26 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013.04.19 20:31:32 | 000,115,395 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\iconset2-mittelalter41vonenterbrain-floa.png
[2013.04.19 20:09:18 | 000,000,332 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\peng.png
[2013.04.18 13:26:07 | 000,045,056 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\Morg.it
[2013.04.14 23:59:53 | 004,059,995 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\Sunset.mp3
[2013.04.14 13:17:12 | 000,027,944 | ---- | M] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\SUPREMACY.mid
[2013.04.12 15:50:35 | 000,691,592 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013.04.12 15:50:35 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Jonas\*.tmp files -> C:\Dokumente und Einstellungen\Jonas\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.05.05 20:22:56 | 000,377,856 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\gmer_2.1.19163.exe
[2013.05.05 20:09:57 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\defogger_reenable
[2013.05.05 20:09:25 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\Defogger.exe
[2013.05.05 14:56:23 | 3219,640,320 | -HS- | C] () -- C:\hiberfil.sys
[2013.05.05 14:33:09 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\7iwoc.pad
[2013.05.02 17:52:52 | 163,856,211 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\Lol.flv
[2013.05.02 17:41:14 | 000,048,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\ASS.png
[2013.05.01 00:25:00 | 000,023,875 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\recently-used.xbel
[2013.04.30 22:34:45 | 001,016,898 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\DICK.it
[2013.04.22 15:05:09 | 244,693,329 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\Meem.flv
[2013.04.22 13:47:24 | 000,001,094 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\Contest.fsc
[2013.04.20 16:06:10 | 001,072,544 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin
[2013.04.20 16:06:10 | 001,072,544 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin
[2013.04.20 16:06:10 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin
[2013.04.20 16:06:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\nvdrswr.lk
[2013.04.19 20:47:47 | 000,115,395 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\iconset2-mittelalter41vonenterbrain-floa.png
[2013.04.19 20:25:57 | 000,000,332 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\peng.png
[2013.04.18 00:47:07 | 000,045,056 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\Morg.it
[2013.04.14 13:17:12 | 000,027,944 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Desktop\SUPREMACY.mid
[2013.03.01 14:42:30 | 000,164,736 | ---- | C] () -- C:\WINDOWS\System32\drivers\aswVmm.sys
[2013.03.01 14:42:30 | 000,049,248 | ---- | C] () -- C:\WINDOWS\System32\drivers\aswRvrt.sys
[2013.02.08 05:03:08 | 002,816,504 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2012.06.24 16:26:53 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
[2012.05.28 20:17:05 | 000,000,515 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\Poladroid prefs.plist
[2012.04.21 15:33:52 | 000,000,040 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\language.dat
[2012.02.26 23:24:11 | 000,000,041 | ---- | C] () -- C:\WINDOWS\Filzip.ini
[2012.02.24 18:24:06 | 000,007,680 | ---- | C] () -- C:\WINDOWS\19431343.exe
[2012.02.24 18:24:06 | 000,000,004 | ---- | C] () -- C:\WINDOWS\19431343.dat
[2012.02.16 18:42:30 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.01.31 09:19:33 | 000,000,004 | ---- | C] () -- C:\WINDOWS\1175437.dat
[2011.09.11 13:56:51 | 000,093,184 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\GMModelEx.dll
[2011.09.11 13:56:51 | 000,014,894 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Logo.bmp
[2011.09.09 20:25:16 | 000,000,030 | ---- | C] () -- C:\WINDOWS\SIERRA.INI
[2010.06.24 16:07:35 | 000,000,760 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\setup_ldm.iss
[2008.08.26 18:17:14 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\more
[2008.06.20 22:29:28 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\(null)id
[2008.06.07 20:03:06 | 000,001,080 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\NORInfo.ini
[2008.06.07 20:03:06 | 000,000,084 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\USBInfo.ini
[2008.03.04 18:52:31 | 000,000,145 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\.jupload.properties
[2007.08.05 19:24:13 | 000,000,152 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\default.pls
[2007.04.30 20:19:31 | 000,007,195 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\USBMOT2000.INF
[2007.04.30 20:19:31 | 000,005,891 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\USBMOT2000XP.INF
[2007.04.30 20:19:31 | 000,005,877 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\USB_CMCS_2000.INF
[2007.01.25 21:33:48 | 000,038,372 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\wklnhst.dat
[2007.01.22 19:18:40 | 000,001,024 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\WavCodec.wff
[2007.01.20 21:25:48 | 000,082,944 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.01.20 21:03:06 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
 
========== ZeroAccess Check ==========
 
[2006.09.01 12:42:58 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2009.07.18 18:03:13 | 001,509,888 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 04:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:1CA73D29

< End of report >
...schließlich Extras.txt:

Code:
ATTFilter
OTL Extras logfile created on: 05.05.2013 23:41:30 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Jonas\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,00 Gb Total Physical Memory | 2,33 Gb Available Physical Memory | 77,64% Memory free
6,84 Gb Paging File | 6,36 Gb Available in Paging File | 92,91% Paging File free
Paging file location(s): C:\pagefile.sys 4096 4096J:\pagefile.sys 0 0 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 291,02 Gb Total Space | 216,76 Gb Free Space | 74,48% Space Free | Partition Type: NTFS
Drive K: | 7,47 Gb Total Space | 0,06 Gb Free Space | 0,78% Space Free | Partition Type: NTFS
 
Computer Name: JBPC | User Name: Jonas | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 1
"FirewallOverride" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Connect
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Connect
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Connect
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Connect
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Connect
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Connect
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"10280:UDP" = 10280:UDP:LocalSubNet:Enabled:Windows Media Connect
"10281:UDP" = 10281:UDP:LocalSubNet:Enabled:Windows Media Connect
"10282:UDP" = 10282:UDP:LocalSubNet:Enabled:Windows Media Connect
"10283:UDP" = 10283:UDP:LocalSubNet:Enabled:Windows Media Connect
"10284:UDP" = 10284:UDP:LocalSubNet:Enabled:Windows Media Connect
"10243:TCP" = 10243:TCP:LocalSubNet:Enabled:Windows Media Connect
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
"8216:TCP" = 8216:TCP:*:Enabled:pieprt
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe" = C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe" = C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL
"C:\Programme\AOL 9.0\waol.exe" = C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\CA\Etrust Antivirus\InoRpc.exe" = C:\Programme\CA\Etrust Antivirus\InoRpc.exe:*:Enabled:eTrust Antivirus - RPC Server
"C:\Programme\CA\Etrust Antivirus\InocIT.exe" = C:\Programme\CA\Etrust Antivirus\InocIT.exe:*:Enabled:eTrust Antivirus - Local Scanner
"C:\Programme\CA\Etrust Antivirus\Realmon.exe" = C:\Programme\CA\Etrust Antivirus\Realmon.exe:*:Enabled:eTrust Antivirus - Realtime monitor
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe" = C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe" = C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL
"C:\Programme\AOL 9.0\waol.exe" = C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0
"C:\Programme\Cyberlink\PowerCinema\PowerCinema.exe" = C:\Programme\Cyberlink\PowerCinema\PowerCinema.exe:*:Enabled:CyberLink PowerCinema -- (CyberLink Corp.)
"C:\Programme\Cyberlink\PowerCinema\PCMService.exe" = C:\Programme\Cyberlink\PowerCinema\PCMService.exe:*:Enabled:CyberLink PowerCinema Resident Program -- (CyberLink Corp.)
"C:\Programme\ICQLite\ICQLite.exe" = C:\Programme\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite
"C:\Programme\ICQ6\ICQ.exe" = C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Programme\ICQ6.5\ICQ.exe" = C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{01501EBA-EC35-4F9F-8889-3BE346E5DA13}" = MSXML4 Parser
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{06100048-3E21-46D6-9A91-D927BA08F41D}" = Microsoft Encarta 2006 Enzyklopädie Standard
"{0AB76F69-E761-4CFA-B9B0-A1906B4E9E4B}" = WD Diagnostics
"{0C826C5B-B131-423A-A229-C71B3CACCD6A}" = CDDRV_Installer
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{196BB40D-1578-3D01-B289-BEFC77A11A1E}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{21A127AE-2DAF-40B7-8374-34C3E629521C}" = Far Cry (Patch 1.3)
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = PowerCinema
"{26A24AE4-039D-4CA4-87B4-2F83216039FF}" = Java(TM) 6 Update 39
"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 21
"{3101CB58-3482-4D21-AF1A-7057FC935355}" = KhalInstallWrapper
"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{35A3A4F4-B792-11D6-A78A-00B0D0142170}" = Java 2 SDK, SE v1.4.2_17
"{36A9D3F8-3FCF-4FBA-A8AD-3C1CE56C8AF4}" = Philips SA43XX Device Manager
"{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = Logitech Registration
"{43DCF766-6838-4F9A-8C91-D92DA586DFA7}" = Microsoft Windows-Journal-Viewer
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works
"{5A9FE525-8B8F-4701-A937-7F6745A4E9C7}" = RGSS-RTP Standard
"{5D95AD35-368F-47D5-B63A-A082DDF00116}" = Microsoft Foto 2006 Standard Edition Editor
"{5EF8822C-6CA1-4B4A-89C4-19CDB64B3BF0}" = Wireless LAN USB Dongle
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{635EDAAB-BF20-414D-A87A-3D43BFA3EDB9}" = Targa VFD Display
"{67903736-E9BB-4664-B148-F62BCAB4FA42}_is1" = OpenMPT 1.22
"{67EDD823-135A-4D59-87BD-950616D6E857}" = EPSON Copy Utility 3
"{691F4068-81BF-49E3-B32E-FE3E16400112}" = Microsoft Foto 2006 Standard Edition Bibliothek
"{6A28AB0B-22B1-494C-AF61-B386EA1736C0}" = LightScribe  1.4.97.1
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7148F0A8-6813-11D6-A77B-00B0D0142170}" = Java 2 Runtime Environment, SE v1.4.2_17
"{76E41F43-59D2-4F30-BA42-9A762EE1E8DE}" = Avanquest update
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{90F1DDBF-0C56-44B0-A920-72CC90C51565}" = Microsoft Works Suite-Add-Ins für Microsoft Word
"{911B0407-6000-11D3-8CFE-0050048383C9}" = Microsoft Word 2002
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{933B4015-4618-4716-A828-5289FC03165F}" = VC80CRTRedist - 8.0.50727.6195
"{9559F7CA-5E34-4237-A2D9-D856464AD727}" = Project64 1.6
"{9B34CAC6-738F-4A20-B428-A115C3E3474C}" = RPGXP
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9F7FC79B-3059-4264-9450-39EB368E3225}" = Microsoft Digital Image Library 9 - Blocker
"{a0fe116e-9a8a-466f-aee0-625cb7c207e3}" = Microsoft Visual C++ 2005 Redistributable - KB2467175
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A70900000002}" = Adobe Reader 7.0.9 - Deutsch
"{B66E665A-DF96-4C38-9422-C7F74BC1B4E5}" = EPSON Easy Photo Print
"{BAD8CA9C-77C0-4663-B00B-A8D3B13C341B}" = Motorola Phone Tools
"{BAF5914B-5730-4373-B038-9F436AC6A0D6}" = Rayman3
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BCA02FAD-2C86-4C8C-A815-51C09F4E51FF}" = Dual-Core Optimizer
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C151CE54-E7EA-4804-854B-F515368B0798}" = Athlon 64 Processor Driver
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C9EAEE6B-741F-421D-B9CE-9FA300DA92AD}_is1" = Super Mario Bros. X version 1.2.2
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CCEB53A5-A252-4CF3-8602-429AB06BF0AE}" = Terragen
"{CE28E6F5-4A03-4DED-B954-D0779B47FFBF}" = Works Update
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D5F82F8F-4DE2-11D9-A373-0050BAE317E1}" = PowerCinema Linux 4.0
"{D6DBDC2A-E72C-4284-B6AD-6B3B61B4DABC}" = Far Cry
"{E47BA573-BBC4-40C1-8A7D-B25F2F2B0DAE}" = Far Cry (Patch 1.32)
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E7DD95EB-5D8B-4691-B268-67FC4E121031}" = Nero 7 Essentials
"{EBCCE08A-B3EE-40E7-96D7-31741D481015}" = No One Lives Forever 2 
"{EE8592F6-FC2B-4AFD-B527-109D127C039F}" = Far Cry (Patch 1.31)
"{EEC2DAFD-5558-40AC-8E9C-5005C8F810E8}" = Microsoft Plus! für Windows XP
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F29B21BD-CAA6-445F-8EF7-A7E2B9D8B14E}" = Logitech SetPoint
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F860F390-78F4-4B45-8C1A-0489618E315B}" = Sygate Personal Firewall
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Shockwave Player" = Adobe Shockwave Player 12.0
"Age of Mythology 1.0" = Age of Mythology
"AnalogX SayIt" = AnalogX SayIt
"Apophysis 2.0" = Apophysis 2.0
"Applian FLV Player2.0.24" = Applian FLV Player
"ASIO4ALL" = ASIO4ALL
"Audacity_is1" = Audacity 2.0.3
"avast" = avast! Free Antivirus
"Blender" = Blender
"Bryce" = Bryce 5.5c
"CCleaner" = CCleaner
"Celestia_is1" = Celestia 1.6.0
"Collab" = Collab
"ConGo" = ConGo 5.0 Beta 0.98
"DAZ|Studio" = DAZ|Studio 1.5.1.0
"Defraggler" = Defraggler
"DivX Setup" = DivX-Setup
"Drumaxx" = Drumaxx
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"EPSON Scanner" = EPSON Scan
"FL Studio 8" = FL Studio 8
"FL Studio 9" = FL Studio 9
"Game Maker 6.1" = Game Maker 6.1
"Game Maker 7.0" = Game Maker 7.0
"Game Maker 8.0" = Game Maker 8.0
"GameStudio A4" = GameStudio A4
"GDGAniTuner11" = AniTuner 1.1
"GIMP-2_is1" = GIMP 2.8.4
"Hardcore" = Hardcore
"Hitman 2: Silent Assassin" = Hitman 2: Silent Assassin
"ie8" = Windows Internet Explorer 8
"IL Download Manager" = IL Download Manager
"IL Gross Beat" = IL Gross Beat
"InstallShield_{5EF8822C-6CA1-4B4A-89C4-19CDB64B3BF0}" = Wireless LAN USB Dongle
"InstallShield_{D6DBDC2A-E72C-4284-B6AD-6B3B61B4DABC}" = Far Cry
"IrfanView" = IrfanView (remove only)
"iZotope Vinyl_is1" = iZotope Vinyl
"jazz-bin-v30o-win32.exe" = The Jazz Midi Sequencer
"KeolabSpicyGuitar_is1" = Spicy Guitar 1.2.0.1
"LetsTrade" = LetsTrade Komponenten
"lgx4.lgx.server" = G DATA Logox 4 Speechengine
"Macromedia Shockwave Player" = Macromedia Shockwave Player
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.75.0.1300
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Midi2Wav Recorder DEMO" = Midi2Wav Recorder DEMO 4.0
"Mixxx (1.10.1)" = Mixxx 1.10.1
"Multimedia keyboard utility" = Multimedia keyboard utility
"NVIDIA Drivers" = NVIDIA Drivers
"Official Hamster Republic RPG Construction Engine_is1" = OHRRPGCE (ubersetzung) 20070921
"OnlineControl_is1" = OnlineControl 1.2
"Pen Tablet Driver" = Bamboo
"PictureItPrem_v11" = Microsoft Foto 2006 Standard Edition
"PoiZone" = PoiZone
"Rayman_is1" = Rayman
"Recuva" = Recuva
"Sakura" = Sakura
"Sauerbraten" = Sauerbraten
"Sawer" = Sawer
"SMSERIAL" = Motorola SM56 Speakerphone Modem
"Toxic Biohazard" = Toxic Biohazard
"TweakPower" = TweakPower
"Victoria 4.2 Base DAZ Studio Content ps_pe069_Victoria4DS" = Victoria 4.2 Base DAZ Studio Content
"Wacom WebTabletPlugin for IE" = WebTablet IE Plugin
"Wacom WebTabletPlugin for Internet Explorer and Netscape" = WebTablet FB Plugin
"Wacom WebTabletPlugin for Netscape" = WebTablet Netscape Plugin
"WavePad" = WavePad Uninstall
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Wdf01007" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.7
"WIC" = Windows Imaging Component
"Wiggles" = Wiggles
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMCSetup" = Windows Media Connect
"Works2006Setup" = Setup-Start von Microsoft Works Suite 2006
"Worms2" = Worms2
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2121393497-4288219565-2237968330-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"MyPaint" = MyPaint 1.0.0
 
========== Last 20 Event Log Errors ==========
 
[ Antivirus Events ]
Error - 12.01.2009 13:11:36 | Computer Name = JBPC | Source = avast! | ID = 33554522
Description = 
 
Error - 14.01.2009 18:10:26 | Computer Name = JBPC | Source = avast! | ID = 33554522
Description = 
 
Error - 14.01.2009 18:11:01 | Computer Name = JBPC | Source = avast! | ID = 33554522
Description = 
 
Error - 23.01.2009 12:57:13 | Computer Name = JBPC | Source = avast! | ID = 33554522
Description = 
 
Error - 23.01.2009 12:57:43 | Computer Name = JBPC | Source = avast! | ID = 33554522
Description = 
 
Error - 11.02.2009 12:39:51 | Computer Name = JBPC | Source = avast! | ID = 33554522
Description = 
 
Error - 11.02.2009 12:40:13 | Computer Name = JBPC | Source = avast! | ID = 33554522
Description = 
 
Error - 27.06.2009 13:52:46 | Computer Name = JBPC | Source = avast! | ID = 33554522
Description = 
 
Error - 05.11.2009 15:55:59 | Computer Name = JBPC | Source = avast! | ID = 33554522
Description = 
 
Error - 12.04.2010 16:10:18 | Computer Name = JBPC | Source = avast! | ID = 33554522
Description = 
 
[ Application Events ]
Error - 05.05.2013 08:33:20 | Computer Name = JBPC | Source = nview_info | ID = 11141121
Description = 
 
Error - 05.05.2013 08:33:20 | Computer Name = JBPC | Source = nview_info | ID = 11141121
Description = 
 
Error - 05.05.2013 08:33:49 | Computer Name = JBPC | Source = nview_info | ID = 11141121
Description = 
 
Error - 05.05.2013 08:33:49 | Computer Name = JBPC | Source = nview_info | ID = 11141121
Description = 
 
Error - 05.05.2013 08:56:42 | Computer Name = JBPC | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 05.05.2013 12:11:46 | Computer Name = JBPC | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 05.05.2013 14:07:21 | Computer Name = JBPC | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 05.05.2013 14:45:15 | Computer Name = JBPC | Source = nview_info | ID = 11141121
Description = 
 
Error - 05.05.2013 14:45:15 | Computer Name = JBPC | Source = nview_info | ID = 11141121
Description = 
 
Error - 05.05.2013 17:35:24 | Computer Name = JBPC | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
[ System Events ]
Error - 05.05.2013 14:07:13 | Computer Name = JBPC | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 05.05.2013 14:07:13 | Computer Name = JBPC | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 05.05.2013 14:07:13 | Computer Name = JBPC | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 05.05.2013 14:07:13 | Computer Name = JBPC | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 05.05.2013 14:07:13 | Computer Name = JBPC | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 05.05.2013 14:07:13 | Computer Name = JBPC | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 05.05.2013 14:07:13 | Computer Name = JBPC | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 05.05.2013 14:07:13 | Computer Name = JBPC | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 05.05.2013 14:07:13 | Computer Name = JBPC | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 05.05.2013 14:07:13 | Computer Name = JBPC | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
 
< End of report >
Ich bemerke keine Fehler im momentanen Betrieb außer dem Ausblenden der bekannten Dateiendungen ohne mein Zutun...

Gruß & Gute Nacht
Arthur

Geändert von ArthurDent (05.05.2013 um 23:03 Uhr)

Alt 06.05.2013, 10:36   #6
t'john
/// Helfer-Team
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

  • Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
  • Starte die OTL.exe.
    Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
  • Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
  • Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.


Code:
ATTFilter
:OTL

DRV - (cportclm) -- C:\DOKUME~1\Jonas\LOKALE~1\Temp\cportclm.sys File not found 
@Alternate Data Stream - 115 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:1CA73D29 
[2013.05.05 14:41:41 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\7iwoc.pad 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\*.exe
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\*.tmp
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Temp\*.exe
C:\Dokumente und Einstellungen\Jonas\*.exe
C:\Dokumente und Einstellungen\Jonas\Startmenü\Programme\Autostart\ctfmon.lnk
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\
ipconfig /flushdns /c
:Commands
[emptytemp]
  • Schließe alle Programme.
  • Klicke auf den Fix Button.
  • Wenn OTL einen Neustart verlangt, bitte zulassen.
  • Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
    Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!



2. Schritt
Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


danach:

3. Schritt
Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________
--> [WinXP 32]GVU-Trojaner vermeintlich entfernt

Alt 06.05.2013, 12:58   #7
ArthurDent
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


Hallo, habe OTL wurschteln lassen und dann das Anti-Rootkit - letzteres fand allerdings nichts.

Hier das OTL-Log:

Code:
ATTFilter
All processes killed
========== OTL ==========
Service cportclm stopped successfully!
Service cportclm deleted successfully!
File  C:\DOKUME~1\Jonas\LOKALE~1\Temp\cportclm.sys File not found not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Temp:1CA73D29 deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\7iwoc.pad moved successfully.
========== FILES ==========
File\Folder C:\ProgramData\*.exe not found.
File\Folder C:\ProgramData\*.dll not found.
File\Folder C:\ProgramData\*.tmp not found.
File\Folder C:\ProgramData\TEMP not found.
File\Folder C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\*.tmp not found.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Temp\DivXSetup.exe moved successfully.
File\Folder C:\Dokumente und Einstellungen\Jonas\*.exe not found.
File\Folder C:\Dokumente und Einstellungen\Jonas\Startmenü\Programme\Autostart\ctfmon.lnk not found.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\security folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\host folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0 folder moved successfully.
C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache folder moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Auflösungscache konnte nicht geleert werden: Beim Ausführen der Funktion ist ein Fehler aufgetreten.
C:\Dokumente und Einstellungen\Jonas\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\Jonas\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 180358 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 180358 bytes
 
User: Jonas
->Temp folder emptied: 253280855 bytes
->Temporary Internet Files folder emptied: 263367622 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 1684 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 12575071 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 576741 bytes
->Java cache emptied: 99346 bytes
->Flash cache emptied: 602 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 219136 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 214556 bytes
RecycleBin emptied: 77159865 bytes
 
Total Files Cleaned = 580,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 05062013_132944

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Habe AdwCleaner noch nicht verwendet, weil Schritt 2 ja offensichtlich nicht das erwünschte(?) Ergebnis gebracht hat.


Mit dankverklebtem Gruß
- Arthur -


P.S.: Als ich mir das Ding eingefangen habe, war die externe Festplatte (ausschließlich Backups meiner Eigenen Dateien und digitalisierte Schallplatten) angeschlossen, die jedoch in dem Moment keine Reaktion gezeigt hat (die schaltet sich nach kurzer Zeit ab und hat fast zehn Sekunden hörbarer Anlaufzeit).
Die habe ich dann panisch rausgezogen und seitdem auch nicht mehr in Betrieb - wie soll ich mit ihr umgehen?
Will meinen, kann ich sie quasi am Laptop mit den selben Methoden (Malwarebytes etc.) reinigen und dann wieder an den bis dato hoffentlich sauberen Tower hängen?
Hoffe die Info kommt nicht viel zu spät!
Geändert von ArthurDent (06.05.2013 um 13:21 Uhr)

Alt 06.05.2013, 13:43   #8
t'john
/// Helfer-Team
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


Bitte das Logfile trotzdem Posten und mit Schritt 3 fortfahren.

Zitat:
Will meinen, kann ich sie quasi am Laptop mit den selben Methoden (Malwarebytes etc.) reinigen und dann wieder an den bis dato hoffentlich sauberen Tower hängen?
ja.
__________________
Mfg, t'john
Das TB unterstützen

Alt 06.05.2013, 14:09   #9
ArthurDent
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


Und weiter gehts...

Der Log von Malwarebytes Anti-Rootkit:

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org

Database version: v2013.05.06.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Jonas :: JBPC [administrator]

06.05.2013 13:55:17
mbar-log-2013-05-06 (13-55-17).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 26357
Time elapsed: 15 minute(s), 38 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
...und der von AdwCleaner:

Code:
ATTFilter
# AdwCleaner v2.300 - Datei am 06/05/2013 um 15:02:25 erstellt
# Aktualisiert am 28/04/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Jonas - JBPC
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Jonas\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallMate
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
Ordner Gelöscht : C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\Viewpoint
Ordner Gelöscht : C:\Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Babylon

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\ICQToolbar
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\bbylntlbr.bbylntlbrHlpr.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{5EB0259D-AB79-4AE6-A6E6-24FFE21C3DA4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{2BEF239C-752E-4001-8048-F256E0D8CD93}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{49C00A51-6E59-41FE-B3FA-2D2157FAD67B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6DFF5DBA-AE3A-46DB-B301-ECFFC6DB2982}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{DE34CD67-F1C8-4001-9A23-B8A68F63F377}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\MetaStream
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
Schlüssel Gelöscht : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Schlüssel Gelöscht : HKLM\Software\Viewpoint
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{855F3B16-6D32-4FE6-8A56-BBB695989046}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EF99BD32-C1FB-11D2-892F-0090271D4F88}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd --> hxxp://www.google.com

*************************

AdwCleaner[S1].txt - [4603 octets] - [06/05/2013 15:02:25]

########## EOF - C:\AdwCleaner[S1].txt - [4663 octets] ##########

Soweit die Lage.

Gruß
- Arthur -

Alt 06.05.2013, 19:13   #10
t'john
/// Helfer-Team
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


Sehr gut!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




danach:

Downloade Dir bitte SecurityCheck und:

  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.
__________________
Mfg, t'john
Das TB unterstützen

Alt 06.05.2013, 23:57   #11
ArthurDent
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


So... Nach langem Gesurre und Geschnurre aller Platten hier die gewünschten Logs:


MasterBootRecord:

Code:
ATTFilter
aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-05-06 20:55:58
-----------------------------
20:55:58.531    OS Version: Windows 5.1.2600 Service Pack 3
20:55:58.531    Number of processors: 2 586 0x4B02
20:55:58.531    ComputerName: JBPC  UserName: 
20:55:59.250    Initialize success
20:56:02.703    AVAST engine defs: 13050400
20:56:11.796    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000006d
20:56:11.796    Disk 0 Vendor: WDC_WD3200JS-00PDB0 21.00M21 Size: 305245MB BusType: 3
20:56:11.968    Disk 0 MBR read successfully
20:56:11.968    Disk 0 MBR scan
20:56:11.984    Disk 0 Windows XP default MBR code
20:56:11.984    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       298002 MB offset 63
20:56:12.000    Disk 0 Partition 2 00     1C Hidd FAT32 LBA MSDOS5.0     7240 MB offset 610309350
20:56:12.015    Disk 0 scanning sectors +625137345
20:56:12.062    Disk 0 scanning C:\WINDOWS\system32\drivers
20:56:23.531    Service scanning
20:56:38.890    Modules scanning
20:57:10.375    Disk 0 trace - called modules:
20:57:10.406    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvata.sys 
20:57:10.406    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8ab63ab8]
20:57:10.406    3 CLASSPNP.SYS[f7667fd7] -> nt!IofCallDriver -> \Device\0000006e[0x8ac2df18]
20:57:10.406    5 ACPI.sys[f75ad620] -> nt!IofCallDriver -> \Device\0000006d[0x8ac05030]
20:57:11.125    AVAST engine scan C:\WINDOWS
20:57:36.359    AVAST engine scan C:\WINDOWS\system32
21:00:26.781    AVAST engine scan C:\WINDOWS\system32\drivers
21:00:53.500    AVAST engine scan C:\Dokumente und Einstellungen\Jonas
21:20:08.468    AVAST engine scan C:\Dokumente und Einstellungen\All Users
21:29:10.093    Scan finished successfully
21:29:20.062    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Jonas\Desktop\MBR.dat"
21:29:20.078    The log file has been saved successfully to "C:\Dokumente und Einstellungen\Jonas\Desktop\aswMBR.txt"
...ESET:

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=f14b2a40338d0a48891610b803091b0a
# engine=13767
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-05-06 10:43:10
# local_time=2013-05-07 12:43:10 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# scanned=300621
# found=2
# cleaned=0
# scan_time=11123
sh=02914497F3B4F7038C8A1D807E8C2B6070F441E3 ft=0 fh=0000000000000000 vn="multiple threats" ac=I fn="C:\_OTL\MovedFiles\05062013_132944\C_Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\39\35807727-2fd30a54"
sh=8564F16006BA0443E0A2612C55EF53C3A110474D ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.NRX trojan" ac=I fn="C:\_OTL\MovedFiles\05062013_132944\C_Dokumente und Einstellungen\Jonas\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48\10132970-3d41245b"
...und schließlich der SecurityCheck:

Code:
ATTFilter
 Results of screen317's Security Check version 0.99.63  
 Windows XP Service Pack 3 x86   
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:`````````````` 
 avast! Free Antivirus    
 Sygate Personal Firewall    
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.75.0.1300  
 CCleaner     
 Java(TM) 6 Update 39  
 Java 7 Update 21  
 Java(TM) 6 Update 2  
 Java 2 SDK, SE v1.4.2_17 
 Java 2 Runtime Environment, SE v1.4.2_17 
 Adobe Reader 7 Adobe Reader out of Date! 
````````Process Check: objlist.exe by Laurent````````  
 OnlineControl ocontrol.exe   
 Alwil Software Avast5 AvastSvc.exe  
 Alwil Software Avast5 avastUI.exe  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````
Vielen Dank bis hierhin, gute Nacht & lieben Gruß
- Arthur -

Alt 07.05.2013, 09:19   #12
t'john
/// Helfer-Team
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


Deinstalliere:
Java(TM) 6 Update 39
Java 7 Update 21
Java(TM) 6 Update 2
Java 2 SDK, SE v1.4.2_17
Java 2 Runtime Environment, SE v1.4.2_17


Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)


Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
  • Downloade dir bitte die neueste Java-Version von hier
  • Speichere die .exe-Datei
  • Schließe alle laufenden Programme. Speziell deinen Browser.
  • Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 21 ) herunter laden.
  • Wenn die Installation beendet wurde
    Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
  • Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Nach dem Neustart
  • Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
  • Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
  • Klicke auf Dateien löschen....
  • Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
  • Klicke erneut OK.


Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: PluginCheck



Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck
__________________
Mfg, t'john
Das TB unterstützen

Alt 07.05.2013, 13:15   #13
ArthurDent
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


Hallo t'john!

Hier die Ergebnisse des PluginCheck vor der Deaktivierung von Java:

Code:
ATTFilter
Internet Explorer 8.0 ist aktuell
Flash (11,7,700,169) ist aktuell.
Java (1,7,0,21) ist aktuell.
Adobe Reader 11,0,0,0 ist aktuell.
Und danach:

Code:
ATTFilter
Java ist nicht Installiert oder nicht aktiviert.
Gruß
- Arthur -


P.S.: Gehe ich recht in der Annahme, dass der Adobe Reader 7 durch den 11er ersetzt wurde, d.h. nicht deinstaliert werden muss?

Alt 07.05.2013, 13:20   #14
t'john
/// Helfer-Team
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Uninstall.
  • Bestätige mit Ja.




Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.




Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?
__________________
Mfg, t'john
Das TB unterstützen

Alt 07.05.2013, 19:12   #15
ArthurDent
 
[WinXP 32]GVU-Trojaner vermeintlich entfernt - Standard

[WinXP 32]GVU-Trojaner vermeintlich entfernt


Alles problemlos abgelaufen, und durch die Javareinigung und löschen aller Systemwiederherstellungspunkte um satte 10 Gigs leichter auf der Platte geworden!

Ich verzichte auf den Smiley, aber nichtsdestotrotz:

Dank, danke - Danke!


Wenn Du, lieber t'john, jetzt noch die Zeit fändest (ist ja nicht so, dass noch ungefähr 283 andere Leute akut deine Hilfe benötigen...), mir einige allgemeine Sicherheitsfragen zu beantworte, wäre ich wirklich restlos glücklich.
Wenn nicht, kann ich auch damit leben (und werde es wohl müssen.).


- sollte ich auch die Finger von der Registry-Putze des guten CCleaners lassen?
- kann ich nach dem ganzen Getue bedenkenlos PageDefrag verwenden (die Systemwiederherstellung und [vermutlich] diverse eurer Tools haben einige Fragmentierungen bewirkt)? Oder ist das ohnehin Fuppes?
- hast Du meine Uralt-Firewall (Sygate personal Firewall) nicht bemerkt oder ist sie sicherheitstechnisch vertretbar?
- empfiehlt es sich, Malwarebytes AntiMalware quasi als Sidekick von avast zu behalten?
- wo erfahre ich, wann Java wieder bedenkenlos einsatzfähig ist?
- wie schlimm war überhaupt meine Infenktion?

Und zu guter Letzt:

- wo kann ich euch die 100€ Ukash hinschicken?



Großer Gruß und dickster Dank von

- Arthur Dent -
Geändert von ArthurDent (07.05.2013 um 19:37 Uhr)

Antwort
Seite 1 von 2 1 2

Themen zu [WinXP 32]GVU-Trojaner vermeintlich entfernt
achronis, altes, avast, broken.opencommand, entfernt, erbitte, fertig, festplatte, freude, gvu-trojaner, infizierte, interne, menschen, prüfung, pum.disabled.securitycenter, pup.pantsoff.passwordfinder, quarantäne, rootkit.agent, system neu, systemwiederherstellung, trojan.fakems, ukash, unterstützung, version, virus?, winxp, überhaupt


« Malware? Spionage von Email Passwörtern | Umgang mit dem BKA-Trojaner »


Ähnliche Themen: [WinXP 32]GVU-Trojaner vermeintlich entfernt


  1. trojan.agent entdeckt, vermeintlich entfernt - Internet tot
    Plagegeister aller Art und deren Bekämpfung - 08.02.2015 (23)
  2. WinXP SP3 Malware - Virenscanner usw. lassen sich nicht installieren! Dualbootsystem WinXP/Win7
    Log-Analyse und Auswertung - 13.12.2013 (15)
  3. WinXP: BKA/GVU-Trojaner; teilweise entfernt
    Log-Analyse und Auswertung - 06.09.2013 (11)
  4. GVU Trojaner auf WinXP Sp3
    Log-Analyse und Auswertung - 03.08.2013 (9)
  5. WinXP: BKA-Trojaner füllt Bildschirm voll aus, davor sah ich einen Film an. Trojaner: Trojan.Agent
    Plagegeister aller Art und deren Bekämpfung - 14.04.2013 (15)
  6. GVU-Trojaner bei WinXP
    Plagegeister aller Art und deren Bekämpfung - 05.02.2013 (21)
  7. BKA-Trojaner 1.13 auf winxp
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (19)
  8. BKA Trojaner 1.13 auf WinXP
    Log-Analyse und Auswertung - 15.10.2012 (2)
  9. WinXP BKA-Trojaner v1.13
    Log-Analyse und Auswertung - 21.09.2012 (16)
  10. GVU Trojaner WinXP
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (15)
  11. WinXP GVU Trojaner 2.07
    Log-Analyse und Auswertung - 17.07.2012 (9)
  12. GVU Trojaner WinXP SP3 - weg?
    Log-Analyse und Auswertung - 07.06.2012 (5)
  13. GVU Trojaner unter winxp
    Log-Analyse und Auswertung - 26.05.2012 (45)
  14. windows repair auf WinXP entfernt? Logfiles geposted
    Log-Analyse und Auswertung - 06.07.2011 (2)
  15. Wie bringe ich Daten von vermeintlich infizierter externer Fesplatte zurück auf den PC ?
    Mülltonne - 03.03.2011 (2)
  16. Vermeintlich Inaktiver Trojaner, was nun?
    Plagegeister aller Art und deren Bekämpfung - 06.12.2010 (1)
  17. REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\s ystem32\twext.exe
    Log-Analyse und Auswertung - 15.08.2009 (19)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema [WinXP 32]GVU-Trojaner vermeintlich entfernt - Hallo liebe Menschen vom Trojaner-Board! Vielen Dank im Voraus fürs bloße Lesen - turbo, dass es euch gibt! Auch mir ist heute beim Stöbern nach erotischem Videomaterial der GVU-Trojaner (Virus?) - [WinXP 32]GVU-Trojaner vermeintlich entfernt...
Archiv
Du betrachtest: [WinXP 32]GVU-Trojaner vermeintlich entfernt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131