| |
| |||||||
Log-Analyse und Auswertung: GVU Trojaner auf Windows XP SP3 auch im abgesicherten ModusWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
23.05.2013, 17:44
| #1 |
| |  GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus Hallo, es währe schön wenn mir jemand helfen könnte. Ich habe mir auf meinen alten Rechner den GVU Trojaner heute eingefangen. Es geht nichts mehr. Habe dann versucht den "Abgesicherten Modus" zu starten, leider geht dies nur mit Netzwerktreibern weil sonst mein Pasword nicht erkannt wird. Ich komme in den Modus mit Eingabeaufforderung nicht hinein. Aber auch im "Abgesicherten Modus" erscheint der Sperrbildschirm und nichts geht. Gibt es eine Möglichkeit die Daten zu sichern oder vielleicht den Rechner wieder flott zubekommen? Habe einige wichtige Daten auf diesem, die ich nicht verlieren möchte. Über eine Antwort würde ich mich sehr freuen. Gruß Dirk |
|
23.05.2013, 17:47
| #2 |
| /// Helfer-Team  | GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten: Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD. Lade  OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Bebilderte Anleitung: OTLpe-Scan
__________________ |
|
23.05.2013, 18:13
| #3 |
| | GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus Vielen Dank für die ersten Tipps. Werde diese umsetzen und mich dann melden.
__________________MfG Dirk Hallo t'john, es gibt leider ein paar Probleme. Zitat Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler! Finde leider nicht wo dies eingestellt wird. Zitat Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes. Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes. Diese fragen werden nicht gestellt. Zitat Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK. Wo kann man das waehlen OTLpe hat gestarten. Leider wurde unter C: nur eine datei angelegt, hier der Inhalt:OTL Logfile: Code:
ATTFilter OTL logfile created on: 5/23/2013 8:25:57 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 87.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): c:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298.08 Gb Total Space | 139.11 Gb Free Space | 46.67% Space Free | Partition Type: NTFS
Drive D: | 232.88 Gb Total Space | 215.22 Gb Free Space | 92.41% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
========== Win32 Services (SafeList) ==========
SRV - [2013/05/23 11:40:35 | 000,155,648 | ---- | M] () [Auto] -- C:\DOKUME~1\ALLUSE~1\ANWEND~1\qr0wi.dat -- (winmgmt)
SRV - [2013/05/23 07:25:16 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013/05/02 04:22:58 | 000,181,664 | ---- | M] (Oracle Corporation) [Auto] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2012/09/19 10:33:25 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/05/09 13:08:45 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012/05/09 13:08:44 | 000,465,360 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2012/05/09 13:08:44 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009/04/30 11:01:10 | 000,154,136 | ---- | M] (Logitech Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe -- (LVPrcSrv)
SRV - [2008/04/14 01:52:50 | 000,015,872 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINDOWS\system32\inetsrv\inetinfo.exe -- (W3SVC)
SRV - [2008/04/14 01:52:50 | 000,015,872 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINDOWS\system32\inetsrv\inetinfo.exe -- (SMTPSVC) Simple Mail Transfer Protocol (SMTP)
SRV - [2008/04/14 01:52:50 | 000,015,872 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINDOWS\system32\inetsrv\inetinfo.exe -- (IISADMIN)
SRV - [2007/11/15 13:46:14 | 000,116,032 | ---- | M] (LogMeIn, Inc.) [Disabled] -- C:\Programme\LogMeIn\x86\RaMaint.exe -- (LMIMaint)
SRV - [2007/08/03 10:09:34 | 000,063,040 | ---- | M] (LogMeIn, Inc.) [Disabled] -- C:\Programme\LogMeIn\x86\LogMeIn.exe -- (LogMeIn)
SRV - [2006/10/17 06:47:16 | 000,230,944 | ---- | M] (Acronis) [Auto] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2005/10/14 12:28:12 | 000,114,784 | ---- | M] () [Auto] -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe -- (CLSched) CyberLink Task Scheduler (CTS)
SRV - [2005/10/14 12:28:10 | 000,258,146 | ---- | M] () [Auto] -- C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe -- (CLCapSvc) CyberLink Background Capture Service (CBCS)
SRV - [2005/10/14 12:27:28 | 001,081,344 | ---- | M] (Cyberlink) [Auto] -- C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe -- (CyberLink Media Library Service)
SRV - [2005/07/24 18:35:00 | 000,053,248 | ---- | M] (Hewlett-Packard Company) [Auto] -- C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- (LightScribeService)
SRV - [2003/07/28 07:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003/06/19 18:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
SRV - [2001/11/12 09:31:48 | 000,020,480 | ---- | M] (X10) [Auto] -- C:\Programme\Common Files\X10\Common\X10nets.exe -- (x10nets)
========== Driver Services (SafeList) ==========
DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | Boot] -- -- (rseb)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2012/05/09 13:08:45 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/05/09 13:08:45 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/09/16 10:08:07 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2009/10/08 10:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/06/22 07:48:44 | 000,091,776 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mqac.sys -- (MQAC)
DRV - [2009/04/30 19:03:30 | 000,023,832 | R--- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvuvcflt.sys -- (FilterService)
DRV - [2009/04/30 19:03:08 | 006,754,712 | R--- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvuvc.sys -- (LVUVC) Logitech Webcam 200(UVC)
DRV - [2009/04/30 19:01:36 | 000,265,496 | R--- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvrs.sys -- (LVRS)
DRV - [2009/04/30 19:00:00 | 000,114,712 | R--- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\lvpopflt.sys -- (lvpopflt)
DRV - [2009/04/30 11:00:12 | 000,025,624 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LVPr2Mon.sys -- (LVPr2Mon)
DRV - [2008/05/08 10:02:52 | 000,203,136 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\rmcast.sys -- (RMCAST)
DRV - [2008/04/13 18:23:10 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2008/04/13 18:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2007/11/15 13:46:40 | 000,083,288 | ---- | M] (LogMeIn, Inc.) [File_System | Disabled] -- C:\WINDOWS\System32\LMIRfsClientNP.dll -- (LMIRfsClientNP)
DRV - [2007/08/03 10:09:34 | 000,046,112 | ---- | M] (LogMeIn, Inc.) [File_System | Auto] -- C:\WINDOWS\system32\drivers\LMIRfsDriver.sys -- (LMIRfsDriver)
DRV - [2007/08/03 10:09:34 | 000,012,992 | ---- | M] (LogMeIn, Inc.) [Kernel | Auto] -- C:\Programme\LogMeIn\x86\rainfo.sys -- (LMIInfo)
DRV - [2007/03/12 17:50:43 | 000,395,744 | ---- | M] (Acronis) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\timntr.sys -- (timounter)
DRV - [2007/03/12 17:50:43 | 000,039,264 | ---- | M] (Acronis) [File_System | Auto] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter)
DRV - [2007/03/12 17:50:30 | 000,114,048 | ---- | M] (Acronis) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\snapman.sys -- (snapman)
DRV - [2006/11/15 08:34:40 | 004,225,920 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006/04/02 02:37:42 | 000,109,040 | ---- | M] (Check Point Software Technologies) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\vna.sys -- (VNA)
DRV - [2005/09/28 17:27:00 | 000,825,984 | R--- | M] (Philips Semiconductors GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\3xHybrid.sys -- (3xHybrid)
DRV - [2005/08/03 19:30:52 | 000,069,248 | R--- | M] (C-Media Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\cmiucr.SYS -- (CMISTOR)
DRV - [2005/07/14 15:58:38 | 000,241,536 | ---- | M] (Ralink Technology Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\rt2500usb.sys -- (RT2500USB)
DRV - [2005/06/30 07:16:00 | 001,094,848 | R--- | M] (Agere Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2005/05/19 11:52:58 | 000,017,792 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\x10ufx2.sys -- (XUIF)
DRV - [2004/08/03 17:31:34 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2004/05/18 02:04:16 | 000,041,984 | ---- | M] (DeviceGuys, Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\DGIVECP.SYS -- (DgiVecp)
DRV - [2003/12/22 21:15:42 | 000,005,248 | ---- | M] ( ) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\xmasscsi.sys -- (xmasscsi)
DRV - [2003/12/21 12:24:22 | 000,140,800 | ---- | M] ( ) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\xmasbus.sys -- (xmasbus)
========== Standard Registry (SafeList) ==========
========== Internet Explorer ==========
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\büro.PRAXIS_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\büro.PRAXIS_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale=de_DE
IE - HKU\büro.PRAXIS_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\büro.PRAXIS_ON_C\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\büro.PRAXIS_ON_C\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
IE - HKU\büro.PRAXIS_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Dirk_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.tagesschau.de/
IE - HKU\Dirk_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_202.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.21.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.21.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2852: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.2910: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1662: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/09/19 10:33:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013/05/02 04:23:17 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.5\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2013/04/04 11:12:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.5\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
[2012/09/19 10:33:35 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012/09/19 10:33:25 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012/03/13 01:23:34 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/03/13 01:06:36 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/03/13 01:23:34 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/03/13 01:23:34 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/03/13 01:23:34 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/03/13 01:23:34 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
O1 HOSTS File: ([2006/02/28 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (HelperObject Class) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll (TechSmith Corporation)
O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (SnagIt) - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll (TechSmith Corporation)
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3 - HKU\büro.PRAXIS_ON_C\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O3 - HKU\büro.PRAXIS_ON_C\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\büro.PRAXIS_ON_C\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3 - HKU\Dirk_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\Dirk_ON_C\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe (Acronis)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CHotkey] C:\WINDOWS\mHotkey.exe ()
O4 - HKLM..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCREye.exe ()
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [ledpointer] C:\WINDOWS\CNYHKey.exe (Chicony)
O4 - HKLM..\Run: [MsmqIntCert] C:\WINDOWS\System32\mqrt.dll (Microsoft Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Oracle Corporation)
O4 - HKU\büro.PRAXIS_ON_C..\Run: [ctfmon.exe] File not found
O4 - HKU\Dirk_ON_C..\Run: [AnyDVD] File not found
O4 - HKU\Dirk_ON_C..\Run: [H/PC Connection Agent] File not found
O4 - HKU\Dirk_ON_C..\Run: [swg] File not found
O4 - HKU\Dirk_ON_C..\Run: [updateMgr] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Zahlungserinnerung.lnk = C:\Profi cash_2\wzed.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\büro\Startmenü\Programme\Autostart\Verknüpfung mit Netz auf Kr-y408elo4ur1k (N).lnk = File not found
O4 - Startup: C:\Dokumente und Einstellungen\büro.PRAXIS\Startmenü\Programme\Autostart\Mediencenter Assistent.lnk = C:\Programme\Telekom\Mediencenter\MediencenterSoftware.exe (Deutsche Telekom AG)
O4 - Startup: C:\Dokumente und Einstellungen\büro.PRAXIS\Startmenü\Programme\Autostart\Mediencenter.lnk = File not found
O4 - Startup: C:\Dokumente und Einstellungen\büro.PRAXIS\Startmenü\Programme\Autostart\msconfig.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\büro.PRAXIS\Startmenü\Programme\Autostart\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Dirk\Startmenü\Programme\Autostart\Verknüpfung mit Netz auf Kr-y408elo4ur1k (N).lnk = File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\büro.PRAXIS_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Dirk_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll (Sun Microsystems, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/templates/ieawsdc.cab (Microsoft Office Template and Media Control)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} hxxp://download.microsoft.com/download/e/7/3/e7345c16-80aa-4488-ae10-9ac6be844f99/OGAControl.cab (Office Genuine Advantage Validation Tool)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=39204 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173710192484 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 10.21.2)
O16 - DPF: {B4CB50E4-0309-4906-86EA-10B6641C8392} https://195.202.38.252/SNX/extender.cab (Reg Error: Key error.)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 10.21.2)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = praxis.local
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mctp {d7b95390-b1c5-11d0-b111-0080c712fe82} - Reg Error: Value error. File not found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\LMIinit: DllName - LMIinit.dll - C:\WINDOWS\System32\LMIinit.dll (LogMeIn, Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O30 - LSA: Authentication Packages - (relog_ap) - C:\WINDOWS\System32\relog_ap.dll (Acronis)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007/03/12 09:03:19 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
========== Files/Folders - Created Within 30 Days ==========
[2013/05/23 11:42:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\AskToolbar
[2013/05/23 11:40:35 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe
[2013/05/23 11:39:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Lokale Einstellungen\Anwendungsdaten\Sun
[2013/05/02 04:23:17 | 000,866,720 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\npDeployJava1.dll
[2013/05/02 04:23:17 | 000,263,584 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\javaws.exe
[2013/05/02 04:23:11 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\javaw.exe
[2013/05/02 04:23:11 | 000,174,496 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\java.exe
[2013/05/02 04:23:11 | 000,094,112 | ---- | C] (Oracle Corporation) -- C:\WINDOWS\System32\WindowsAccessBridge.dll
[2007/03/14 03:37:36 | 000,140,800 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\xmasbus.sys
[2007/03/14 03:37:36 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\xmasscsi.sys
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[14 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
========== Files - Modified Within 30 Days ==========
[2013/05/23 12:09:22 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013/05/23 12:01:02 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iw0rq.pad
[2013/05/23 12:00:31 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013/05/23 11:58:25 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2013/05/23 11:52:00 | 000,000,224 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2013/05/23 11:51:55 | 000,001,324 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2013/05/23 11:46:23 | 000,003,053 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iw0rq.js
[2013/05/23 11:46:17 | 000,037,469 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2013/05/23 11:45:16 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\lvuvc.hs
[2013/05/23 11:45:14 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\logiflt.iad
[2013/05/23 11:44:14 | 000,302,002 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1867328919-2673175236-2801203170-1134-0.dat
[2013/05/23 11:44:13 | 000,181,296 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2013/05/23 11:44:12 | 000,302,002 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2013/05/23 11:41:44 | 000,000,792 | ---- | M] () -- C:\Dokumente und Einstellungen\büro.PRAXIS\Startmenü\Programme\Autostart\msconfig.lnk
[2013/05/23 11:40:35 | 000,155,648 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qr0wi.dat
[2013/05/23 11:40:35 | 000,033,792 | ---- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe
[2013/05/23 11:25:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013/05/23 07:26:22 | 000,000,474 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2013/05/23 07:25:16 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013/05/23 07:25:16 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013/05/02 04:22:59 | 000,094,112 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\WindowsAccessBridge.dll
[2013/05/02 04:22:57 | 000,866,720 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\npDeployJava1.dll
[2013/05/02 04:22:57 | 000,788,896 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\deployJava1.dll
[2013/05/02 04:22:57 | 000,263,584 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\javaws.exe
[2013/05/02 04:22:57 | 000,174,496 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\javaw.exe
[2013/05/02 04:22:57 | 000,174,496 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\java.exe
[2013/05/02 04:22:57 | 000,144,896 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\javacpl.cpl
[2013/05/02 04:22:09 | 000,657,382 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013/05/02 04:22:09 | 000,606,702 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013/05/02 04:22:09 | 000,139,350 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013/05/02 04:22:09 | 000,118,216 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013/05/02 04:18:46 | 000,001,196 | ---- | M] () -- C:\Dokumente und Einstellungen\büro.PRAXIS\Startmenü\Programme\Autostart\Mediencenter.lnk
[2013/05/02 04:18:46 | 000,001,184 | ---- | M] () -- C:\Dokumente und Einstellungen\büro.PRAXIS\Desktop\Mediencenter.lnk
[2013/05/02 04:15:58 | 000,000,021 | ---- | M] () -- C:\Dokumente und Einstellungen\büro.PRAXIS\Lokale Einstellungen\Anwendungsdaten\mc.pixel.data
[2013/05/02 04:12:55 | 000,361,104 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013/05/02 03:55:54 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[14 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
========== Files Created - No Company Name ==========
[2013/05/23 11:46:23 | 000,003,053 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iw0rq.js
[2013/05/23 11:41:44 | 000,000,792 | ---- | C] () -- C:\Dokumente und Einstellungen\büro.PRAXIS\Startmenü\Programme\Autostart\msconfig.lnk
[2013/05/23 11:41:03 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iw0rq.pad
[2013/05/23 11:40:35 | 000,155,648 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qr0wi.dat
[2013/01/15 09:15:01 | 000,302,002 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-1867328919-2673175236-2801203170-1134-0.dat
[2013/01/15 09:15:00 | 000,181,296 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2013/01/14 11:18:06 | 000,302,002 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2012/04/10 02:59:51 | 000,000,021 | ---- | C] () -- C:\Dokumente und Einstellungen\büro.PRAXIS\Lokale Einstellungen\Anwendungsdaten\mc.pixel.data
[2012/04/10 02:53:52 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/11/04 06:21:04 | 000,001,717 | ---- | C] () -- C:\WINDOWS\PC_FB.INI
[2009/12/26 12:08:59 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2009/12/15 11:13:22 | 000,000,050 | ---- | C] () -- C:\WINDOWS\3D Text Factory.INI
[2009/12/10 13:56:47 | 000,082,289 | R--- | C] () -- C:\WINDOWS\System32\lvcoinst.ini
[2009/10/18 07:54:53 | 000,000,474 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2009/10/18 07:54:53 | 000,000,034 | ---- | C] () -- C:\WINDOWS\System32\bd9450cd.dat
[2009/10/18 07:54:53 | 000,000,026 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2009/10/18 07:53:56 | 000,000,827 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini
[2009/10/18 07:53:56 | 000,000,093 | ---- | C] () -- C:\WINDOWS\brpcfx.ini
[2009/10/18 07:53:56 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bd9450cn.dat
[2009/10/18 07:52:04 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\BRTCPCON.DLL
[2009/10/18 07:52:04 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\BRLMW03A.INI
[2009/10/18 07:52:03 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\BAOCH06A.DAT
[2009/10/18 07:51:59 | 000,000,091 | ---- | C] () -- C:\WINDOWS\Brfaxrx.ini
[2009/10/18 07:51:59 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brdfxspd.dat
[2009/10/18 07:51:57 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2009/10/18 07:42:49 | 000,032,149 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2009/05/08 05:13:04 | 000,013,584 | ---- | C] () -- C:\WINDOWS\System32\drivers\iKeyLFT2.dll
[2009/04/30 11:00:12 | 000,025,624 | ---- | C] () -- C:\WINDOWS\System32\drivers\LVPr2Mon.sys
[2008/07/03 10:31:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008/06/28 06:57:27 | 000,000,008 | ---- | C] () -- C:\WINDOWS\System32\mcnw.ini
[2008/06/16 08:32:03 | 000,000,462 | -H-- | C] () -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\xpy.ini
[2008/06/02 10:36:42 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\TXTUSER.EXE
[2008/05/14 03:03:29 | 000,038,475 | ---- | C] () -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\Microsoft Excel.ADR
[2008/04/16 10:28:03 | 000,000,582 | ---- | C] () -- C:\WINDOWS\eReg.dat
[2008/04/02 16:29:50 | 000,002,232 | ---- | C] () -- C:\WINDOWS\RBuilder.ini
[2007/09/14 11:03:29 | 000,038,430 | ---- | C] () -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR
[2007/09/05 12:36:16 | 000,599,552 | ---- | C] () -- C:\WINDOWS\System32\kpkcs11hash.dll
[2007/08/20 10:38:37 | 000,024,064 | ---- | C] () -- C:\Dokumente und Einstellungen\büro.PRAXIS\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007/08/20 10:19:15 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\$_hpcst$.hpc
[2007/08/20 10:18:47 | 000,000,164 | ---- | C] () -- C:\Dokumente und Einstellungen\büro.PRAXIS\default.pls
[2007/08/19 05:10:11 | 000,034,308 | ---- | C] () -- C:\WINDOWS\System32\Chip.dll
[2007/08/19 05:08:35 | 000,000,083 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2007/05/02 06:02:12 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2007/03/29 03:56:47 | 000,000,488 | ---- | C] () -- C:\WINDOWS\WINLABEL.INI
[2007/03/23 05:57:56 | 000,036,343 | ---- | C] () -- C:\WINDOWS\CSTBox.INI
[2007/03/21 12:07:43 | 000,000,400 | ---- | C] () -- C:\WINDOWS\Prestopm.INI
[2007/03/15 06:12:02 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007/03/15 05:44:11 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2007/03/15 05:12:10 | 000,000,111 | ---- | C] () -- C:\Dokumente und Einstellungen\Dirk\default.pls
[2007/03/14 05:21:24 | 000,005,632 | ---- | C] () -- C:\Dokumente und Einstellungen\Dirk\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007/03/13 12:28:15 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\$_hpcst$.hpc
[2007/03/13 09:39:06 | 000,361,104 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007/03/13 06:36:08 | 000,120,320 | ---- | C] () -- C:\WINDOWS\System32\ZlibOCX2.dll
[2007/03/13 06:36:08 | 000,048,640 | ---- | C] () -- C:\WINDOWS\System32\AlphaTermRT.dll
[2007/03/13 05:53:21 | 000,002,074 | ---- | C] () -- C:\WINDOWS\tonlinst.ini
[2007/03/13 05:48:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\frontpg.ini
[2007/03/13 05:39:08 | 000,040,960 | ---- | C] () -- C:\WINDOWS\System32\IPPCPUID.DLL
[2007/03/13 05:38:59 | 000,011,776 | ---- | C] () -- C:\WINDOWS\System32\pmsbfn32.dll
[2007/03/13 05:38:22 | 000,000,074 | ---- | C] () -- C:\WINDOWS\PMINI.ini
[2007/03/13 04:29:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\hbcikrnl.ini
[2007/03/12 18:32:55 | 000,002,560 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2007/03/12 18:10:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Net-It Now! SE.INI
[2007/03/12 18:09:35 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\NILaunch.exe
[2007/03/12 18:09:34 | 000,037,888 | ---- | C] () -- C:\WINDOWS\System32\NIUninstall.exe
[2007/03/12 18:03:48 | 000,000,000 | ---- | C] () -- C:\WINDOWS\winhelp.ini
[2007/03/12 16:55:10 | 000,240,640 | ---- | C] () -- C:\WINDOWS\System32\NMOCOD.DLL
[2007/03/12 15:15:33 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2007/03/12 09:52:07 | 000,024,222 | ---- | C] () -- C:\WINDOWS\System32\smtpctrs.ini
[2007/03/12 09:52:07 | 000,001,137 | ---- | C] () -- C:\WINDOWS\System32\ntfsdrct.ini
[2007/03/12 09:51:51 | 000,061,950 | ---- | C] () -- C:\WINDOWS\System32\w3ctrs.ini
[2007/03/12 09:51:51 | 000,016,173 | ---- | C] () -- C:\WINDOWS\System32\axperf.ini
[2007/03/12 09:51:49 | 000,017,590 | ---- | C] () -- C:\WINDOWS\System32\infoctrs.ini
[2007/03/12 09:51:47 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2007/03/12 09:46:56 | 000,003,072 | R--- | C] () -- C:\WINDOWS\System32\34CoInstaller.dll
[2007/03/12 09:42:41 | 000,073,728 | ---- | C] () -- C:\WINDOWS\System32\Install2500USB.dll
[2007/03/12 09:42:41 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\DEDriverDLL.dll
[2007/03/12 09:42:41 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\WRLSetup.exe
[2007/03/12 09:21:32 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2007/03/12 09:18:12 | 000,549,376 | ---- | C] () -- C:\WINDOWS\mHotkey.exe
[2007/03/12 09:18:12 | 000,532,544 | ---- | C] () -- C:\WINDOWS\PIC.dll
[2007/03/12 09:18:12 | 000,049,152 | ---- | C] () -- C:\WINDOWS\CNYUSB.dll
[2007/03/12 09:18:12 | 000,011,776 | ---- | C] () -- C:\WINDOWS\HIDMNT.dll
[2007/03/12 09:18:12 | 000,005,120 | ---- | C] () -- C:\WINDOWS\HKCYDLL.dll
[2007/03/12 09:18:12 | 000,000,360 | ---- | C] () -- C:\WINDOWS\CNYHKey.ini
[2007/03/12 09:16:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\muveeapp.INI
[2007/03/12 09:14:16 | 000,237,568 | R--- | C] () -- C:\WINDOWS\System32\CmUCREye.exe
[2007/03/12 09:14:16 | 000,225,280 | R--- | C] () -- C:\WINDOWS\System32\CmUCRRm.exe
[2007/03/12 09:14:16 | 000,045,056 | R--- | C] () -- C:\WINDOWS\System32\CmUCRRm.Dll
[2007/03/12 09:14:12 | 000,024,576 | R--- | C] () -- C:\WINDOWS\CmiUCRUninstall.exe
[2007/03/12 09:14:12 | 000,000,066 | R--- | C] () -- C:\WINDOWS\CMICARDREADER.INI
[2007/03/12 09:10:29 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2007/03/12 09:10:19 | 000,127,184 | ---- | C] () -- C:\WINDOWS\Unwise.exe
[2007/03/12 09:10:04 | 000,198,144 | ---- | C] () -- C:\WINDOWS\System32\_psisdecd.dll
[2007/03/12 09:04:54 | 000,004,184 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2007/03/12 09:01:13 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\cpuinf32.dll
[2007/03/12 09:00:52 | 000,000,024 | ---- | C] () -- C:\WINDOWS\magix.ini
[2007/03/12 09:00:51 | 000,001,208 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini
[2007/03/12 06:32:06 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2007/03/12 06:27:13 | 000,026,648 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2007/03/12 06:16:17 | 000,005,046 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2007/03/05 08:34:28 | 000,676,224 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.DLL
[2006/02/28 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2006/02/28 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2006/02/28 08:00:00 | 000,657,382 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2006/02/28 08:00:00 | 000,606,702 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2006/02/28 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2006/02/28 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2006/02/28 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2006/02/28 08:00:00 | 000,139,350 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2006/02/28 08:00:00 | 000,118,216 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2006/02/28 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2006/02/28 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2006/02/28 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2006/02/28 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006/02/28 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2006/02/28 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2006/02/28 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2005/09/22 18:21:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2005/09/22 18:21:00 | 001,519,616 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2005/09/22 18:21:00 | 001,466,368 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2005/09/22 18:21:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2005/09/22 18:21:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2005/09/22 18:21:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2005/09/22 18:21:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2005/09/22 18:21:00 | 000,043,008 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2004/09/28 17:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2004/08/03 20:57:34 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2003/03/21 13:07:08 | 000,005,045 | ---- | C] () -- C:\WINDOWS\System32\SamIppPortMonitor.dat
[2003/02/20 12:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2003/01/30 13:49:14 | 000,036,864 | ---- | C] () -- C:\WINDOWS\hpfsched.exe
[1999/05/10 21:23:00 | 000,000,181 | ---- | C] () -- C:\WINDOWS\acroread.ini
[1999/03/09 20:23:00 | 000,222,928 | ---- | C] () -- C:\WINDOWS\System32\lobas09.dll
[1999/01/26 18:00:00 | 000,114,816 | ---- | C] () -- C:\WINDOWS\System32\MSMT4232.DLL
[1998/04/26 20:23:00 | 006,150,961 | ---- | C] () -- C:\WINDOWS\System32\jre116.exe
[1998/03/17 21:23:00 | 000,096,256 | ---- | C] () -- C:\WINDOWS\System32\nsqlc32.dll
[1998/01/13 08:52:30 | 000,047,104 | ---- | C] () -- C:\WINDOWS\System32\lotrn13.dll
[1997/11/13 20:23:00 | 000,031,008 | ---- | C] () -- C:\WINDOWS\System32\ivtrn09.dll
[1997/02/01 20:23:00 | 000,000,058 | ---- | C] () -- C:\WINDOWS\loss613.ini
[1997/02/01 20:23:00 | 000,000,058 | ---- | C] () -- C:\WINDOWS\loss09.ini
[1996/07/08 20:23:00 | 000,000,038 | ---- | C] () -- C:\WINDOWS\loidp13.ini
[1994/07/24 20:23:00 | 000,014,928 | ---- | C] () -- C:\WINDOWS\System32\wingen.drv
[1994/04/06 20:23:00 | 000,000,462 | ---- | C] () -- C:\WINDOWS\lodbf13.ini
========== LOP Check ==========
[2012/04/10 03:09:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\TuneUp Software
[2007/03/12 10:24:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\X10 Commander
[2007/08/20 10:39:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\administrator\Anwendungsdaten\Zeon
[2008/07/01 09:50:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\Acronis
[2013/05/23 11:43:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\AskToolbar
[2013/04/02 10:49:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\Canon
[2007/08/20 10:28:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\Check Point
[2007/08/20 10:28:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\DVD
[2008/06/28 06:57:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\FileMaker
[2009/12/10 13:58:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\Leadertech
[2008/06/28 06:57:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\net.dacons.menucontrol
[2007/08/20 10:19:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\NewSoft
[2007/08/20 10:19:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\NSBackup
[2007/08/20 10:19:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\OfficeUpdate12
[2012/04/10 12:05:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\OpenOffice.org
[2012/04/06 10:59:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\PC-FAX TX
[2008/08/05 05:59:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj
[2007/08/20 10:19:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\Samsung
[2009/10/19 02:57:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\ScanSoft
[2007/08/20 10:19:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\SlySoft
[2012/12/05 14:17:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\Telekom
[2012/04/06 12:25:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\Thunderbird
[2012/04/06 11:19:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\TuneUp Software
[2007/08/20 10:19:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\Zeon
[2007/08/19 05:50:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\Canon
[2007/03/16 06:09:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\Check Point
[2007/08/10 09:46:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\DVD
[2007/03/13 05:38:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\NewSoft
[2007/03/21 12:06:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\NSBackup
[2007/03/13 09:54:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\OfficeUpdate12
[2007/03/12 17:05:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\Samsung
[2007/03/13 05:40:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\ScanSoft
[2007/08/19 05:09:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\SlySoft
[2007/03/16 04:21:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Dirk\Anwendungsdaten\Zeon
[2007/03/12 09:11:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\X10 Commander
[2007/03/12 18:26:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2008/06/02 10:56:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIFAB
[2008/11/19 06:47:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
[2007/08/19 05:16:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
[2007/03/12 09:02:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies
[2009/10/18 08:42:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2007/08/19 05:08:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
[2007/03/20 09:40:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanAppDataDir
[2007/03/20 09:40:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SSScanWizard
[2012/04/06 11:19:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2007/03/12 09:11:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X10 Settings
[2007/03/15 06:36:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zeon
[2012/04/06 11:18:18 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2013/05/23 11:52:00 | 000,000,224 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
========== Purity Check ==========
< End of report >
Ich hoffe es geht damit und warte gespannt auf Deine Antwort. MfG Dirk: dankeschoen: |
|
24.05.2013, 10:08
| #4 |
| /// Helfer-Team | GVU Trojaner auf Windows XP SP3 auch im abgesicherten ModusDie Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen. Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen. Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte. 1. Schritt Fixen mit OTLpe
Code:
ATTFilter :OTL
O4 - HKU\büro.PRAXIS_ON_C..\Run: [ctfmon.exe] File not found
O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)
[2013/05/23 11:40:35 | 000,033,792 | ---- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe
[2013/05/23 11:40:35 | 000,155,648 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qr0wi.dat
[2013/05/23 11:41:03 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iw0rq.pad
[2013/05/23 11:46:23 | 000,003,053 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iw0rq.js
:Commands
[emptytemp]
Dann normal starten: 2. Schritt Downloade Dir bitte  Malwarebytes Anti-Malware
danach: 3. Schritt Downloade Dir bitte  AdwCleaner auf deinen Desktop.
|
|
25.05.2013, 16:53
| #5 |
| | GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus Super, der Rechner startet wieder!!! Anbei der angeforderte Datei. Vielen Dank Dirk ========== OTL ========== Registry key HKEY_USERS\büro.PRAXIS_ON_C\Software\Microsoft\Windows\CurrentVersion\Run not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater deleted successfully. C:\Programme\Ask.com\Updater\Updater.exe moved successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rundll32.exe moved successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qr0wi.dat moved successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iw0rq.pad moved successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iw0rq.js moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: administrator User: All Users User: BRO~1~PRA User: büro User: büro.PRAXIS User: b�ro.praxis User: Default User User: Dirk User: LocalService User: NetworkService %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 6427149 bytes %systemroot%\System32 .tmp files removed: 2329479 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1512237 bytes Total Files Cleaned = 10.00 mb OTLPE by OldTimer - Version 3.1.48.0 log created on 05252013_214433 |
|
25.05.2013, 18:12
| #6 |
| /// Helfer-Team | GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus Schritt 2 und 3?
__________________ --> GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus |
|
26.05.2013, 10:47
| #7 |
| | GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus Hallo, Schritt 2 habe ich über Nacht abgearbeitet und es wurden 30 Infizierte- Dateien gefunden, diese habe ich entfernt. Schritt 3 ist heute dran. Beim Starten des PC erscheint jetzt aber eine Fehlermeldung, die aber keine merkliche Auswirkung hat. Rundll Fehler beim Laden von C:\DOKUMME~1\ALLUSE~1\ANWEND~1\qrOwi.dat Modul wurde nicht gefunden. Die Logdateien habe ich vergessen. Der erste Suchlauf wurde vom Rechner abgebrochen, da er sich neu gestartet hat nach einem Update. 1. Datei Malwarebytes Anti-Malware 1.75.0.1300 Malwarebytes : Free Anti-Malware download Datenbank Version: v2013.05.25.05 Windows XP Service Pack 3 x86 NTFS Internet Explorer 6.0.2900.5512 büro :: BÜRO2 [Administrator] 25.05.2013 19:29:23 mbam-log-2013-05-25 (19-29-23).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 543795 Laufzeit: 1 Stunde(n), 21 Minute(n), 40 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKLM\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ctfmon.exe (Trojan.Agent) -> Daten: C:\DOKUME~1\ALLUSE~1\ANWEND~1\rundll32.exe C:\DOKUME~1\ALLUSE~1\ANWEND~1\qr0wi.dat,FG00 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion|rhccv8j0etcj (Rogue.AntiVirusXP) -> Daten: Š$˜H -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 13 C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\BrowserObjects (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Packages (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Lokale Einstellungen\Temp\AC8ZT2 (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 8 C:\_OTL\MovedFiles\05252013_214433\C_Dokumente und Einstellungen\All Users\Anwendungsdaten\qr0wi.dat (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\phc9v8j0etcj.bmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj\database.dat (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj\license.txt.vir (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj\MFC71.dll (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj\msvcp71.dll (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj\msvcr71.dll (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj\rhccv8j0etcj.exe.local (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Malwarebytes Anti-Malware 1.75.0.1300 Malwarebytes : Free Anti-Malware download Datenbank Version: v2013.05.25.05 Windows XP Service Pack 3 x86 NTFS Internet Explorer 6.0.2900.5512 büro :: BÜRO2 [Administrator] 25.05.2013 19:29:23 mbam-log-2013-05-25 (19-29-23).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 543795 Laufzeit: 1 Stunde(n), 21 Minute(n), 40 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKLM\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ctfmon.exe (Trojan.Agent) -> Daten: C:\DOKUME~1\ALLUSE~1\ANWEND~1\rundll32.exe C:\DOKUME~1\ALLUSE~1\ANWEND~1\qr0wi.dat,FG00 -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion|rhccv8j0etcj (Rogue.AntiVirusXP) -> Daten: Š$˜H -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 13 C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\BrowserObjects (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Anwendungsdaten\rhccv8j0etcj\Quarantine\Packages (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Dokumente und Einstellungen\büro.PRAXIS\Lokale Einstellungen\Temp\AC8ZT2 (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 8 C:\_OTL\MovedFiles\05252013_214433\C_Dokumente und Einstellungen\All Users\Anwendungsdaten\qr0wi.dat (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\WINDOWS\system32\phc9v8j0etcj.bmp (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj\database.dat (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj\license.txt.vir (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj\MFC71.dll (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj\msvcp71.dll (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj\msvcr71.dll (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\rhccv8j0etcj\rhccv8j0etcj.exe.local (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Hier dann die Logdatei aus Schritt3:AdwCleaner Logfile: Code:
ATTFilter # AdwCleaner v2.301 - Datei am 26/05/2013 um 11:55:56 erstellt
# Aktualisiert am 16/05/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : büro - BÜRO2
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\büro.PRAXIS\Eigene Dateien\Downlaods\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gelöscht : C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
Ordner Gelöscht : C:\DOKUME~1\BRO~1.PRA\LOKALE~1\Temp\AskSearch
Ordner Gelöscht : C:\Programme\Ask.com
Ordner Gelöscht : C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\APN
Schlüssel Gelöscht : HKCU\Software\Ask.com
Schlüssel Gelöscht : HKCU\Software\Ask.com.tmp
Schlüssel Gelöscht : HKCU\Software\AskToolbar
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Schlüssel Gelöscht : HKCU\Software\YahooPartnerToolbar
Schlüssel Gelöscht : HKLM\Software\APN
Schlüssel Gelöscht : HKLM\Software\AskToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\BHO.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F994E0D9-8335-48F1-99C2-A712C21F8D5F}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{EF99BD32-C1FB-11D2-892F-0090271D4F88}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\120DFADEB50841F408F04D2A278F9509
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2BDF3E992C0908741B7C11F4B4E0F775
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6B3BC4CF5ECE1F54BBA174C13A1AB907
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D0E499F53381f84992C7A212CF1D8F5
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B5BAE2ED018083A4C8DA86D6E3F4B024
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BEABAA33A5E68374DBF197F2A00CD011
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CB61AF52AD64B6B45930BE969F316720
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Schlüssel Gelöscht : HKLM\Software\TENCENT
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{EF99BD32-C1FB-11D2-892F-0090271D4F88}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{EF99BD32-C1FB-11D2-892F-0090271D4F88}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EF99BD32-C1FB-11D2-892F-0090271D4F88}]
***** [Internet Browser] *****
AdwCleaner Logfile:
--- --- --- Geändert von DirkF (26.05.2013 um 10:53 Uhr) |
|
26.05.2013, 15:17
| #8 |
| /// Helfer-Team | GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus Sehr gut!  Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers danach: ESET Online Scanner
danach: Downloade Dir bitte  SecurityCheck und:
|
|
26.05.2013, 20:54
| #9 |
| | GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus Hier die datei von Malwarebytes Anti-Rootkit BETA 1.06.0.1003 Malwarebytes : Free Anti-Malware download Database version: v2013.05.26.05 Windows XP Service Pack 3 x86 NTFS Internet Explorer 6.0.2900.5512 büro :: BÜRO2 [administrator] 26.05.2013 18:52:47 mbar-log-2013-05-26 (18-52-47).txt Scan type: Quick scan Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | Deep Anti-Rootkit Scan | PUM | P2P Scan options disabled: PUP Objects scanned: 347355 Time elapsed: 39 minute(s), 37 second(s) Memory Processes Detected: 0 (No malicious items detected) Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 0 (No malicious items detected) Registry Values Detected: 0 (No malicious items detected) Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 0 (No malicious items detected) Physical Sectors Detected: 0 (No malicious items detected) (end) |
|
27.05.2013, 09:24
| #10 |
| /// Helfer-Team | GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus ESET und SC? |
|
27.05.2013, 17:10
| #11 |
| | GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus Hallo, hier nun die nächste Log.- Datei ESETSmartInstaller@High as downloader log: all ok # version=8 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6920 # api_version=3.0.2 # EOSSerial=7c5701a4eb1f5543979708176e77b7e8 # engine=13919 # end=finished # remove_checked=true # archives_checked=false # unwanted_checked=false # unsafe_checked=false # antistealth_checked=true # utc_time=2013-05-26 09:20:57 # local_time=2013-05-26 11:20:57 (+0100, Westeuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 3 # compatibility_mode=1799 16775165 100 97 16609 115373741 9369 0 # scanned=218860 # found=2 # cleaned=2 # scan_time=5362 sh=54D18182BDC3C08B9E2AF87472D8D860E0A9726B ft=0 fh=0000000000000000 vn="Win32/Reveton.M trojan (cleaned by deleting - quarantined)" ac=C fn="C:\Dokumente und Einstellungen\büro.PRAXIS\Startmenü\Programme\Autostart\msconfig.lnk" sh=B89BE3DB43DDA61A5EEABC686A7A7C74BB4D140D ft=0 fh=0000000000000000 vn="Win32/Reveton.N trojan (cleaned by deleting - quarantined)" ac=C fn="C:\_OTL\MovedFiles\05252013_214433\C_Dokumente und Einstellungen\All Users\Anwendungsdaten\iw0rq.js" Wenn ich SecurityCheck.exe starte und den Anweisungen in der DOS-Box folge, erscheint nur: "Preparing Done!" |
|
27.05.2013, 17:39
| #12 |
| /// Helfer-Team | GVU Trojaner auf Windows XP SP3 auch im abgesicherten ModusFixen mit OTL
Code:
ATTFilter :OTL
:Files
C:\Dokumente und Einstellungen\büro.PRAXIS\Startmenü\Programme\Autostart\msconfig.lnk
Java aktualisieren Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.
Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html Java deaktivieren Aufgrund derezeitigen Sicherheitsluecke: http://www.trojaner-board.de/122961-...ktivieren.html Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html |
|
29.05.2013, 16:11
| #13 |
| | GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus Hallo, hier die nächste Log- Datei ========== OTL ========== ========== FILES ========== File\Folder C:\Dokumente und Einstellungen\büro.PRAXIS\Startmenü\Programme\Autostart\msconfig.lnk not found. OTLPE by OldTimer - Version 3.1.48.0 log created on 05292013_171009 Die neuste Java- Version war bereits installiert, habe es aber neu gemacht. PluginCheck Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen. Überprüft wird: Browser, Flash, Java und Adobe Reader Version. Firefox 21.0 ist aktuell Flash (11,7,700,202) ist aktuell. Java ist Installiert aber nicht aktiviert. Adobe Reader 11,0,3,37 ist aktuell Gute N:achricht: Beim Hochfahren erscheint die Fehlermeldung nicht mehr.  Geändert von DirkF (29.05.2013 um 16:56 Uhr) |
|
29.05.2013, 17:55
| #14 |
| /// Helfer-Team | GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus Sehr gut! damit bist Du sauber und entlassen!  adwCleaner entfernen
Tool-Bereinigung Die Reihenfolge ist hier entscheidend.
Zurücksetzen der Sicherheitszonen Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen. Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html Systemwiederherstellungen leeren Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein: Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7 Danach wieder aktivieren. Lektuere zum abarbeiten: http://www.trojaner-board.de/90880-d...tallation.html http://www.trojaner-board.de/105213-...tellungen.html PluginCheck http://www.trojaner-board.de/96344-a...-rechners.html Secunia Online Software Inspector http://www.trojaner-board.de/71715-k...iendungen.html http://www.trojaner-board.de/83238-a...sschalten.html http://www.trojaner-board.de/109844-...ren-seite.html PC wird immer langsamer - was tun? |
|
30.05.2013, 16:40
| #15 |
| | GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus Hallo t'john, ich möchte mich für Deine/ Eure Hlfe nochmals viel bedanken. Echt super!!! MfG Dirk |
|
| Themen zu GVU Trojaner auf Windows XP SP3 auch im abgesicherten Modus |
| abgesicherten, alten, antwort, eingabeaufforderung, erkannt, erscheint, gvu trojaner abgesicherter modus nicht möglich, modus, netzwerk, nicht erkannt, rechner, rogue.antivirusxp, rogue.multiple, trojan.agent, trojan.fakealert, trojan.fakems, trojaner, verlieren, versucht, wichtige, wichtige daten, windows, windows xp, würde |
Textbox.
Linear-Darstellung
