Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Virus:Win32/alureon.h

Virus:Win32/alureon.h


Plagegeister aller Art und deren Bekämpfung: Virus:Win32/alureon.h

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.05.2010, 17:35   #1
Loom
 
Virus:Win32/alureon.h - Standard

Virus:Win32/alureon.h


Hallo, ich habe mir vor kurzem den Alureon.H gefangen lt. Forefront Client Sec.
Leider bekomme ich den guten weder mit Forefront noch mit diversen Live-CD´s nicht vom System.
Der Virus/trojaner lässt meine gesamten Laufwerke verschwinden, so komme ich noch nicht einmal in der Datenträgerverwaltung oder mit Diskpart an mein Laufwerke. Zusätzlich lässt er gute einiges an Popups aufspringen und verlinkt mich bei diversen suchen auf die Seite "Ask" o.ä..
Alle Anleitungen die ich bis jetzt gefunden habe brachten mich auch nicht zum Erfolg, deshalb hoffe ich das mir hier jemand helfen kann.

System ist Win7 Enterprise.


Auszug aus dem Forefront:


Log von Malewarebytes:
Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4099

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

14.05.2010 18:26:02
mbam-log-2010-05-14 (18-26-02).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 238625
Laufzeit: 2 Stunde(n), 38 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> No action taken.
Log von OTL:
Zitat:
FisOTL logfile created on: 14.05.2010 14:13:03 - Run 1
OTL by OldTimer - Version 3.2.4.1 Folder = C:\Users\bbr\Downloads
Enterprise Edition (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 52,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 70,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 38,96 Gb Total Space | 0,99 Gb Free Space | 2,54% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: TA-977
Current User Name: bbr
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Minimal

========== Processes (SafeList) ==========

PRC - C:\Users\bbr\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Program Files\TPFanControl\TPFanControl.exe (troubadix)
PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Program Files\Juniper Networks\Common Files\dsNcService.exe (Juniper Networks)
PRC - C:\Program Files\Microsoft Forefront\Client Security\Client\Antimalware\MSASCui.exe (Microsoft Corporation)
PRC - C:\Program Files\Microsoft Forefront\Client Security\Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
PRC - C:\Program Files\Microsoft Office\Communicator\communicator.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Program Files\FreePDF_XP\fpassist.exe (shbox.de)
PRC - C:\Windows\System32\taskhost.exe (Microsoft Corporation)
PRC - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
PRC - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
PRC - C:\Program Files\Citrix\ICA Client\PNAMAIN.EXE (Citrix Systems, Inc.)
PRC - C:\Program Files\Citrix\ICA Client\ssonsvr.exe (Citrix Systems, Inc.)
PRC - C:\Program Files\EIZO\ScreenManager Pro for LCD (DDCCI)\LcdctrlDdcci.exe (EIZO NANAO CORPORATION)
PRC - C:\Program Files\ESTOS\PhoneToolsCommunicator\eocPhoneTool.exe (ESTOS GmbH)
PRC - C:\Program Files\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
PRC - C:\Windows\System32\ibmpmsvc.exe (Lenovo)
PRC - C:\Program Files\Mindjet\MindManager 7\MmReminderService.exe (Mindjet)
PRC - C:\Program Files\Microsoft Forefront\Client Security\Client\SSA\FcsSas.exe (Microsoft Corporation)
PRC - C:\Windows\System32\AEADISRV.EXE (Andrea Electronics Corporation)


========== Modules (SafeList) ==========

MOD - C:\Users\bbr\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\Windows\System32\sspicli.dll (Microsoft Corporation)
MOD - C:\Windows\System32\sechost.dll (Microsoft Corporation)
MOD - C:\Windows\System32\profapi.dll (Microsoft Corporation)
MOD - C:\Windows\System32\KernelBase.dll (Microsoft Corporation)
MOD - C:\Windows\System32\dwmapi.dll (Microsoft Corporation)
MOD - C:\Windows\System32\devobj.dll (Microsoft Corporation)
MOD - C:\Windows\System32\cryptbase.dll (Microsoft Corporation)
MOD - C:\Windows\System32\cfgmgr32.dll (Microsoft Corporation)
MOD - C:\Windows\System32\msscript.ocx (Microsoft Corporation)
MOD - C:\Windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7600.16385_none_421189da2b7fabfc\comctl32.dll (Microsoft Corporation)


========== Win32 Services (SafeList) ==========

SRV - (aspnet_state) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe (Microsoft Corporation)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (NetTcpPortSharing) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation)
SRV - (NetTcpActivator) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation)
SRV - (NetPipeActivator) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation)
SRV - (NetMsmqActivator) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe (Microsoft Corporation)
SRV - (dsNcService) -- C:\Program Files\Juniper Networks\Common Files\dsNcService.exe (Juniper Networks)
SRV - (FCSAM) -- C:\Program Files\Microsoft Forefront\Client Security\Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
SRV - (WwanSvc) -- C:\Windows\System32\wwansvc.dll (Microsoft Corporation)
SRV - (WbioSrvc) -- C:\Windows\System32\wbiosrvc.dll (Microsoft Corporation)
SRV - (Power) -- C:\Windows\System32\umpo.dll (Microsoft Corporation)
SRV - (Themes) -- C:\Windows\System32\themeservice.dll (Microsoft Corporation)
SRV - (sppuinotify) -- C:\Windows\System32\sppuinotify.dll (Microsoft Corporation)
SRV - (StorSvc) -- C:\Windows\System32\StorSvc.dll (Microsoft Corporation)
SRV - (RpcEptMapper) -- C:\Windows\System32\RpcEpMap.dll (Microsoft Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation)
SRV - (PNRPsvc) -- C:\Windows\System32\pnrpsvc.dll (Microsoft Corporation)
SRV - (p2pimsvc) -- C:\Windows\System32\pnrpsvc.dll (Microsoft Corporation)
SRV - (HomeGroupProvider) -- C:\Windows\System32\provsvc.dll (Microsoft Corporation)
SRV - (PNRPAutoReg) -- C:\Windows\System32\pnrpauto.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Program Files\Windows Defender\mpsvc.dll (Microsoft Corporation)
SRV - (HomeGroupListener) -- C:\Windows\System32\ListSvc.dll (Microsoft Corporation)
SRV - (FontCache) -- C:\Windows\System32\FntCache.dll (Microsoft Corporation)
SRV - (Dhcp) -- C:\Windows\System32\dhcpcore.dll (Microsoft Corporation)
SRV - (defragsvc) -- C:\Windows\System32\defragsvc.dll (Microsoft Corporation)
SRV - (BDESVC) -- C:\Windows\System32\bdesvc.dll (Microsoft Corporation)
SRV - (AxInstSV) ActiveX-Installer (AxInstSV) -- C:\Windows\System32\AxInstSv.dll (Microsoft Corporation)
SRV - (AppIDSvc) -- C:\Windows\System32\appidsvc.dll (Microsoft Corporation)
SRV - (sppsvc) -- C:\Windows\System32\sppsvc.exe (Microsoft Corporation)
SRV - (IBMPMSVC) -- C:\Windows\System32\ibmpmsvc.exe (Lenovo)
SRV - (FcsSas) -- C:\Program Files\Microsoft Forefront\Client Security\Client\SSA\FcsSas.exe (Microsoft Corporation)
SRV - (AEADIFilters) -- C:\Windows\System32\AEADISRV.EXE (Andrea Electronics Corporation)


========== Driver Services (SafeList) ==========

DRV - (sptd) -- C:\Windows\System32\Drivers\sptd.sys ()
DRV - (MBAMSwissArmy) -- C:\Windows\System32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (dsNcAdpt) -- C:\Windows\System32\drivers\dsNcAdpt.sys (Juniper Networks)
DRV - (vflt) -- C:\Windows\System32\drivers\vfilter.sys (Shrew Soft Inc)
DRV - (vnet) -- C:\Windows\System32\drivers\virtualnet.sys (Shrew Soft Inc)
DRV - (cmdide) -- C:\Windows\system32\DRIVERS\cmdide.sys (CMD Technology, Inc.)
DRV - (adpahci) -- C:\Windows\system32\DRIVERS\adpahci.sys (Adaptec, Inc.)
DRV - (adp94xx) -- C:\Windows\system32\DRIVERS\adp94xx.sys (Adaptec, Inc.)
DRV - (amdsbs) -- C:\Windows\system32\DRIVERS\amdsbs.sys (AMD Technologies Inc.)
DRV - (adpu320) -- C:\Windows\system32\DRIVERS\adpu320.sys (Adaptec, Inc.)
DRV - (arcsas) -- C:\Windows\system32\DRIVERS\arcsas.sys (Adaptec, Inc.)
DRV - (amdsata) -- C:\Windows\system32\DRIVERS\amdsata.sys (Advanced Micro Devices)
DRV - (arc) -- C:\Windows\system32\DRIVERS\arc.sys (Adaptec, Inc.)
DRV - (amdxata) -- C:\Windows\system32\DRIVERS\amdxata.sys (Advanced Micro Devices)
DRV - (aliide) -- C:\Windows\system32\DRIVERS\aliide.sys (Acer Laboratories Inc.)
DRV - (nvstor) -- C:\Windows\system32\DRIVERS\nvstor.sys (NVIDIA Corporation)
DRV - (nvraid) -- C:\Windows\system32\DRIVERS\nvraid.sys (NVIDIA Corporation)
DRV - (nfrd960) -- C:\Windows\system32\DRIVERS\nfrd960.sys (IBM Corporation)
DRV - (LSI_SAS) -- C:\Windows\system32\DRIVERS\lsi_sas.sys (LSI Corporation)
DRV - (iaStorV) -- C:\Windows\system32\DRIVERS\iaStorV.sys (Intel Corporation)
DRV - (MegaSR) -- C:\Windows\system32\DRIVERS\MegaSR.sys (LSI Corporation, Inc.)
DRV - (KSecPkg) -- C:\Windows\System32\Drivers\ksecpkg.sys (Microsoft Corporation)
DRV - (LSI_SCSI) -- C:\Windows\system32\DRIVERS\lsi_scsi.sys (LSI Corporation)
DRV - (LSI_FC) -- C:\Windows\system32\DRIVERS\lsi_fc.sys (LSI Corporation)
DRV - (LSI_SAS2) -- C:\Windows\system32\DRIVERS\lsi_sas2.sys (LSI Corporation)
DRV - (iirsp) -- C:\Windows\system32\DRIVERS\iirsp.sys (Intel Corp./ICP vortex GmbH)
DRV - (megasas) -- C:\Windows\system32\DRIVERS\megasas.sys (LSI Corporation)
DRV - (hwpolicy) -- C:\Windows\System32\drivers\hwpolicy.sys (Microsoft Corporation)
DRV - (elxstor) -- C:\Windows\system32\DRIVERS\elxstor.sys (Emulex)
DRV - (aic78xx) -- C:\Windows\system32\DRIVERS\djsvs.sys (Adaptec, Inc.)
DRV - (HpSAMD) -- C:\Windows\system32\DRIVERS\HpSAMD.sys (Hewlett-Packard Company)
DRV - (FsDepends) -- C:\Windows\System32\drivers\fsdepends.sys (Microsoft Corporation)
DRV - (vsmraid) -- C:\Windows\system32\DRIVERS\vsmraid.sys (VIA Technologies Inc.,Ltd)
DRV - (vmbus) -- C:\Windows\system32\DRIVERS\vmbus.sys (Microsoft Corporation)
DRV - (vhdmp) -- C:\Windows\system32\DRIVERS\vhdmp.sys (Microsoft Corporation)
DRV - (storflt) -- C:\Windows\system32\DRIVERS\vmstorfl.sys (Microsoft Corporation)
DRV - (vdrvroot) -- C:\Windows\system32\DRIVERS\vdrvroot.sys (Microsoft Corporation)
DRV - (storvsc) -- C:\Windows\system32\DRIVERS\storvsc.sys (Microsoft Corporation)
DRV - (WIMMount) -- C:\Windows\System32\drivers\wimmount.sys (Microsoft Corporation)
DRV - (viaide) -- C:\Windows\system32\DRIVERS\viaide.sys (VIA Technologies, Inc.)
DRV - (ql2300) -- C:\Windows\system32\DRIVERS\ql2300.sys (QLogic Corporation)
DRV - (rdyboost) -- C:\Windows\System32\drivers\rdyboost.sys (Microsoft Corporation)
DRV - (ql40xx) -- C:\Windows\system32\DRIVERS\ql40xx.sys (QLogic Corporation)
DRV - (SiSRaid4) -- C:\Windows\system32\DRIVERS\sisraid4.sys (Silicon Integrated Systems)
DRV - (pcw) -- C:\Windows\System32\drivers\pcw.sys (Microsoft Corporation)
DRV - (SiSRaid2) -- C:\Windows\system32\DRIVERS\SiSRaid2.sys (Silicon Integrated Systems Corp.)
DRV - (stexstor) -- C:\Windows\system32\DRIVERS\stexstor.sys (Promise Technology)
DRV - (CNG) -- C:\Windows\System32\Drivers\cng.sys (Microsoft Corporation)
DRV - (Brserid) Brother MFC Serial Port Interface Driver (WDM) -- C:\Windows\System32\Drivers\Brserid.sys (Brother Industries Ltd.)
DRV - (rdpbus) -- C:\Windows\System32\drivers\rdpbus.sys (Microsoft Corporation)
DRV - (RDPREFMP) -- C:\Windows\System32\drivers\RDPREFMP.sys (Microsoft Corporation)
DRV - (RasAgileVpn) WAN Miniport (IKEv2) -- C:\Windows\System32\drivers\agilevpn.sys (Microsoft Corporation)
DRV - (WfpLwf) -- C:\Windows\System32\drivers\wfplwf.sys (Microsoft Corporation)
DRV - (NdisCap) -- C:\Windows\System32\drivers\ndiscap.sys (Microsoft Corporation)
DRV - (vwifibus) -- C:\Windows\System32\drivers\vwifibus.sys (Microsoft Corporation)
DRV - (1394ohci) -- C:\Windows\system32\DRIVERS\1394ohci.sys (Microsoft Corporation)
DRV - (UmPass) -- C:\Windows\system32\DRIVERS\umpass.sys (Microsoft Corporation)
DRV - (usbaudio) USB Audio Driver (WDM) -- C:\Windows\System32\drivers\USBAUDIO.sys (Microsoft Corporation)
DRV - (WinUsb) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)
DRV - (mshidkmdf) -- C:\Windows\System32\drivers\mshidkmdf.sys (Microsoft Corporation)
DRV - (MTConfig) -- C:\Windows\system32\DRIVERS\MTConfig.sys (Microsoft Corporation)
DRV - (CompositeBus) -- C:\Windows\System32\drivers\CompositeBus.sys (Microsoft Corporation)
DRV - (AppID) -- C:\Windows\system32\drivers\appid.sys (Microsoft Corporation)
DRV - (scfilter) -- C:\Windows\System32\drivers\scfilter.sys (Microsoft Corporation)
DRV - (s3cap) -- C:\Windows\system32\DRIVERS\vms3cap.sys (Microsoft Corporation)
DRV - (VMBusHID) -- C:\Windows\system32\DRIVERS\VMBusHID.sys (Microsoft Corporation)
DRV - (discache) -- C:\Windows\System32\drivers\discache.sys (Microsoft Corporation)
DRV - (HidBatt) -- C:\Windows\system32\DRIVERS\HidBatt.sys (Microsoft Corporation)
DRV - (AcpiPmi) -- C:\Windows\system32\DRIVERS\acpipmi.sys (Microsoft Corporation)
DRV - (TPM) -- C:\Windows\System32\drivers\tpm.sys (Microsoft Corporation)
DRV - (AmdPPM) -- C:\Windows\system32\DRIVERS\amdppm.sys (Microsoft Corporation)
DRV - (hcw85cir) -- C:\Windows\system32\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV - (BrUsbMdm) -- C:\Windows\System32\Drivers\BrUsbMdm.sys (Brother Industries Ltd.)
DRV - (BrUsbSer) -- C:\Windows\System32\Drivers\BrUsbSer.sys (Brother Industries Ltd.)
DRV - (BrSerWdm) -- C:\Windows\System32\Drivers\BrSerWdm.sys (Brother Industries Ltd.)
DRV - (BrFiltLo) -- C:\Windows\system32\DRIVERS\BrFiltLo.sys (Brother Industries, Ltd.)
DRV - (BrFiltUp) -- C:\Windows\system32\DRIVERS\BrFiltUp.sys (Brother Industries, Ltd.)
DRV - (SrvHsfV92) -- C:\Windows\System32\drivers\VSTDPV3.SYS (Conexant Systems, Inc.)
DRV - (SrvHsfWinac) -- C:\Windows\System32\drivers\VSTCNXT3.SYS (Conexant Systems, Inc.)
DRV - (SrvHsfHDA) -- C:\Windows\System32\drivers\VSTAZL3.SYS (Conexant Systems, Inc.)
DRV - (netw5v32) Intel(R) -- C:\Windows\System32\drivers\netw5v32.sys (Intel Corporation)
DRV - (b57nd60x) -- C:\Windows\System32\drivers\b57nd60x.sys (Broadcom Corporation)
DRV - (ebdrv) -- C:\Windows\system32\DRIVERS\evbdx.sys (Broadcom Corporation)
DRV - (b06bdrv) -- C:\Windows\system32\DRIVERS\bxvbdx.sys (Broadcom Corporation)
DRV - (e1express) Intel(R) -- C:\Windows\System32\drivers\e1e6232.sys (Intel Corporation)
DRV - (VClone) -- C:\Windows\System32\drivers\VClone.sys (Elaborate Bytes AG)
DRV - (MpFilter) -- C:\Windows\System32\drivers\MpFilter.sys (Microsoft Corporation)
DRV - (mcdbus) -- C:\Windows\System32\drivers\mcdbus.sys (MagicISO, Inc.)
DRV - (atikmdag) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV - (NSCIRDA) -- C:\Windows\System32\drivers\nscirda.sys (National Semiconductor Corporation)
DRV - (ADIHdAudAddService) -- C:\Windows\System32\drivers\ADIHdAud.sys (Analog Devices, Inc.)
DRV - (IBMPMDRV) -- C:\Windows\System32\drivers\ibmpmdrv.sys (Lenovo.)
DRV - (HSF_DPV) -- C:\Windows\System32\drivers\HSX_DPV.sys (Conexant Systems, Inc.)
DRV - (HSXHWAZL) -- C:\Windows\System32\drivers\HSXHWAZL.sys (Conexant Systems, Inc.)
DRV - (winachsf) -- C:\Windows\System32\drivers\HSX_CNXT.sys (Conexant Systems, Inc.)
DRV - (XAudio) -- C:\Windows\System32\drivers\XAudio.sys (Conexant Systems, Inc.)
DRV - (TVicPort) -- C:\Windows\System32\drivers\TVicPort.sys (EnTech Taiwan)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========


IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ig?hl=de&source=iglk
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.systeme.de;ta*.*;portal.systeme.de;*.local
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.255.250:3128

========== FireFox ==========

FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/ig?ct=1056757711&source=hade"
FF - prefs.js..network.proxy.autoconfig_url: "hxxp://192.168.47.33/proxy/proxy.pac"
FF - prefs.js..network.proxy.backup.ftp: "192.168.255.250"
FF - prefs.js..network.proxy.backup.ftp_port: 3128
FF - prefs.js..network.proxy.backup.gopher: "192.168.255.250"
FF - prefs.js..network.proxy.backup.gopher_port: 3128
FF - prefs.js..network.proxy.backup.socks: "192.168.255.250"
FF - prefs.js..network.proxy.backup.socks_port: 3128
FF - prefs.js..network.proxy.backup.ssl: "192.168.255.250"
FF - prefs.js..network.proxy.backup.ssl_port: 3128
FF - prefs.js..network.proxy.ftp: "192.168.255.250"
FF - prefs.js..network.proxy.ftp_port: 3128
FF - prefs.js..network.proxy.gopher: "192.168.255.250"
FF - prefs.js..network.proxy.gopher_port: 3128
FF - prefs.js..network.proxy.http: "192.168.255.250"
FF - prefs.js..network.proxy.http_port: 3128
FF - prefs.js..network.proxy.share_proxy_settings: true
FF - prefs.js..network.proxy.socks: "192.168.255.250"
FF - prefs.js..network.proxy.socks_port: 3128
FF - prefs.js..network.proxy.ssl: "192.168.255.250"
FF - prefs.js..network.proxy.ssl_port: 3128
FF - prefs.js..network.proxy.type: 4

FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010.04.06 13:19:44 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.5.9\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010.05.01 15:15:47 | 000,000,000 | ---D | M]

[2009.08.29 17:40:10 | 000,000,000 | ---D | M] -- C:\Users\bbr\AppData\Roaming\mozilla\Extensions
[2009.08.29 17:40:10 | 000,000,000 | ---D | M] -- C:\Users\bbr\AppData\Roaming\mozilla\Firefox\Profiles\muhrnvef.default\extensions
[2009.08.29 17:39:49 | 000,000,000 | ---D | M] -- C:\Program Files\mozilla firefox\extensions
[2009.11.16 13:38:54 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2009.11.16 13:38:54 | 000,002,344 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2009.11.16 13:38:54 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2009.11.16 13:38:54 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2009.11.16 13:38:54 | 000,000,801 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2010.05.14 13:49:41 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (CmjBrowserHelperObject Object) - {07A11D74-9D25-4fea-A833-8B0D76A5577A} - C:\Program Files\Mindjet\MindManager 7\Mm7InternetExplorer.dll (Mindjet)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {56CF4856-ECB4-4E46-A897-A378821F97B9} - No CLSID value found.
O4 - HKLM..\Run: [Communicator] C:\Program Files\Microsoft Office\Communicator\communicator.exe (Microsoft Corporation)
O4 - HKLM..\Run: [eocPhoneTool] C:\Program Files\ESTOS\PhoneToolsCommunicator\eocphonetool.exe (ESTOS GmbH)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [Microsoft Forefront Client Security Antimalware Service] C:\Program Files\Microsoft Forefront\Client Security\Client\Antimalware\MSASCui.exe (Microsoft Corporation)
O4 - HKLM..\Run: [MMReminderService] C:\Program Files\Mindjet\MindManager 7\MMReminderService.exe (Mindjet)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [ScreenManager Pro for LCD (DDCCI)] C:\Program Files\EIZO\ScreenManager Pro for LCD (DDCCI)\LcdctrlDdcci.exe (EIZO NANAO CORPORATION)
O4 - HKLM..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe (Analog Devices, Inc.)
O4 - HKLM..\Run: [TPFanControl] C:\Program Files\TPFanControl\TPFanControl.exe (troubadix)
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKLM..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Users\bbr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: _NoDriveTypeAutoRun = 145
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra Button: An Mindjet MindManager senden - {941E1A34-C6AF-4baa-A973-224F9C3E04BF} - C:\Program Files\Mindjet\MindManager 7\Mm7InternetExplorer.dll (Mindjet)
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O15 - HKLM\..Trusted Domains: microsoft.com ([]* in Vertrauenswürdige Sites)
O15 - HKLM\..Trusted Domains: systeme.de ([]* in Lokales Intranet)
O15 - HKLM\..Trusted Domains: systeme.de ([*.ads] * in Lokales Intranet)
O15 - HKLM\..Trusted Domains: systeme.de ([portal] * in Lokales Intranet)
O15 - HKCU\..Trusted Domains: microsoft.com ([]* in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: systeme.de ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Domains: systeme.de ([*.ads] * in Lokales Intranet)
O15 - HKCU\..Trusted Domains: systeme.de ([portal] * in Lokales Intranet)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {BF17C411-9ADA-4C73-B12C-BD814BDE187F} https://training.partner.microsoft.com/learning/client/ScheduleServices/ScheduleServices.cab (ScheduleServices.CtlScheduleServices)
O16 - DPF: {C4B977A3-E8A2-37E9-ADCD-2597FAAC61F5} hxxp://shop.lenovo.com/SEUILibrary/lenovo-portal/cab/autodetect/MachineInfo.cab (MachineInfoActiveX.MachineInfoActiveX)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} hxxp://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx (CRLDownloadWrapper Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: {F27237D7-93C8-44C2-AC6E-D6057B9A918F} https://vpn.systeme.de/dana-cached/sc/JuniperSetupClient.cab (JuniperSetupClientControl Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.50
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ads.systeme.de
O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (pku2u) - C:\Windows\System32\pku2u.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{13ee64e6-5477-11df-b4f8-00001e00020f}\Shell - "" = AutoRun
O33 - MountPoints2\{13ee64e6-5477-11df-b4f8-00001e00020f}\Shell\AutoRun\command - "" = G:\cbs.exe -- File not found
O33 - MountPoints2\{5c5872b4-4d65-11df-86bd-0015582fc15a}\Shell - "" = AutoRun
O33 - MountPoints2\{5c5872b4-4d65-11df-86bd-0015582fc15a}\Shell\AutoRun\command - "" = G:\Launcher.exe -- File not found
O33 - MountPoints2\{d5ae2f27-5543-11df-ad47-00f0020f1d00}\Shell - "" = AutoRun
O33 - MountPoints2\{d5ae2f27-5543-11df-ad47-00f0020f1d00}\Shell\AutoRun\command - "" = H:\RunGame.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2010.05.14 14:08:56 | 006,153,648 | ---- | C] (Malwarebytes Corporation ) -- C:\Users\bbr\Desktop\mbam-setup.exe
[2010.05.11 08:38:09 | 000,021,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\wfjkxdsc.sys
[2010.05.10 17:25:51 | 000,000,000 | ---D | C] -- C:\INFECTED
[2010.05.10 16:07:21 | 000,021,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\akofxeve.sys
[2010.05.10 13:05:48 | 000,021,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\cffeyhyg.sys
[2010.05.10 12:12:28 | 000,021,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\lxphaczi.sys
[2010.05.10 11:58:46 | 000,021,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\hnfvkcmi.sys
[2010.05.10 11:00:32 | 000,021,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\cdbcyqgm.sys
[2010.05.07 15:11:57 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2010.05.07 15:11:57 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy
[2010.05.04 14:35:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Google
[2010.05.04 14:32:57 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2010.05.04 14:31:17 | 000,000,000 | ---D | C] -- C:\Windows\pss
[2010.05.04 14:10:45 | 000,000,000 | ---D | C] -- C:\Users\bbr\AppData\Local\Eraser 6
[2010.05.02 21:53:48 | 000,053,248 | ---- | C] (EnTech Taiwan) -- C:\Windows\System\TVicPort.dll
[2010.05.02 21:53:48 | 000,020,512 | ---- | C] (EnTech Taiwan) -- C:\Windows\System32\drivers\TVicPort.sys
[2010.05.02 21:53:47 | 000,000,000 | ---D | C] -- C:\Program Files\TPFanControl
[2010.05.02 21:37:15 | 000,000,000 | ---D | C] -- C:\Users\bbr\Documents\Visual Studio 2005
[2010.05.01 20:39:06 | 000,000,000 | ---D | C] -- C:\Users\bbr\AppData\Roaming\Malwarebytes
[2010.05.01 20:38:56 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.05.01 20:38:54 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.05.01 20:38:54 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2010.05.01 20:38:53 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2010.05.01 19:46:23 | 000,000,000 | ---D | C] -- C:\Program Files\DIFX
[2010.05.01 19:45:37 | 000,000,000 | ---D | C] -- C:\DRIVERS
[2010.05.01 19:19:16 | 000,000,000 | ---D | C] -- C:\Users\bbr\Documents\SimCity 4
[2010.05.01 19:10:45 | 000,116,736 | ---- | C] (MagicISO, Inc.) -- C:\Windows\System32\drivers\mcdbus.sys
[2010.05.01 19:10:43 | 000,000,000 | ---D | C] -- C:\Program Files\MagicDisc
[2010.05.01 18:52:45 | 000,000,000 | ---D | C] -- C:\Program Files\MagicISO
[2010.05.01 14:28:09 | 000,000,000 | ---D | C] -- C:\Users\bbr\AppData\Roaming\890F4763B46463E9ED22B1A9B3089FF0
[2010.04.30 18:35:43 | 000,000,000 | ---D | C] -- C:\Users\bbr\AppData\Roaming\DAEMON Tools Lite
[2010.04.30 18:35:38 | 000,000,000 | ---D | C] -- C:\ProgramData\DAEMON Tools Lite
[2010.04.28 08:28:12 | 000,295,264 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\PresentationHost.exe
[2010.04.28 08:28:12 | 000,099,176 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\PresentationHostProxy.dll
[2010.04.28 08:28:12 | 000,049,472 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\netfxperf.dll
[2010.04.28 08:25:30 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft
[2010.04.27 08:19:43 | 000,000,000 | ---D | C] -- C:\Users\bbr\AppData\Local\Rawr
[2010.04.20 10:12:58 | 000,000,000 | ---D | C] -- C:\fonts
[2010.04.17 23:22:12 | 000,000,000 | ---D | C] -- C:\Users\bbr\Documents\Downloads
[2010.04.17 23:21:10 | 000,000,000 | ---D | C] -- C:\Users\bbr\AppData\Roaming\DivX
[2010.04.17 23:20:59 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\PX Storage Engine
[2010.04.17 23:18:25 | 000,000,000 | ---D | C] -- C:\Program Files\DivX
[2010.04.17 23:18:07 | 000,000,000 | ---D | C] -- C:\ProgramData\DivX
[2010.04.14 17:36:40 | 003,954,568 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2010.04.14 17:36:40 | 003,899,280 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2010.04.14 17:36:34 | 000,427,520 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\vbscript.dll

========== Files - Modified Within 30 Days ==========

[2010.05.14 14:17:31 | 004,456,448 | -HS- | M] () -- C:\Users\bbr\NTUSER.DAT
[2010.05.14 14:10:37 | 000,000,983 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.05.14 14:10:24 | 000,014,944 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2010.05.14 14:10:24 | 000,014,944 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2010.05.14 14:09:28 | 006,153,648 | ---- | M] (Malwarebytes Corporation ) -- C:\Users\bbr\Desktop\mbam-setup.exe
[2010.05.14 14:07:22 | 001,619,760 | ---- | M] () -- C:\Windows\System32\PerfStringBackup.INI
[2010.05.14 14:07:22 | 000,699,880 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2010.05.14 14:07:22 | 000,654,552 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2010.05.14 14:07:22 | 000,148,644 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2010.05.14 14:07:22 | 000,121,424 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2010.05.14 14:04:13 | 000,000,278 | -H-- | M] () -- C:\Windows\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[2010.05.14 14:02:08 | 000,000,006 | -H-- | M] () -- C:\Windows\tasks\SA.DAT
[2010.05.14 14:01:56 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2010.05.14 14:01:49 | 1609,375,744 | -HS- | M] () -- C:\hiberfil.sys
[2010.05.14 14:00:20 | 003,686,540 | -H-- | M] () -- C:\Users\bbr\AppData\Local\IconCache.db
[2010.05.13 13:20:09 | 000,540,685 | ---- | M] () -- C:\Users\bbr\Desktop\Eskalationsmgmt.pdf
[2010.05.12 18:21:41 | 000,020,540 | ---- | M] () -- C:\Users\bbr\Desktop\projectcontrolling GFO.xlsx
[2010.05.11 10:11:44 | 000,001,616 | ---- | M] () -- C:\bar.emf
[2010.05.11 08:38:09 | 000,021,584 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\wfjkxdsc.sys
[2010.05.11 08:26:04 | 000,427,992 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2010.05.10 16:07:21 | 000,021,584 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\akofxeve.sys
[2010.05.10 13:05:48 | 000,021,584 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\cffeyhyg.sys
[2010.05.10 12:12:28 | 000,021,584 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\lxphaczi.sys
[2010.05.10 11:58:46 | 000,021,584 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\hnfvkcmi.sys
[2010.05.10 11:00:32 | 000,021,584 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\drivers\cdbcyqgm.sys
[2010.05.10 08:13:09 | 000,007,954 | RHS- | M] () -- C:\Users\bbr\ntuser.pol
[2010.05.09 18:17:48 | 000,000,036 | ---- | M] () -- C:\Users\bbr\AppData\Local\housecall.guid.cache
[2010.05.06 10:36:38 | 000,221,568 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\MpSigStub.exe
[2010.05.04 14:37:58 | 000,000,017 | ---- | M] () -- C:\Users\bbr\AppData\Local\resmon.resmoncfg
[2010.05.04 14:32:42 | 341,500,614 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2010.05.01 19:13:48 | 000,000,529 | ---- | M] () -- C:\Windows\eReg.dat
[2010.05.01 14:35:46 | 000,000,054 | ---- | M] () -- C:\Windows\lsrslt.ini
[2010.04.30 22:10:25 | 000,004,273 | ---- | M] () -- C:\test.spr
[2010.04.30 18:37:05 | 000,691,696 | ---- | M] () -- C:\Windows\System32\drivers\sptd.sys
[2010.04.29 12:19:24 | 000,038,224 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2010.04.29 12:19:14 | 000,020,952 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2010.04.28 13:41:43 | 000,002,012 | -H-- | M] () -- C:\Users\bbr\Documents\Default.rdp
[2010.04.20 10:15:24 | 000,115,088 | ---- | M] () -- C:\Users\bbr\AppData\Local\GDIPFONTCACHEV1.DAT
[2010.04.14 17:37:20 | 000,000,039 | ---- | M] () -- C:\Windows\vbaddin.ini

========== Files Created - No Company Name ==========

[2010.05.14 14:10:37 | 000,000,983 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes' Anti-Malware.lnk
[2010.05.13 13:20:09 | 000,540,685 | ---- | C] () -- C:\Users\bbr\Desktop\Eskalationsmgmt.pdf
[2010.05.12 18:21:40 | 000,020,540 | ---- | C] () -- C:\Users\bbr\Desktop\projectcontrolling GFO.xlsx
[2010.05.09 18:17:48 | 000,000,036 | ---- | C] () -- C:\Users\bbr\AppData\Local\housecall.guid.cache
[2010.05.04 14:37:58 | 000,000,017 | ---- | C] () -- C:\Users\bbr\AppData\Local\resmon.resmoncfg
[2010.05.04 14:32:42 | 341,500,614 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2010.05.01 19:13:48 | 000,000,529 | ---- | C] () -- C:\Windows\eReg.dat
[2010.05.01 14:35:46 | 000,000,054 | ---- | C] () -- C:\Windows\lsrslt.ini
[2010.05.01 14:28:33 | 000,000,278 | -H-- | C] () -- C:\Windows\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[2010.04.30 18:50:10 | 000,004,273 | ---- | C] () -- C:\test.spr
[2010.04.30 18:37:04 | 000,691,696 | ---- | C] () -- C:\Windows\System32\drivers\sptd.sys
[2009.08.12 15:02:52 | 000,116,224 | ---- | C] () -- C:\Windows\System32\redmonnt.dll
[2009.08.12 13:35:44 | 000,000,461 | ---- | C] () -- C:\Windows\ODBC.INI
[2009.07.21 01:05:40 | 001,348,432 | ---- | C] () -- C:\Windows\System32\msxml4.dll
[2009.07.14 01:51:43 | 000,073,728 | ---- | C] () -- C:\Windows\System32\BthpanContextHandler.dll
[2009.07.14 01:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\System32\BWContextHandler.dll
[2008.12.01 20:46:12 | 000,159,744 | ---- | C] () -- C:\Windows\System32\atitmmxx.dll
< End of report >
Wäre super wenn mir jemand helfen könnte!

Viele Grüße

Alt 14.05.2010, 17:57   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus:Win32/alureon.h - Standard

Virus:Win32/alureon.h


Hallo und

Ist das ein Rechner in einer Windows-Domäne? Firmenumgebung? Was sagt die EDV-Abteilung dazu?
__________________

__________________
Alt 14.05.2010, 18:17   #3
Loom
 
Virus:Win32/alureon.h - Standard

Virus:Win32/alureon.h


Hallo,

das ist korrekt, der Rechner bzw. Notebook ist in einer Win-Domäne.
Da ich im Aussendienst bin, habe ich mit unserem Support kurz drüber geschaut.
Im Moment habe ich den Supp in der Annahme gelassen, dass alles entfernt ist, sonst wäre mein Notebook nun schon Neuinstalliert und hier liegt auch der Hase im Pfeffer - mein letztes Backup ist ca. 2 Monate alt, weswegen ich noch die Hoffnung habe den Virus mit euer Hilfe noch zu entfernen. bzw. würde es mir fast schon reichen wenn ich an meine Partition ran kommen würde um meine Präsentation zu sichern :-(

Grüße

P.s. über lokale Adminrechte verfüge ich natürlich
__________________
Alt 14.05.2010, 18:21   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus:Win32/alureon.h - Standard

Virus:Win32/alureon.h


Ich hab da noch Schaddateien gefunden. Geben sich als MS-Dateien aus

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
[2010.05.11 08:38:09 | 000,021,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\wfjkxdsc.sys
[2010.05.10 16:07:21 | 000,021,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\akofxeve.sys
[2010.05.10 13:05:48 | 000,021,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\cffeyhyg.sys
[2010.05.10 12:12:28 | 000,021,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\lxphaczi.sys
[2010.05.10 11:58:46 | 000,021,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\hnfvkcmi.sys
[2010.05.10 11:00:32 | 000,021,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\cdbcyqgm.sys
[2010.05.01 14:28:09 | 000,000,000 | ---D | C] -- C:\Users\bbr\AppData\Roaming\890F4763B46463E9ED22B1A9B3089FF0
[2010.04.27 08:19:43 | 000,000,000 | ---D | C] -- C:\Users\bbr\AppData\Local\Rawr
:Commands
[purity]
[emptytemp]
Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.05.2010, 18:41   #5
Loom
 
Virus:Win32/alureon.h - Standard

Virus:Win32/alureon.h


so habe ich gemacht.

hier der Auzug
Zitat:
All processes killed
========== OTL ==========
C:\Windows\System32\drivers\wfjkxdsc.sys moved successfully.
C:\Windows\System32\drivers\akofxeve.sys moved successfully.
C:\Windows\System32\drivers\cffeyhyg.sys moved successfully.
C:\Windows\System32\drivers\lxphaczi.sys moved successfully.
C:\Windows\System32\drivers\hnfvkcmi.sys moved successfully.
C:\Windows\System32\drivers\cdbcyqgm.sys moved successfully.
C:\Users\bbr\AppData\Roaming\890F4763B46463E9ED22B1A9B3089FF0 folder moved successfully.
C:\Users\bbr\AppData\Local\Rawr\Rawr.exe_Url_pmck4oxva0y0wx5lkf1zxxcrldsvf4ns\2.3.15.0 folder moved successfully.
C:\Users\bbr\AppData\Local\Rawr\Rawr.exe_Url_pmck4oxva0y0wx5lkf1zxxcrldsvf4ns folder moved successfully.
C:\Users\bbr\AppData\Local\Rawr folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Basti
->Temp folder emptied: 13352314 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: bbr
->Temp folder emptied: 83532255 bytes
->Temporary Internet Files folder emptied: 42772833 bytes
->Java cache emptied: 61555631 bytes
->FireFox cache emptied: 83968986 bytes
->Google Chrome cache emptied: 8703730 bytes
->Flash cache emptied: 4486 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: mr
->Temp folder emptied: 728281875 bytes
->Temporary Internet Files folder emptied: 37119527 bytes
->Flash cache emptied: 405 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 256332 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1.011,00 mb


OTL by OldTimer - Version 3.2.4.1 log created on 05142010_193156

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Alt 14.05.2010, 18:53   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus:Win32/alureon.h - Standard

Virus:Win32/alureon.h


kannst Du mal den Ordner C:\_OTL zippen und bei bei uns hochladen? => http://www.trojaner-board.de/54791-a...ner-board.html
__________________
--> Virus:Win32/alureon.h

Alt 14.05.2010, 18:59   #7
Loom
 
Virus:Win32/alureon.h - Standard

Virus:Win32/alureon.h


habe ich gem. der Anleitung gemacht, hoffe Du kannst darauf zugreifen.

Grüße & vielen Dank

Alt 14.05.2010, 19:13   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus:Win32/alureon.h - Standard

Virus:Win32/alureon.h


Hab Zugriff drauf. Ich weiß zwar noch nicht genau warum, aber anscheinend waren das umbenannte Kopien der atapi.sys (Win7-Version). Hier ein Vergleich, hab auchmal ne atapi.sys von Win7 hochgeladen,

atapi.sys win7 => https://www.virustotal.com/de/analis...ad6-1273860590

File size: 21584 bytes
MD5...: 338c86357871c167a96ab976519bf59e
SHA1..: e99e20970139fb1e67bbc54fa8a61c18a4fce36e
SHA256: f28cc534523d1701b0552f5d7e18e88369c4218bdb1f69110c3e31d395884ad6
ssdeep: 384:SN+KUt2BtUXbyTHoCtGRZjNVAsRMNSChq3BLWErUwW9Qu5VpBjbOjBMmhyMD
:adUtytUXbyTICtGjNMNbcxHJudkMmwMD

akofxeve.sys => https://www.virustotal.com/de/analis...ad6-1273860468

File size: 21584 bytes
MD5...: 338c86357871c167a96ab976519bf59e
SHA1..: e99e20970139fb1e67bbc54fa8a61c18a4fce36e
SHA256: f28cc534523d1701b0552f5d7e18e88369c4218bdb1f69110c3e31d395884ad6
ssdeep: 384:SN+KUt2BtUXbyTHoCtGRZjNVAsRMNSChq3BLWErUwW9Qu5VpBjbOjBMmhyMD
:adUtytUXbyTICtGjNMNbcxHJudkMmwMD
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.05.2010, 19:20   #9
Loom
 
Virus:Win32/alureon.h - Standard

Virus:Win32/alureon.h


Oha, denkst du es gibt eine Möglichkeit die Probleme mit angemessenen Ausfwand in den Griff zu bekommen oder macht eine Neuinstallation mehr Sinn?

Denn alternativ könnte ich die Platte auch aus dem Notebook basteln und die wichtigen Dateien über ein anderes System sichern. Ich denke, da ja kein HW-Defekt, sollte ich über ein anderes System an die Platte bzw. Partition kommen.

Schon einmal vielen vielen Dank für Deine Hilfe.

Alt 14.05.2010, 19:23   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus:Win32/alureon.h - Standard

Virus:Win32/alureon.h


Da das Teil in einer Firmenumgebung ist und Du kein Risiko eingehen möchtest, wäre ein format c: sinnvoll.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.05.2010, 19:30   #11
Loom
 
Virus:Win32/alureon.h - Standard

Virus:Win32/alureon.h


Ok, dann muss ich mir mal überlegen wie ich das ganze für meinen Chef am besten verpacke ;-)

Dank Dir & schönes WE

Alt 14.05.2010, 19:33   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus:Win32/alureon.h - Standard

Virus:Win32/alureon.h


Naja, Du kannst auch bereinigen wenn Du das Risiko lieber trägst
Du merkst: Eine Infektion ist immer unangenehm
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Virus:Win32/alureon.h
acer, bho, bonjour, components, corp./icp, dateien, datenträgerverwaltung, defender, diskpart, diverse, eraser, error, explorer, explorer.exe, firefox, firefox.exe, fontcache, format, icq, intranet, lenovo, location, logfile, malwarebytes, malwarebytes' anti-malware, microsoft, mozilla, national, nvidia, nvstor.sys, oldtimer, otl.exe, plug-in, popups, programdata, registry, safer networking, searchplugins, security, senden, software, sptd.sys, start menu, studio, suche, super, taskhost.exe, trojan.downloader, virus, virus/trojaner, visual studio, webcheck, winlogon


« Trojaner TR/ Dropper.Gen u. Trojaner TR/ Dropper.Gen2 entfernt, dennoch überlastung | Plötzliches Pop Up - Scareware im Browser »


Ähnliche Themen: Virus:Win32/alureon.h


  1. Trojan:Win32/Alureon.FL | PWS:Win32/Fareit.A | Trojan:Win32/Sirefef.P....Auch MBR infiziert?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (7)
  2. Trojan:Win32/FakeSysdef und Trojan:Win32/Alureon.FE
    Plagegeister aller Art und deren Bekämpfung - 30.10.2011 (4)
  3. Maßnahmen nach XP-Recovery und Trojan:Win32/Alureon Microsoft
    Log-Analyse und Auswertung - 11.06.2011 (25)
  4. DOS/Alureon.A und Win32/Sirefef.B
    Plagegeister aller Art und deren Bekämpfung - 02.06.2011 (1)
  5. Alureon-G@mbr / Win32:FakeAlert-AHH
    Log-Analyse und Auswertung - 26.05.2011 (1)
  6. Win32/Alureon.H auf einem Win 7 32 Bit HP System - ausgemerzt?
    Plagegeister aller Art und deren Bekämpfung - 28.01.2011 (12)
  7. Virus Win32/Alureon.h verhindert Windowsupdate
    Plagegeister aller Art und deren Bekämpfung - 14.08.2010 (5)
  8. Virus:Win32/Alureon.H lässt sich nicht löschen, bzw. ist immer wieder da
    Plagegeister aller Art und deren Bekämpfung - 02.08.2010 (12)
  9. Virus: Win32/Alureon.G
    Plagegeister aller Art und deren Bekämpfung - 07.04.2010 (10)
  10. Trojan.Win32/Alureon.BT
    Plagegeister aller Art und deren Bekämpfung - 12.01.2010 (39)
  11. Trojan:Win32/Alureon.gen!U
    Log-Analyse und Auswertung - 29.11.2009 (2)
  12. Trojan:Win32/Alureon.gen!U eingefangen
    Plagegeister aller Art und deren Bekämpfung - 26.10.2009 (21)
  13. Trojan:Win32/Alureon.gen!U eingefangen
    Log-Analyse und Auswertung - 26.10.2009 (1)
  14. Win32/Alureon gen unter windows 7
    Plagegeister aller Art und deren Bekämpfung - 15.10.2009 (3)
  15. Packed.Win32.TDSS.y Trojaner Win32/Alureon.BF
    Plagegeister aller Art und deren Bekämpfung - 08.10.2009 (3)
  16. Hilfe WIN32:Tiny-II; Alureon CD; Fraudo ......
    Plagegeister aller Art und deren Bekämpfung - 23.07.2009 (1)
  17. Trojan:Win32/Alureon.A / Trojan.Win32.DNSChanger.hk
    Log-Analyse und Auswertung - 13.04.2007 (14)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Virus:Win32/alureon.h - Hallo, ich habe mir vor kurzem den Alureon.H gefangen lt. Forefront Client Sec. Leider bekomme ich den guten weder mit Forefront noch mit diversen Live-CD´s nicht vom System. Der Virus/trojaner - Virus:Win32/alureon.h...
Archiv
Du betrachtest: Virus:Win32/alureon.h auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131